Umgehung von Netzsperren
Nach dem OGH Beschluss zu Netzsperren im Zusammenhang mit der Website kino.to und dem Internet Service Provider UPC, bei dem Entschieden wurde, dass Sperrverfügungen zulässig sind, solange man sich an die EuGH-Rechtsprechung (Rechtssache C-314/12) hält, sehen sich die Access-Provider mit zahlreichen Forderungen konfrontiert den Zugang zu Seiten mit rechtsverletzenden Inhalten zu sperren. Nicht nur seitens der Filmindustrie, die die Klage – insbesondere mit Hilfe des Vereins für Antipiraterie (VAP) – im oben genannten Musterprozess angestrengt hat, sondern auch seitens der Musikindustrie werden die Provider zu Netzsperren aufgefordert, da nun auch der Verband der österreichischen Musikwirtschaft (IFPI) Sperraufforderungen verschickt hat. Nach der Website kino.to war das Pendant movie4k.to und kinox.to auf dem Radar der Filmindustrie und bei den Aufforderungen des IFPI sind hauptsächlich Bittorrent-Portale wie thepiratebay.se, isohunt.to, 1337x.to und h33t.to betroffen, die die Torrent-Dateien für den Peer-to-Peer Datenaustausch bereitstellen.
Recht auf Informationszugang
„Das vom EuGH betonte Recht der Nutzer auf rechtmäßigen Zugang zu Informationen“ wäre – wie dies im OGH Beschluss (4 Ob 71/14s) zu lesen ist – bei einer Netzsperre von solchen Bittorrent-Portalen verletzt, da dort (anders als bei kino.to) auch gemeinfreie Werke und Werke mit freien Lizenzen angeboten werden. Diesbezügliche Beispiele sind diverse Linux-Distributionen als Open-Source-Betriebssysteme, freie Textbearbeitungsprogramme wie Open Office oder TeX, das Bildbearbeitungsprogramm GIMP, der Webbrowser Mozilla Firefox, der Apache Webserver oder die Datenbank MySQL, um nur ein Paar zu nennen. „Der Zugang zu [solch] rechtmäßig verfügbaren Informationen darf daher nicht unterbunden werden“, stellt bereits Hon.-Prof. Dr. Hans Peter Lehofer fest und verweist auf YouTube, dessen Sperre nicht möglich wäre, nur weil dort auch urheberrechtlich geschützte Werke verfügbar sind.
Möglichkeiten Netzsperren zu umgehen
Die technische Umsetzung und die Problematik bei solchen Netzsperren stellt eine Hürde für die Access-Provider und dem Branchenverband ISPA (Internet Service Provider Austria) dar, weshalb bisher die Sperren noch nicht implementiert wurden. Denn es steht laut dem OGH dem Provider frei, wie er den Zugang zu den zu sperrenden Seiten verhindert („Erfolgsverbot“). Je nachdem ob es zu einer Sperre der Domain („DNS-Sperre“) oder zu einer Sperre der IP-Adresse des Webservers auf dem die Website gehostet wird („IP-Sperre“) kommt, gibt es verschiedene Möglichkeiten eine Netzsperre des Internet Service Providers zu umgehen. Da mehrere Access-Provider von den Netzsperren betroffen sind, kann es auch zu verschiedenen technischen Umsetzungen kommen, weshalb hier nur auf Umgehungsmöglichkeiten eingegangen wird die unabhängig davon, ob es sich um eine DNS-Sperre oder eine IP-Sperre handelt, den Zugang zu Informationen ermöglicht und zudem die Privatsphäre der Nutzer schützt, indem ein anonymes Surfen im Internet gewährleistet wird.
CRYP7 – Privacy Gateway
Das Privacy Gateway welches im Zuge des cryp7 Projekts realisiert wurde stellt sämtliche Dienste und benötige Software zur Umgehung einer Netzsperre und zum anonymen Surfen zur Verfügung. Es bietet Schritt für Schritt Anleitungen der einzelnen Dienste für die verschiedenen Betriebssysteme (Windows, OS X, Linux, Android, iOS) an.
Die angebotenen Services sind:
- OpenVPN – Baut ein Virtual Private Network (VPN) auf.
- Tor – Anonymisiert sämtliche Verbindungen, indem diese über ständig wechselnde Knoten geroutet werden, die als verschlüsselte Proxy-Server fungieren.
- Diesbezüglich möchte ich kurz auf den am 30. Juli, durch die Veröffentlichung eines Blog-Beitrags seitens der Tor-Betreiber, bekannt gewordenen De-Anonymisierungsangriff auf das Tor-Netzwerk hinweisen. Es wird vermutet, dass es sich bei dem Angriff um dieselbe Schwachstelle handelt, die Forscher der CERT/Carnegie Mellon Universität auf der Black Hat Konferenz hätten präsentieren sollen. Die Anonymität wird bei der Verwendung des Privacy Gateways trotzdem gewährleistet, da dieses als Bridge Relay (mit einem zufällig gewählten Benutzernamen) fungiert und einen Obfsproxy im Einsatz hat, sodass auch eine „Deep Packet Inspection“ seitens des Access-Providers die Verwendung von Tor nicht verhindern kann.
- Stunnel – Erstellt einen Tunnel über eine TLS/SSL Verbindung, sodass ein OpenVPN auch im Falle einer „Deep Packet Inspection“ aufgebaut werden kann.
- OpenSSH – Gewährleistet eine verschlüsselte Verbindung durch das SSH Protokoll.
- Shadowsocks – Routet Netzwerkpakete über einen Proxy Server mittels dem Socks5 Protokoll.
- L2TP/IPsec VPN – UPDATE 14.08.2014: Wird von Windows, OS X, Linux, iOS & Android ohne zusätzlich benötigte Software unterstützt.
ist derzeit in Arbeit.
Die Dienste laufen auf einem Server innerhalb der europäischen Union, wobei der EU Datenschutzstandard garantiert wird und keine IP-Adressen und sonstigen Informationen der Clients gespeichert werden, da das Gateway über eine verschlüsselte TLS/SSL Verbindung (https://gateway.cryp7.com) oder als Tor Hidden Service (https://azbt3cjmhnv57is3.onion) erreichbar ist, was ein Nginx-Server durch einen Passwortschutz gewährleistet.
Technische Details
Um die Sicherheit des Privacy Gateways verifizieren zu können, muss ein X.509 Zertifikat installiert werden, sodass der Webbrowser sicherstellen kann, ob tatsächlich mit dem cryp7-Server kommuniziert wird und kein Man-in-the-Middle Angriff vorliegt. Die Integrität der jeweiligen Software wird durch eine Checksumme (SHA-256) sichergestellt oder durch die Verifizierung mittels einer PGP Signatur, falls dies vom Hersteller bereitgestellt wird. Die Dienste hören nicht auf Standard-Ports, sondern beispielsweise bei OpenVPN auf den Port 636, welches der Standard-Port von LDAP/SSL ist und daher von den meisten großen Unternehmen eingesetzt wird, wodurch die Blockierung derartiger Ports als sehr unwahrscheinlich gilt, da dies einen großen wirtschaftlichen Schaden verursachen würde.
Sensibilisierung der Gesellschaft
Denn es wurde durch die von Edward Snowden bekannt gewordenen Programme wie PRISM bereits mehr als genug Schaden angerichtet. Der Geheimdienstskandal rund um die National Security Agency (NSA) hat einerseits das Vertrauen der Benutzer in das Internet, die dahinterstehenden Unternehmen und die verantwortlichen Regierungen nachhaltig erschüttert. Andererseits bangen Unternehmen um sensible Kundendaten, sowie um Ergebnisse langjähriger Forschungs- und Entwicklungsarbeit.
Eines kann man den Zensurmaßnahmen wie Netzsperren und die Überwachung von Regierungen jedoch positives abgewinnen und zwar die Sensibilisierung der Gesellschaft hinsichtlich Themen wie Datenschutz und IT-Sicherheit. Daher hat verschlüsselte Kommunikation und Anonymität im Internet einen immer größeren Stellenwert in der Bevölkerung und das ist gut so.
L2TP/IPsec VPN ist fertig! =)
Das cryp7 Privacy Gateway unterstützt jetzt auch gesicherte Verbindungen über L2TP/IPsec VPNs. Der einfachste Weg eine Netzsperre zu umgehen und anonym zu surfen.