Leserbrief im Landboten: Hellgrün (GLP) trägt ein hellbraunes Unterhemd
Sunday, 16. November 2008
Netclean Whitebox - effektive Methode gegen Kinderpornografie im Netz
von Fredy Künzler
Dieses Thema wollte ich seit dem SwiNOG #17 Meeting aufnehmen, doch wurde es durch Aktualität oder Zeitmangel immer wieder verschoben.
Blenden wir zurück: vor gut zwei Jahren gab es die Kampagne "Stopp Kinderpornografie im Internet!", getragen von Schweizerischen Kriminalprävention SKPPSC und dem Kinderschutz Schweiz. Ich hatte mich damals ausführlich dazu geäussert, warum die Aktion nicht fertig gedacht war und nicht wirklich funktionieren kann. Etwas später kam es dann die hässliche Kehrseite in den Medien - der Schuss ging hinten raus. Und auch Politiker wie der FDP-Ständerat Rolf Schweiger machten auf Kosten missbrauchter Kinder billigen Wahlkampf.
KOBIK, die Koordinationsstelle zur Bekämpfung der Internetkriminalität, stellte am SwiNOG #14 Meeting das Projekt "DNS Blockade" vor, doch die Community der ISP Techniker lehnte das Ansinnen aus technischen Überlegungen grossmehrheitlich ab. Die vorgesehenen Fake-DNS Einträge funktionieren nicht wirklich: Einschlägige URLs werden auf den DNS-Servern des Access-Providers übersteuert, und der Surfer wird statt auf den illegalen Inhalt auf eine Warnseite umgeleitet. Umgehen kann man diese "Sperre" ganz einfach - man benutzt einfach unzensurierte DNS Server, die zu hunderten im Netz verfügbar sind.
Auch die Blockierung auf IP Ebene ist nicht wirklich das gelbe vom Ei: Zwar effektiv, verursacht aber grosser Kollateralschaden. Auf einem Server mit einer IP Adresse sind typischerweise Dutzende oder gar Hunderte von Websites gehostet. Die Sperrung der IP-Adresse eines Servers mit KiPo-Inhalt sperrt unter Umständen weitere harmlose und ehrbare Websites, die zufällig auf dem selben Server gehostet sind.
Vom politischen Rummel um die Frage der Kinderpornografie unbeeindruckt entwickelten die Kollegen von Practeo eine Lösung, die alle technischen Mängel der ursprünglichen Ideen Fake-DNS und IP-Sperrung eliminiert. Sie nennt sich "Netclean Whitebox":
Netclean Whitebox funktioniert zweistufig: 1. wird via BGP4 die Liste der verdächtigen IP Adressen in die Routingtabelle eingepflegt. Derzeit sind das um die 450 IP Adressen. Traffic von diesen Websites wird auf die Whitebox umgeleitet. Auf dieser erfolgt 2. die DNS resp. HTTP Inspection, und die Whitebox ist damit in der Lage, zwischen illegalem und harmlosen Inhalt zu unterscheiden, der sich zufällig an der selben IP Adresse befindet.
Wäre bei jedem Accessprovider eine oder mehere solcher Whiteboxen installiert, könnten diese zentral durch die KOBIK administriert werden, und das real-time. Wenn immer irgendwo in der weiten Welt eine Site mit KiPo Inhalt auftaucht, könnte KOBIK auf Knopfdruck den Inhalt sperren. Die ISP wären von fragwürdiger Zensurarbeit entlastet, und anstelle von periodischen Updates alle paar Wochen arbeitet das System zeitnah.
Weil nur der Traffic zu fragwürdigen Adressen via Whitebox "gewaschen" wird, kommt das System auch mit grossen Trafficmengen klar. Die laufende Testinstallation bei einem Schweizer Accessprovider zeigt, dass via Whitebox bloss einige Dutzen Kilobit pro Sekunde geleitet werden, während der restliche "saubere" Traffic von 900 mbps unbehelligt am System vorbeigeschleust wird. Damit sind Fragen zur Performance hinfällig:
Natürlich kostet Netclean Whitebox etwas. Pro Million Benutzer werden ca. 150'000 Franken pro Jahr fällig. Das ist vergleichsweise günstig, doch der erste Gedanke, dass der ISP dafür aufkommen soll, greift zu kurz. Schäbige Szenarien sind dann nämlich denkbar: ISP X wirbt "wir sind sauber - kein KiPo dank Netclean Whitebox" und ISP Y wirbt mit "keine Zensur, wir lassen Sie alles sehen". Das ist nicht was wir wollen, und zudem bin ich auch der Meinung, dass nicht ISPs für eine gesellschaftliches Problematik aufkommen soll.
Vielmehr möchte ich hier anregen, dass die KOBIK das System für alle Schweizer Internetbenutzer beschafft und es zentral administriert. Ich kann selbstverständlich nicht für alle ISPs reden, aber einer Implementation steht meines Erachtens aus technischer Sicht nichts im Wege. Die politischen, ethischen und gesellschaftlichen Fragen zur Problematik lassen wir einfach mal offen.
Dieses Thema wollte ich seit dem SwiNOG #17 Meeting aufnehmen, doch wurde es durch Aktualität oder Zeitmangel immer wieder verschoben.
Blenden wir zurück: vor gut zwei Jahren gab es die Kampagne "Stopp Kinderpornografie im Internet!", getragen von Schweizerischen Kriminalprävention SKPPSC und dem Kinderschutz Schweiz. Ich hatte mich damals ausführlich dazu geäussert, warum die Aktion nicht fertig gedacht war und nicht wirklich funktionieren kann. Etwas später kam es dann die hässliche Kehrseite in den Medien - der Schuss ging hinten raus. Und auch Politiker wie der FDP-Ständerat Rolf Schweiger machten auf Kosten missbrauchter Kinder billigen Wahlkampf.
KOBIK, die Koordinationsstelle zur Bekämpfung der Internetkriminalität, stellte am SwiNOG #14 Meeting das Projekt "DNS Blockade" vor, doch die Community der ISP Techniker lehnte das Ansinnen aus technischen Überlegungen grossmehrheitlich ab. Die vorgesehenen Fake-DNS Einträge funktionieren nicht wirklich: Einschlägige URLs werden auf den DNS-Servern des Access-Providers übersteuert, und der Surfer wird statt auf den illegalen Inhalt auf eine Warnseite umgeleitet. Umgehen kann man diese "Sperre" ganz einfach - man benutzt einfach unzensurierte DNS Server, die zu hunderten im Netz verfügbar sind.
Auch die Blockierung auf IP Ebene ist nicht wirklich das gelbe vom Ei: Zwar effektiv, verursacht aber grosser Kollateralschaden. Auf einem Server mit einer IP Adresse sind typischerweise Dutzende oder gar Hunderte von Websites gehostet. Die Sperrung der IP-Adresse eines Servers mit KiPo-Inhalt sperrt unter Umständen weitere harmlose und ehrbare Websites, die zufällig auf dem selben Server gehostet sind.
Vom politischen Rummel um die Frage der Kinderpornografie unbeeindruckt entwickelten die Kollegen von Practeo eine Lösung, die alle technischen Mängel der ursprünglichen Ideen Fake-DNS und IP-Sperrung eliminiert. Sie nennt sich "Netclean Whitebox":
Netclean Whitebox basiert auf automatischen BGP4-Updates, damit entfällt das manuelle Einpflegen der aktualisierten Sperrliste beim Serviceprovider. Gemäss KOBIK-Vorschlag wäre die "schwarze Liste" nur alle paar Wochen aktualisiert worden, was natürlich kaum im Sinne des Erfinders ist.
Netclean Whitebox funktioniert zweistufig: 1. wird via BGP4 die Liste der verdächtigen IP Adressen in die Routingtabelle eingepflegt. Derzeit sind das um die 450 IP Adressen. Traffic von diesen Websites wird auf die Whitebox umgeleitet. Auf dieser erfolgt 2. die DNS resp. HTTP Inspection, und die Whitebox ist damit in der Lage, zwischen illegalem und harmlosen Inhalt zu unterscheiden, der sich zufällig an der selben IP Adresse befindet.
Wäre bei jedem Accessprovider eine oder mehere solcher Whiteboxen installiert, könnten diese zentral durch die KOBIK administriert werden, und das real-time. Wenn immer irgendwo in der weiten Welt eine Site mit KiPo Inhalt auftaucht, könnte KOBIK auf Knopfdruck den Inhalt sperren. Die ISP wären von fragwürdiger Zensurarbeit entlastet, und anstelle von periodischen Updates alle paar Wochen arbeitet das System zeitnah.
Weil nur der Traffic zu fragwürdigen Adressen via Whitebox "gewaschen" wird, kommt das System auch mit grossen Trafficmengen klar. Die laufende Testinstallation bei einem Schweizer Accessprovider zeigt, dass via Whitebox bloss einige Dutzen Kilobit pro Sekunde geleitet werden, während der restliche "saubere" Traffic von 900 mbps unbehelligt am System vorbeigeschleust wird. Damit sind Fragen zur Performance hinfällig:
Natürlich kostet Netclean Whitebox etwas. Pro Million Benutzer werden ca. 150'000 Franken pro Jahr fällig. Das ist vergleichsweise günstig, doch der erste Gedanke, dass der ISP dafür aufkommen soll, greift zu kurz. Schäbige Szenarien sind dann nämlich denkbar: ISP X wirbt "wir sind sauber - kein KiPo dank Netclean Whitebox" und ISP Y wirbt mit "keine Zensur, wir lassen Sie alles sehen". Das ist nicht was wir wollen, und zudem bin ich auch der Meinung, dass nicht ISPs für eine gesellschaftliches Problematik aufkommen soll.
Vielmehr möchte ich hier anregen, dass die KOBIK das System für alle Schweizer Internetbenutzer beschafft und es zentral administriert. Ich kann selbstverständlich nicht für alle ISPs reden, aber einer Implementation steht meines Erachtens aus technischer Sicht nichts im Wege. Die politischen, ethischen und gesellschaftlichen Fragen zur Problematik lassen wir einfach mal offen.
Wednesday, 19. July 2006
UBS Phishing: Abuse Department pennt
von Fredy Künzler
Gestern, 18:18 Uhr. Wieder mal trifft ein Phishing Email ein - diesmal hat es die UBS erwischt. Inzwischen hat man sich wie schon dran gewöhnt - doch fallen immer mal wieder ahnungslose Leute auf die plumpen Betrugsversuche rein (beim letzten Postfinance Phishing rief uns eine Kundin an: "was soll ich tun?" - "keinesfalls Kontonummer und Passwort eintippen" - "schon zu spät").
Was beim aktuellen UBS Case jedoch irritiert ist, dass scheinbar niemand aktiv wird. Bereits gestern um ca. 19:00 Uhr hat unser NOC alle involvierten Abuse Stellen angemailt. Heute morgen um 10:00 Uhr ist die Site immer noch erreichbar. Und UBS antwortet lapidar:
Gestern, 18:18 Uhr. Wieder mal trifft ein Phishing Email ein - diesmal hat es die UBS erwischt. Inzwischen hat man sich wie schon dran gewöhnt - doch fallen immer mal wieder ahnungslose Leute auf die plumpen Betrugsversuche rein (beim letzten Postfinance Phishing rief uns eine Kundin an: "was soll ich tun?" - "keinesfalls Kontonummer und Passwort eintippen" - "schon zu spät").
Was beim aktuellen UBS Case jedoch irritiert ist, dass scheinbar niemand aktiv wird. Bereits gestern um ca. 19:00 Uhr hat unser NOC alle involvierten Abuse Stellen angemailt. Heute morgen um 10:00 Uhr ist die Site immer noch erreichbar. Und UBS antwortet lapidar:
Betreff: RE: [FYI: Update your UBS account !]Nicht grad effizient!
Von: abuse@ubs.com
Datum: Wed, 19 Jul 2006 08:56:33 +0200
Sehr geehrter Herr Huggenberger
Wir haben Kenntnis von dieser Seite und sind daran, den Server vom Netz zu nehmen.
Besten Dank und freundliche Grüsse,
Anton B. Sieber
---------------------------------
UBS AG
IT Investigation & Forensics
CH-8098 Zurich
Neueste Kommentare