35C3: Telegram-Blockade – Frontbericht vom "russischen zivilen Cyberkrieg"
Noch ist Telegram in Russland über Proxys erreichbar, berichtet Leonid Evdokimov. Der Staat jage jedoch die Verbindungsrechner mit Live-Eingriffen ins Netz.
(Bild: dpa, Armin Weigel)
Am 16. April startete die russische Medien- und Telekommunikationsaufsicht Roskomnadzor auf Basis einer gerichtlichen Anordnung ihren Versuch, im Kampf gegen den Terrorismus den in dem Land sehr beliebten Messengerdienst Telegram zu blockieren. Spätestens diese Initiative habe gezeigt, was alles "falsch laufen könne mit Internetfiltern", erklärte der aus St. Petersburg stammende Programmierer Leonid Evdokimov am Samstag auf dem 35. Chaos Communication Congress (35C3). Die darauf folgenden Wochen bezeichnete er als den "ersten russischen zivilen Cyberkrieg".
Wettlauf der Beteiligten, unfähige Behörden
In dem andauernden "Wettlauf" zwischen der Regierung sowie Hackern, Oppositionsgruppen, rebellischen Providern und anderen Aktivisten um den Erhalt der Kommunikationsmöglichkeiten via Telegram hatten letztere laut dem Datenanalysten bislang noch wegen mancher Unfähig- oder Nachlässigkeit der Behörden Glück. Die Leute nutzten Proxy-Server und das Anonymisierungsnetzwerk Tor, um den Chatservice in Anspruch zu nehmen. Zugleich hätten sie sich generell einiges über Hilfsmittel beigebracht, "um Zensur zu umgehen".
(Bild: CC by 4.0 35C3 media.ccc.de)
Noch funktioniere Telegram "perfekt" über die vom Staat nicht gern gesehenen Verbindungsrechner, konstatierte Evdokimov in seinem "Frontbericht". Die Staatsmacht rüste aber technisch und rechtlich weiter auf. Nicht umsonst könne die russische Geschichte mit den Worten zusammengefasst werden: "Dann wurde die Sache noch schlimmer."
Leak der staatlichen Filterliste
Die Auseinandersetzung um ein halbwegs freies Internet startete in Russland im November 2012, als die Roskomnadzor den Zugangsanbietern die erste "moderne schwarze Liste" servierte. Damals ging es nach offiziellen Angaben vor allem um den Schutz von Kindern und Jugendlichen oder den Kampf gegen "Anweisungen" zum Suizid im Netz. Die Filtervorgaben finden sich in einer XML-Datei, die mithilfe der russischen Chiffriertechnik Gost elektronisch unterzeichnet ist. Die Provider holen die Liste, die wenigstens einmal pro Stunde aktualisiert wird, von einem Server der Roskomnadzor ab. Die Filtertechnik kontrollieren sie bislang selbst, die Regulierungsbehörde überwacht aber die Umsetzung der Auflagen.
Jemand habe das Register mit den zu sperrenden Webseiten und IP-Adressen bereits frühzeitig online verfügbar gemacht, erläuterte Evdokimov. Wenig später sei sie auf den Codeverzeichnissen Github und Sourceforge aufgetaucht und werde bis heute "gepflegt". Aus dem Leak habe sich ablesen lassen, dass die Roskomnadzor die Software TCPdump einsetze, die für die Überwachung und Auswertung von Netzwerkverkehr eingesetzt wird. Nur so sei erklärbar, dass neben Wikipedia, Google-Diensten, Pornhub oder dem Web Archive auch die Liste zum Widerrufen von SSL-Verschlüsselungszertifikaten und weitere Teile der Zertifizierungsfirma Comodo blockiert worden seien – mit den entsprechenden Kollateralschäden für eine sichere Kommunikation.
Eine Blackbox für Provider
Schon 2016 übergab die zuständige Aufsicht dem Telegram-Nutzer zufolge den Providern auch ein "Neujahrsgeschenk" in Form eines kleinen OpenWRT-Routers auf einer TP-Link-Plattform, um ihr Kontrollsystem "Revisor" besser einsetzen zu können. Der Hacker ValdikSS habe die aufgespielte offene Firmware auseinandergelegt und gezeigt, dass die zentrale Schnittstelle für das "Kommandozentrum" via HTTPS erreichbar war. Das dafür benötigte Verschlüsselungszertifikat habe aber gefehlt. Zudem sei SSH für eine abgesicherte Netzwerkverbindung im Einsatz gewesen – allerdings auch mit Implementierungsschwächen. ValdikSS habe Roskomnadzor so einen Screenshot mit "Cybermüll" unterjubeln können.
(Bild: CC by 4.0 35C3 media.ccc.de)
Das eigentlich zutage getretene Problem ist für Evdokimov aber, dass das Filtersystem aus Sicht der Zugangsanbieter eine öffentlich nicht dokumentierte Blackbox sei, mit der sie in einem rechtlichen Graubereich operierten. Einige Provider hätten so angefangen, DNS-Einträge für die Zuordnung zu IP-Adressen direkt in die Filter einzugeben, was ein sehr manipulationsanfälliges Verfahren darstelle. In der Tat seien so spezifische Routing-Wege überlagert und der Datenaustausch mit anderen Netzanbietern behindert worden. In Folge hätten zahlreiche Router gestreikt. Diese weiteren Kollateralschäden seien in Expertenkreisen als "DNS-Attacken" bekannt geworden.
Telegram-Blockade wurde ein Desaster
Angesichts der bekannten Schwächen des russischen Netzfilters seien die ersten Versuche der Telegram-Blockade dann zum Desaster geworden, führte der nicht zum Team des Messagingdiensts gehörende Beobachter aus. Mitte April habe die Roskomnadzor zunächst ohne Erfolg einige Telegram-Subnetze auf die schwarze Liste gesetzt, im Anschluss auch die von dem Service genutzten Cloud-Dienste etwa von Amazon oder Google. Rasch seien so 1,8 Millionen IP-Adressen blockiert gewesen. Telegram habe dies nichts ausgemacht, aber das "Internet insgesamt" sei mehr oder weniger kaputt gewesen. Bei großen Portalen wie Instagram, Steam oder YouTube habe es geheißen: keine Verbindung.
(Bild: CC by 4.0 35C3 media.ccc.de)
Noch im April habe die Roskomnadzor schließlich angeordnet, bis zu 19 Millionen IP-Adressen zu sperren und gleichzeitig behauptet, dass "kein gesellschaftlich bedeutsamer Dienst betroffen" sei, ärgerte sich Evdokimov. Dabei hätten zu diesem Zeitpunkt selbst Teile der russischen Suchmaschine Yandex und des sozialen Netzwerks VK auf dem "Index" gestanden. Einige Subnetze seien sogar doppelt auf der Liste gewesen sowie einige schlecht formatierte URLs, sodass einige Filter nicht mehr funktioniert hätten. Der Hackerverein Usher2 Club, dem er angehöre, habe die "Fake News" der Regulierungsbehörde aber mit eigenen Statistiken widerlegen können. Eine weitere Analyse habe gezeigt, dass größere Telekommunikationsfirmen wie Rostelecom die Filterauflagen nur selektiv umgesetzt und so "digitalen Widerstand" geleistet hätten.
Sniffer in der Moskauer U-Bahn
Nach einem öffentlichen Aufschrei, Demos, offenen Briefen und der Publikation einer Übersicht, aus denen die nach wie vor stattfindenden "DNS-Attacken" gut hervorgingen, räumte die Roskomnadzor laut Evdokimov im Mai ihre Sperrliste zumindest einmal auf und habe sie schrittweise von 16 auf 3,7 Millionen IP-Adressen im Juni reduziert. Seitdem sei der Krieg "kälter" geworden, da die Aufsichtsstelle inzwischen mit Live-Eingriffen in den Netzwerkverkehr Proxys jage und gezielt Protokolle wie Socks5 und MTProto verfolge und drossele, die Telegram nutze. Dafür komme offenbar auch Technik aus dem russischen Überwachungsnetzwerk Sorm zum Einsatz. In der Moskauer U-Bahn etwa hätten die Hacker nachgewiesen, dass mithilfe von Sniffern gezielt Telegram-Nutzer aufgespürt worden und dabei ermittelte IP-Adressen direkt auf die Sperrliste gewandert seien.
Schwer besorgt zeigte sich Evdokimov über einen Gesetzentwurf, der vor zwei Wochen ins russische Parlament eingebracht worden sei. Damit könne die Roskomnadzor künftig "Anti-Bedrohungsausrüstung" an ausgewählte Provider liefern, die diese dann auch als Filter einsetzen müssten. So würde die Behörde dort den Netzverkehr direkt überwachen und das Routing vorgeben können mit allen ausgemachten Fehler, die dann angesichts des undurchsichtigen Verfahrens noch einfacher zu missbrauchen seien. Parallel sei ein Verzeichnis "guter" Netzknoten mit grenzüberschreitendem Verkehr geplant. Die Zensurmaschine würde damit deutlich effektiver. (tiw)
