Zensurmethoden
Übersicht:
| dns-sperre | content-filter | routerblock | transparenter proxy |
dns-sperre
Jeder Computer im Internet wird über eine weltweit eindeutige, 4 Byte lange IP Adresse adressiert. Da sich diese IP Adressen schlecht merken lassen, wurde das Domain Name System (DNS) eingeführt. Dadurch wird die Verwendung von Domain Namen erst möglich. Das Domain Name System (DNS) ist für die Umsetzung von Rechnernamen, in IP Adressen zuständig. Vergleichbar mit einem Telefonbuch, in dem zu einem Domain-Namen die IP nachgeschlagen werden kann. Bei der DNS Sperre löscht der sperrende Internet-Service-Provide entweder Einträge in seiner DNS Datenbank oder verändert den Eintrag so, daß der Surfer auf einer anderen Seite landet, als der ursprünglich von ihm angeforderten.
Solche Sperren sind jedoch sehr leicht zu umgehen.
Nutzerseitige Umgehungsmöglichkeiten:
Anbieterseitige Umgehungsmöglichkeiten:
content-filter
Mit Content-Filtern (Inhaltsfilter) lassen sich E-Mails oder Websites auf bekannte illegale/unerwünschte Inhalte überwachen und diese ggf. ausfiltern oder sperren. Diese Filter arbeiten im Normalfall mit Blacklists, welche IP-Adressen, Stichworte, URLs oder Hashes enthalten. Die Listen müssen ständig aktualisiert werden um eine möglichst hohe Erkennungsrate zu erreichen. Um den Datenstrom zu kontrollieren werden die Filter dazu an zentralen Übergabepunkten des Internets angesetzt (bsp. ISPs). Weil jedoch sehr viele Daten kontrolliert und gefiltert werden müssen kommen die Server und Content-Filter beim Datentransport oftmals kaum hinterher, so dass das gesamte Netz in Spitzenzeiten sehr langsam wird. Oft führt der Einsatz solcher Content-Filter auch zu Irrtümern, da der Filter nicht zwischen doppeldeutigen Wörtern unterscheiden kann. Außerdem lassen sich viele Dinge geschickt umschrieben welche vom Filter so dann nicht erkannt werden.
Nutzerseitige Umgehungsmöglichkeiten:
router-block
Das Internet besteht aus vielen einzelnen Segmenten, die durch Router miteinander verbunden sind. Ein Router kann nun jedoch so konfiguriert werden, dass der komplette Datenverkehr zu einer bestimmten IP-Adresse nicht weitergeleitet wird. Da das Filterkriteriem die IP-Adresse ist, werden neben www auch Dienste wie E-Mail, IRC, Usenet etc. des Zielrechners blockiert. Ein weiteres Problem entsteht, wenn sich hinter der gesperrten IP-Adresse ein “virtual host” verbirgt. Das heißt, wenn unter der IP-Adresse mehrere Domains und natürlich mehrere Dienste erreichbar sind. Somit werden alle gesperrt.
Nutzerseitige Umgehungsmöglichkeiten:
Anbieterseitige Umgehungsmöglichkeiten:
transparenter proxy
Ein Transparenter Proxy wird im Normalfall nicht bemerkt und erfordert keine zusätzliche Konfiguration beim Anwender. Der Proxy lauscht dabei am Informationsverkehr zwischen dem Clienten und dem Internet. Jede Anfrage wird über diesen Proxy geleitet, dieser vergleicht dann die URL im HTTP Request Header mit einer Blacklist die alle zu sperrenden Seiten enthält. Ist die URL in der Liste enthalten, so wird die Anfrage des Clienten blockiert, andernfalls wird die Antwort zum Clienten weitergeleitet.
Theoretisch ist es so möglich sehr gezielt zu filtern. Auch selbst einzelne Teile der Website, wie beispielsweise Bilder, können so ausgeblendet/verfälscht werden. Jedoch kann auch dieser Filter sehr einfach umgangen werden.
Nutzerseitige Umgehungsmöglichkeiten:
umgehungsmöglichkeiten
[1] Verwendung eines zensurfreien DNS Servers
Es ist nicht verbindlich, dass ein Kunde die DNS-Server seines ISPs benutzen muß. Es ist problemlos möglich, einen beliebigen DNS-Server zu benutzen. Durch das Abändern des DNS-Server Eintrags, schickt das Betriebssystem die DNS Anfrage nicht an den Server des eigentlichen Providers, stattdessen übernimmt ein anderer (zensurfreier) DNS Server diese Aufgabe.
Der CCC e.V. stellt ein Anleitung 
zur Konfiguration der DNS Einstellungen bereit.
Mögliche DNS Server die verwendet werden können:
194.246.96.49 (dns2.denic.de)
194.246.96.25 (dns3.denic.de)
194.25.2.131 (dns02.btx.dtag.de)
212.77.0.2 (Vatican City, Italy)
192.36.125.2 (Stockholm, Sweden)
200.19.119.99 (Sao Paulo, Brasil)
193.109.126.140 (Leuven, Belgium)
193.125.152.3 (Moscow, Russia)
130.59.211.10 (Zurich, Switzerland)
195.130.89.210 (Athens, Greece)
192.94.163.152 (Barcelona, Spain)
200.10.202.3 (Buenos Aires, Argentina)
193.51.208.13 (Nice, France)
128.86.1.20 (London, UK)
128.8.10.14 (College Park, MD, USA)
—-
Durch die Direkteingabe der IP entfällt die Abfrage an einen DNS Server. Das eigentliche Problem ist jedoch, dass die IP Adresse des Webservers dem Surfer bekannt sein muß. Außerdem darf der Webserver kein “virtual host” sein (mehrere Domainen zeigen auf eine IP Adresse).
—-
[3] Verwendung eines freien Proxyservers
Ist ein Server nicht erreichbar, so kann ein Proxy den Zugriff ermöglichen. Dazu wird im Browser ein freier Proxyserver eingetragen, welcher netzwerktechnisch gesehen “hinter” dem blockenden Router sitzt, und verschafft einem somit Zugang auch zu gesperrten Servern.
Eine Liste mit aktuellen Proxys gibt es beispielsweise hier:
http://www.stayinvisible.com/index.pl/proxy_list
http://www.atomintersoft.com/products/alive-proxy/proxy-list/80/
—-
Darunter versteht man das Anfertigen einer genauen Kopie einer Website, auf einem anderen Server. Mit dieser Methode ist es möglich, eine gesperrte Site an einem anderen, erreichbaren Ort zu spiegeln. Je größer der Medienrummel um eine Sperrung, desto größer die Zahl der Anbieter, die den gesperrten Inhalt spiegeln. Dies kann regelrecht zu einem Wettlauf, wie zwischen Igel und Hase ausarten. Mirrors sind kaum kontrollierbar.
—-
[5] Verschlüsselte Datenübertragung
Filter können oftmals umgangen werden indem man Daten verschlüsselt abruft, dies muß der Webserver jedoch unterstützen. Eine mit verschlüsselte gesicherte Verbindung erkennt man der Protokollbezeichnung in der URL: “https://”
Dieses Vorgehen hilft jedoch bei einer Sperrung von kompletten Domains oder deren IP-Adressen nicht viel. Man kann einen solchen Contentfilter aber umgehen, indem man einem SSL-verschlüsselte Verbindungen zu einem Rechner aufbauen, der nicht von den blockiert wird. Über diesen werden schließlich zensierte Inhalte aus dem Netz angefordert und an den Client übertragen. JAP bietet jedem User die Möglichkeit, einen SSL-Proxy zu tunneln, um so beispielsweise Content Filtering zu umgehen. Auch Proxytunnel bietet Usern die Möglichkeit, beliebige TCP-Verbindungen via SSL zu tunneln. Serverseitig ist dafür nur ein SSH-Server notwendig.
Hinweis: In manchen Ländern ist der Einsatz von Verschlüsselungssoftware streng verboten und wird teilweise hart bestraft.
—-
Im Internet erreicht eine E-Mail ihren Empfänger nicht direkt sondern passiert zahlreiche verschiedene Server. Die Übertragung einer eMails gleicht dem Versenden einer Postkarte, denn jeder der sie in die Hand bekommt kann sie problemlos mitlesen. Um sich davor zu schützen kann eine E-Mail verschlüsselt werden. Das bekannste und effektivste Programm dafür nennt sich PGP/ GnuPG. Unbefugten ist es damit auch mit größter Anstrengung nicht möglich die E-Mail zu entschlüsseln. GnuPG ermöglicht zudem auch das Signieren von E-Mails. Damit läßt sich die Identität des Absenders prüfen und gewährleistet, dass die E-Mail von Dritten nicht verändert wurde.
Interessierte finden im Internet zahlreiche Anleitungen und Konfigurationshilfen um in Zukunft den E-Mail Verkehr zu verschlüsseln. So stellt beispielsweise das Landeszentrum für Datenschutz Schleswig-Holstein eine Anleitung zum Download bereit
Hinweis: In manchen Ländern ist der Einsatz von Verschlüsselungssoftware streng verboten und wird teilweise hart bestraft.