Studie: So heftig wird das Domain Name System manipuliert
Internet-Zensoren manipulieren gerne DNS-Einträge. Das System Iris sammelt DNS-Stichproben, um den Umfang der Manipulation zu schätzen. Spitzenreiter sind demnach der Iran, China, Indonesien und Griechenland.
Transparent der Mahnwache Netzzensur (Berlin 2009)
(Bild: Autorenkollektiv CC BY-SA 3.0)
Damit ein Browser eine Webseite wie heise.de öffnen kann, braucht er die zugehörige IP-Adresse. Die bekommt er normalerweise vom Domain Name System Server des Providers (DNS-Resolver). Um den Zugriff auf unliebsame Seiten zu erschweren, manipulieren Zensoren gerne heimlich die Einträge in DNS-Resolvern. Besonders im Iran und der Volksrepublik China wird diese Methode intensiv genutzt, wie eine Stichprobe zeigt.
Bei 2330 über offene DNS in den jeweiligen Ländern abgefragten Domainnamen waren im Iran durchschnittlich rund sechs Prozent und in China durchschnittlich rund fünf Prozent der Antworten manipuliert. Während die falschen DNS-Einträge auf iranischen DNS-Resolvern in der Regel auf spezielle IP-Adressen zeigen, die für nicht-öffentliche Nutzung reserviert sind, weisen chinesische Falscheinträge auf falsche öffentliche IP-Adressen, die zum Teil zufällig gewählt erscheinen.
Auf Platz 3 liegt Indonesien mit durchschnittlich 2,8%, gefolgt von Griechenland mit 0,4% manipulierten Einträgen. In Griechenland entfällt die Hälfte aller Falschauskünfte auf Webseiten für Sportwetten oder Glücksspiel. Auch in Zypern und Rumänien spielt diese Kategorie eine große Rolle.
Starke Unterschiede innerhalb einzelner Länder
Die Stichprobe wurde mit einem neuen System namens Iris gezogen. Iris ist eine Entwicklung von Wissenschaftlern der Universität von Kalifornien in Berkeley. Sie haben ihr Verfahren und ihre Ergebnisse vergangene Woche auf der 26. Usenix Security in Vancouver vorgestellt.
Dabei wurde deutlich, dass die Zensur auch innerhalb einzelner Länder keineswegs einheitlich agiert: Im Iran fanden die Forscher einen DNS-Resolver, der sogar mehr als 22 Prozent aller Anfragen falsch beantwortete. In China lag der Spitzenwert bei 8,4%, in Indonesien bei 10%, im Irak bei 5,8%. Diese Ausreißer liegen wohl am besonderen Zensureifer einzelner Internetprovider oder sonstiger DNS-Betreiber, wie zum Beispiel einer Universität.
In China glaubten die Forscher zunächst, auch DNS-Resolver gefunden zu haben, die alle Anfragen korrekt beantworteten. Doch dabei dürfte es sich um Server handeln, deren Standort falsch verzeichnet ist, und die zum Beispiel in der Sonderverwaltungszone Hongkong stehen.
Diese Domains werden untergraben
Die meisten Manipulationen betrafen eine Webseite für Online-Poker, gefolgt von einem Sportwettenanbieter und drei Pornoseiten. Diese fünf Domains wurden in jeweils 19 Ländern manipuliert. In 18 Ländern wurden die DNS-Daten für zwei Domains von The Pirate Bay verändert. Ein Pornoseite, eine Pokerseite und noch eine Pornoseite vervollständigen die Top 10.
Die Webseite des Tor- Netzes (Torproject.org) kommt erst auf Platz 80 (zwölf Länder). In neun Ländern geht es twitter.com an den Kragen (Platz 181), in acht Ländern youtube.com (Platz 250).
Darum geht es den Zensoren
Allerdings ergibt sich ein völlig anderes Bild, wenn man statt einzelner Domains thematische Gruppen von Domains betrachtet. Dabei liegen verschiedene Domains aus den Alexa-Top-10.000 auf Platz 1 (36 Länder), gefolgt von Webseiten mit freier Meinungsäußerung (35 Länder) und Webseiten mit Informationen über P2P-Filesharing (34 Länder).
Lesen Sie in der c't:
Namensauflösung inklusive Datenschutz fürs Heimnetz
Seiten mit Informationen über Menschenrechte werden in 31 Ländern behindert, Glücksspiel oder Sportwetten und Pornographie in 29 Ländern. In 28 Ländern sind Angaben über Alkohol und Drogen schwieriger zu beziehen. Auf Platz 8 liegen Domains, über die Hilfestellungen für Anonymisierung und Zensur-Umgehung abrufbar sind (24 Länder). Hassrede (22) und Multimedia-Sharing (21) vervollständigen die Top 10.
Gruppiert man Google-Domains zusammen, landen sie auf Platz 20 (16 Länder). Facebook-Domains liegen auf Platz 34 (10 Länder), Twitter-Domains auf Platz 38 (9 Länder).
6000 offene DNS-Resolver und 2300 Domainnamen
Für ihre Statistiken haben die Wissenschaftler insgesamt 13,5 Millionen valide DNS-Antworten aus 151 Ländern ausgewertet. Dafür hatten sie zunächst den gesamten IPv4-Adressraum nach offenen DNS-Resolvern abgesucht und dabei 4,2 Millionen Treffer gelandet. Aus ethischen Gründen, insbesondere zum Schutz privater DNS-Betreiber, nutzten die Wissenschaftler schließlich 6020 DNS-Resolver in 151 Ländern. Bei jedem dieser Server fragten sie dieselben 2.303 Domainnamen ab.
c't erklärt DNSSEC, das DNS-Manipulationen verhindern soll.
Das war einerseits eine Liste besonders zensurgefährdeter Domainnamen, die vom Citizen Lab erstellt wird und über 1300 Einträge zählt. Andererseits nahmen die Forscher rund 1000 zufällig gewählte Domainnamen aus der Alexa-Top-10.000-Liste. Dazu kamen drei unverdächtige Kontrolldomains, die von den Wissenschaftlern selbst verwaltet werden und keine Zensur anziehen dürften.
Die Auswertung ist aber nicht trivial. Denn nicht jede DNS-Antwort ist falsch, nur weil sie von einer anderen, als korrekt bestätigten Antwort abweicht: Insbesondere größere Webseiten haben aufgrund von Content Delivery Netzen regional unterschiedliche IP-Adressen. Diese harmlosen Divergenzen dürften die Forscher durch automatisierte Analysen von HTTP-Inhalten, HTTPS-Zertifikaten, und diversen Metadaten weitestgehend eliminiert haben.
- Das Paper "Global Measurement of DNS Manipulation" mit näheren Angaben und weiteren Auswertungen ist auf der Webseite der Usenix Security frei verfügbar.
(ds)
