Original-URL des Artikels: https://www.golem.de/news/netzsperren-wie-katalonien-die-spanische-internetzensur-austrickste-1801-131974.html    Veröffentlicht: 05.01.2018 12:02    Kurz-URL: https://glm.io/131974

Netzsperren

Wie Katalonien die spanische Internetzensur austrickste

Im Streit über die verbotene Volksabstimmung zur Autonomie Kataloniens hat die Blockade von Internetseiten eine wichtige Rolle gespielt. Doch es hat Möglichkeiten gegeben, die Sperrungen zu umgehen und neuartige Verfahren zu testen.

Die Auseinandersetzung über das Unabhängigkeitsreferendum in Katalonien ist auch intensiv im Internet ausgetragen worden. Während die spanische Regierung verhindern wollte, dass sich die Katalanen über die Abstimmung im Netz informierten, versuchten Aktivisten und Landesregierung, mit technischen Tricks die Blockaden zu umgehen. Wie dieses Katz-und-Maus-Spiel im vergangenen September und Oktober ablief, hat der in Barcelona lebende Programmierer Matthias Brugger auf dem jüngsten Kongress des Chaos Computer Club (CCC) in Leipzig (PDF) erläutert. Dabei stützt er sich im wesentlichen auf bereits publizierte Analysen und Berichte zu den Ereignissen.

Für Brugger waren die Ereignisse um die für illegal erklärte Volksabstimmung der bis dato wohl größte Fall von Internetzensur in der Europäischen Union. In technischer Hinsicht ging es bei dem Referendum unter anderem darum, eine umfangreiche Datenbank mit persönlichen Daten der Wahlberechtigten so aufzubereiten, dass sie nach einer Domainsperrung durch die spanischen Behörden leicht auf einem anderen Server geklont werden konnten. Generell standen die Katalanen vor dem Problem, gesperrte IP-Adressen zu umgehen - auch am Wahltag. Mit Hilfe eines digitalen Wählerverzeichnis wollten die Katalanen verhindern, dass Wähler mehrfach ihre Stimme abgaben.

Viele Spiegelseiten eingerichtet

Den Behörden und Providern stand ein großes Repertoire an Maßnahmen zur Verfügung. Schon einige Wochen vor der Abstimmung vom 1. Oktober 2017, am 13. September 2017, war die Website der katalanischen Autonomiebehörde zum Referendum, Referendum.cat, von der Justizbehörde beschlagnahmt worden; sie ist auch Monate nach der Wahl noch gesperrt. Dazu wurde die spanische Polizei laut Brugger beim Provider CDmon vorstellig.

Wie zu erwarten tauchten jedoch schnell Domains auf, die den Inhalt der Seite spiegelten. Dazu zählten unter anderem ref1oct.cat und ref1oct.eu, die in Großbritannien und Luxemburg registriert wurden. Doch schon am 15. September 2017 erhielt der katalanische Top-Level-Domain-Operator, die Fundació .cat, eine richterliche Aufforderung, die Mirror-Domains mit der Endung .cat abzuschalten und auf eine Polizeiseite umzuleiten. Zudem sollte die Fundació aktiv alle Domains blockieren, die Informationen über das Referendum enthielten. Darüber beschwerte sich der Registrator am 17. September 2017 bei der Internetnetverwaltung ICANN.

14 Personen festgenommen

Um ihre Blockadeziele zu erreichen, übernahmen die spanischen Behörden zunächst auch das katalanische Finanzministerium, das die Ausgaben für das Referendum tragen sollte. Am 20. September nahm die spanische Polizeieinheit Guardia Civil zudem 14 Personen fest, die die Abstimmung mitorganisieren sollten. Dazu gehörten zwei Mitarbeiter der Telekommunikationsbehörde CTTI, ein Mitarbeiter der IT-Sicherheitsbehörde Cesicat und der technische Direktor der Fundació.cat. Sogar die spanische Chefin von T-Systems wurde festgenommen, weil das Unternehmen an der Organisation des illegalen Referendums beteiligt gewesen sein soll.

Zur Blockade der Seiten nutzen die Behörden und Provider neben der Beschlagnahme der .cat-Domain noch DNS-Manipulation (DNS-Tampering) und HTTP(S)-Blockaden. Das Open Observatory of Network Interference (Ooni), das mit Hilfe einer freien Software Netzblockaden untersucht, kam Anfang Oktober auf 25 blockierte Domains, andere Quellen listeten 70 Websites auf. Medienberichten zufolge wurden sogar 140 Domains blockiert. Doch die Behörden gingen nicht nur elektronisch gegen die Spiegelseiten vor.

Deep Packet Inspection bei Telefónica

So durchsuchte die Polizei am 22. September die Wohnung eines 21 Jahre alten Studenten in Valencia, der die Adressen gespiegelter Seiten auf Github veröffentlicht hatte. Dabei wurde der Student aufgefordert, Passwörter und Sicherheitsfragen für Github, Facebook, Twitter und seinen E-Mail-Zugang zu ändern.

Mit Hilfe von DNS-Tampering änderten Provider wie Orange, Vodafone und Euskatel die Auflösung der Internetadressen in ihren Domain-Name-Servern. Movistar (Telefónica) nutzte für die HTTP-Blockaden eine Deep Packet Inspection (DPI), um bestimmte HTTP-Anfragen im Traffic zu erkennen: Nach einer Untersuchung der schwedischen Organisation Qurium, die unabhängige Medien in Ländern wie Aserbaidschan oder Myanmar unterstützt, blockierte Movistar mit dieser Technik Inhalte, die beispielsweise auf dem Peer-to-Peer-Netzwerk IPFS (Interplanetary File System) bereitgestellt wurden. Unverschlüsselte HTTP-Anfragen seien mit Hilfe einer Header-Untersuchung, verschlüsselte HTTPS-Anfragen mit einer DPI von SSL-Hello-Client-Nachrichten blockiert worden. Über die im Klartext übertragene Server-Name-Indication (SNI) könne ermittelt werden, von welchem Host ein Zertifikat angefragt worden sei.

Viele Möglichkeiten zur Umgehung der Sperren

Die von Movistar genutzte Technik war entwickelt worden, um den Zugang zu Phishing- oder illegalen Glücksspielseiten zu blockieren. Aus einem entsprechenden Seitentemplate geht laut Qurium hervor, dass die spanischen Ermittlungsbehörden unterschiedliche URLs nutzten, um auf blockierte Seiten weiterzuleiten. Für das katalanische Referendum wurde die Domain http://paginaintervenida.edgesuite.net bei Akamai genutzt.

Mit Hilfe einer verzögerten HTTP-Anfrage könne die DPI jedoch umgangen werden, schreibt Qurium. Dazu reiche ein Shellscript aus, mit dem beispielsweise eine Verbindungsanfrage um mindestens zehn Sekunden verzögert werde. Dann werde die TCP-Sitzung nicht mehr von der DPI überwacht. Ebenfalls seien in der DPI nur bestimmte IP-Adressen von Cloudflare eingetragen gewesen. Bei der Nutzung anderer Adressen habe die Blockade nicht angeschlagen.

Das DNS-Tampering ließ sich jedoch leichter umgehen. Dazu reichte beispielsweise aus, im eigenen Router einen anderen DNS-Server einzutragen. Bei Vodafone sei es sogar möglich gewesen, telefonisch den DNS-Proxy deaktivieren zu lassen, sagte Brugger. Auch mit Hilfe einer VPN-Verbindung ließen sich die DNS-Manipulationen ausschalten.

Datenbank für leichtes Klonen

Brugger hält es insgesamt für technisch einfach, die Blockade zu umgehen. Allerdings dürften die genannten Möglichkeiten für die meisten der 5,3 Millionen Wahlberechtigten dennoch ein Problem dargestellt haben, zumal die Provider in der Regel die Sperren ihren Nutzern nicht kommunizierten. Denn es gab zwei besondere Anforderungen für das Referendum, die sich im Grunde nur über das Internet realisieren ließen.

Zum einen mussten die Wähler über den Ort ihres Wahllokals informiert werden, da die Post sich weigerte, wie üblich die Wahlbenachrichtigungen zu verschicken. Zum anderen sollte es ermöglicht werden, die Stimmabgabe am Wahltag zu protokollieren. Denn es wurde erwartet, dass die Polizei die mehr als 1.000 Wahllokale blockieren würde und daher die Wähler spontan an anderen Orten ihre Stimme abgeben müssten. Dabei musste jedoch verhindert werden, dass sie in mehreren Wahllokalen abstimmten.

Zentrale Datenbank für den Wahltag

Für den ersten Zweck sollte eine Datenbank entwickelt werden, die vor dem Referendum von den Wahlberechtigten auch über geklonte Websites zu erreichen war. Um ihr Wahllokal zu erfahren, sollten die Wähler nationale ID-Nummer (DNI), ihr Geburtstagsdatum und ihre Postleitzahl in ein Webformular eingeben. Der Browser griff dann auf eine Datenbank zu, die das Wahllokal ermittelte. Dabei waren die Daten in einer verschlüsselten Datenbank im Grunde für jeden öffentlich zugänglich. Einer ausführlichen Analyse der Website Hackernoon.com zufolge nutzten die Programmierer jedoch eine Methode, um eine Entschlüsselung der einzelnen Daten oder der gesamten Datenbank zu erschweren.

Dazu bildeten sie zwei unterschiedliche Hash-Werte der verknüpften persönlichen Daten, die einen Zugriff auf das entsprechende Datenbankelement und eine Entschlüsselung der Daten ermöglichten. Der Analyse zufolge müssten Hacker eine Brute-Force-Attacke gegen knapp 55 Billionen Schlüssel starten, um die meisten Daten zu entschlüsseln. Das würde etwa 850 Jahre dauern. Nach Ansicht Bruggers ist die Verwendung eines weiteren zufälligen Schlüssels (Salt) bei der Anwendung nicht möglich gewesen. Jedoch interessierte ihn, ob es bessere Vorschläge zur Lösung des Problems gebe.

Wie zu erwarten, machten die spanischen Behörden die offizielle Seite am Tag nach ihrem Start am 21. September 2017 gleich dicht. Eine Android-App, die das Wahllokal ermittelte, wurde nach wenigen Tagen aus Googles Play Store genommen. Auf Wikileaks ist die Abfrage aber immer noch zu finden. Daher scheint die Methode insgesamt erfolgreich gewesen zu sein.

Konspirativer Schutz für zentrale Datenbank

Doch im Grunde war diese Datenbank nur eine Art Ablenkungsmanöver. Denn die katalanische Regierung plante bereits einen sogenannten censo universal. Das digitale Wählerverzeichnis sollte es ermöglichen, dass jeder Wähler in einem beliebigen Wahllokal seine Stimme abgeben konnte. Dieses Verzeichnis erforderte einen zentralen Server, auf den die Wahllokale am Wahltag zugreifen und jede Stimmabgabe registrieren konnten.

In diesem Fall lag die Herausforderung nicht in der Programmierung der dynamischen Datenbank. Vor allem musste sichergestellt werden, dass die Datenbank trotz zu erwartender Gegenmaßnahmen der spanischen Regierung den ganzen Wahltag über erreichbar blieb. Um die technischen Abwehrmaßnahmen unbemerkt vorzubereiten, nutzten Hacktivisten einem Interview zufolge konspirative Mittel wie den Anonymisierungsdienst Tor, den Kryptomessenger Signal, anonyme SIM-Karten oder die Kryptowährung Bitcoin. Kurz vor Öffnung der Wahllokale am 1. Oktober 2017 installierten sie die vorbereitete Software auf Dutzenden Servern weltweit.

DDoS-Attacke auf Reverse Proxies

Von den Wahllokalen aus sollte möglichst einfach auf die Server zugegriffen werden, eine Mobilfunkverbindung sollte ausreichen. Das war auch deswegen erforderlich, weil die Standardverbindung der Wahllokale in Schulen von der spanischen Regierung am Wahltag gekappt wurde. Wie zu erwarten, wurde die offizielle Web-URL registremeses.com innerhalb kürzester Zeit zu blockieren versucht. Sogenannte Reverse Proxies sollten den zentralen Server abschirmen. "Für jede IP, die gesperrt wurden, öffneten meine Kollegen zwei neue", sagte der Aktivist in dem Interview. Die neuen IP-Adressen wurden per Hotline oder Messengerdiensten an die Wahllokale übermittelt. Anschließend mussten sich die Wahllokale wieder neu registrieren. Das führte mitunter zu langen Schlangen bei der Stimmabgabe.

Die IP-Adressen wurden auch mit DDoS-Attacken am Wahltag angegriffen. Qurium vermutet in seiner Analyse, dass Traffic aus Wahllokalen mit DPI untersucht worden sei, um alternative IP-Adressen zu ermitteln und anzugreifen. Zudem wurden die Adressen offenbar in dem spanischen Auto-Diskussionsforum Foro-coches.com gepostet, um sie unter anderem mit DDoS-Attacken per Syn-Flood auszuschalten. Hacker des Anonymous-Kollektivs griffen am Wahltag wiederum das Auto-Forum an.

Krasser Fall von Internetzensur

Trotz der zahlreichen Probleme nahmen 43 Prozent der wahlberechtigten Katalanen an der Abstimmung teil, von denen 90 Prozent für eine Unabhängigkeit des Landes stimmten. Jedoch waren die Internetprobleme mit dem Wahltag noch nicht beendet. Mitte Oktober wurde die Website des katalanischen Parlaments (ANC) vom Netz genommen, Ende Oktober mehrere Websites der katalanischen Regierung.

Die EU kritisierte Brugger abschließend dafür, die Maßnahmen nicht ausreichend verurteilt zu haben. Für besonders bedenklich hält er den Versuch der spanischen Regierung, dem Domainregistrator Fundació .cat die Zensurmaßnahmen aufzubürden. Auch sei großer Druck auf Personen ausgeübt worden, die Spiegelseiten zur Verfügung gestellt hätten. Beobachter verwiesen zudem darauf, dass eine Infrastruktur zur Sperrung krimineller Internetseiten leicht für politische Zwecke eingesetzt werden konnte. Die Electronic Frontier Foundation (EFF) kritisierte in einer Stellungnahme ebenfalls den Angriff auf den Domainregistrator. Nach Ansicht Bruggers ist es der spanischen Regierung trotz der Internetzensur nicht gelungen, das illegale Referendum zu verhindern.  (fg)


Verwandte Artikel:
Kreditkarte: Großbritannien schafft Altersverifikation für Online-Pornos   
(18.07.2017, https://glm.io/128992 )
Mays Wahlprogramm: Britisches Internet soll sicherer Kinderspielplatz werden   
(20.05.2017, https://glm.io/127943 )
Leistungsschutzrecht: Google News in Spanien wird dichtgemacht   
(11.12.2014, https://glm.io/111096 )
2012: Facebook rollt aus   
(28.12.2012, https://glm.io/96465 )
Reverse Engineering: Das Xiaomi-Ökosystem vom Hersteller befreien   
(23.02.2018, https://glm.io/132878 )

© 1997–2019 Golem.de, https://www.golem.de/