Wikileaks & Cablegate -- Technologische Versäumnisse und Verschwörungstheorien
Ob das, was Wikileaks macht gut oder schlecht ist, möchte ich hier nicht erörtern, das bedarf eines anderen Rahmens. Eine interessante Auseinandersetzung mit dem Thema bieten zum Beispiel werquer, Michel Reimon, Heinz Wittenbrink. Ich möchte mich hier auf einige Aspekete konzentrieren, die zum Teil auch schon Gerald Bäck in seinem Bäckblog angerissen hat.
Not unexpectedly, the fight for / agianst free speech has turned into an infrastructure war. Domains, hosting, payment etc.
Was mich im Umfeld dieser ganzen Wikileaks-Geschichte irritiert ist, wie tölpelhaft die Informationstechnologie durch Wikileaks eingesetzt wird. Es ist ja nicht so, als hätten Assange und Co. keine IT-Spezialisten bei der Hand. Man denke z.B. nur an den „hacktivist” Jacob Appelbaum, der u.a. beim das Anonymisierungstool „Tor” eine maßgebliche Rolle spielt.
DNS
Gerald Bäck schrieb in seinem Blog-Eintrag:DNS, TCP/IP und das ganze Netzwerkzeug ist echt nicht mein Ding, aber spätestens seit der DNS Provider die Wikileaks.org Domain gekappt hat, wurde wieder aufgezeigt, was ohnehin klar war. Unser gesamtes DNS System hängt von den USA ab. Das ist weder im Sinne eines dezentrales Netzes, das auch dann noch funktionieren sollte, wenn wesentliche Teile ausfallen, noch im Sinne der Europäischen Union. Keine Ahnung, wie man sowas umsetzen könnte, aber hier besteht dringender Handlungsbedarf.
Meine Irritation fängt beim Thema Domain/DNS an. Nein, die US-Regierung hat die Domain nicht über die ICANN oder Verisign (Verwalter der .org Domains) ausgeübt und die DNS Root-Server (die u.a. auch in Europa stehen) sperren lassen. Das DNS ist bereits dezentral aufgebaut und das wikileaks.org offline ging, war allein ein Verschulden von Wikileaks und nicht von EveryDNS oder der ICANN.
Wikileaks konnte davon ausgehen, dass ihre Veröffentlichungen eine Reaktion hervorrufen. Unter diesen Voraussetzungen auf einen kostenlosen DNS-Provider zurückzugreifen, würde ich aus IT-Admin Sicht schon als grob fahrlässig bezeichnen.
Unter diesen Umständen muss man halt selber – oder mit der Hilfe kompetenter Dienstleister – einige DNS-Server betreiben, welche diesen Angriffen widerstehen können. Willkommen im Erwachsenen-Internet (© holgi im NSFW Podcast, ca. Minute 18).
Oder man zeigt sich als Wikileaks etwas kreativer und Crowdsourced das DNS, indem man Domain-Inhaber darum bittet wikileaks.example.com einzurichten.
Und wenn ICANN und Verisign doch noch etwas auf DNS-ROOT-Ebene unternehmen würden, könnte man immer noch alternative ROOT-Server aufsetzten. Das Einbinden dieser in die persönliche Infrastruktur ist trivial.
Etwas geekiger ist der Ansatz, DNS über eine P2P-Infratstruktur abzuhandeln. Im Gegensatz zu den alternativen Root-Servern, ist der Ansatz aber noch in den Kinderschuhen.
Bei einem DDOS Angriff wie jenem auf die Wikileaks-DNS-Server ist es IMHO klar, dass der kostenlose DNS-Provider das Service für Wikileaks einstellt. Das taten sie mit einer Vorwarnzeit von 24 Stunden und gemäß ihren AGB, Punkt 4.2 und 3.1.
Mehr als genug Zeit für Wikileaks, ihre DNS-Daten für wikileaks.org auf einen anderen Server zu übersiedeln. Anstatt das aber zu tun, haben sie diese einfach auslaufen lassen und dann über andere Domains (.ch, ..) neu angefangen. Sie hätten ja einfach auch die IP-Adresse ihres Servers auf Twitter, … posten können, was sie zunächst nicht getan haben. Stattdessen haben sie um mehr Spenden gebeten. Erst später haben sie dann auch IP-Adressen ihrer Webserver über Twitter bekannt gegeben.
Und die Frage bleibt offen, warum sie auf neue Domains gewechselt sind. Sie müssten für wikileaks.org nur neue Nameserver eintragen und wäre sofort wieder erreichbar. Sind sie so unfähig, oder steckt da ein System dahinter? Will Wikileaks mit dieser vorgehensweise ausprobieren, in welchen Ländern sie Unterstützung bzw. Probleme bekommen könnten?
So das offline Halten der wikileaks.org Domain nicht ein bewusstes, (politisches) Statement ist, hat sich Wikileaks hier sehr unprofessionell und auch phantasielos erwiesen. Man begibt sich nicht ohne Schutzanzug in einen Shitstorm.
Homepage
In Erwartung des Ansturms und Shitstorms hat Wikileaks seine Webserver im Amazon Web Service untergebracht. Woran Wikileaks – und auch all jene, die derzeit nach einem Boykott von Amazon schreien – anscheinend nicht gedacht haben ist, dass Amazon a) Allgemeine Geschäftsbedingungen hat und b) ein börsennotiertes Unternehmen und kein Wohltätigkeitsverein ist.
Und wie im AFK-Bereich ist es auch im Internet üblich, dass man als Dienstanbeter einen Vertrag kündigen darf, wenn sich der Kunde nicht an die AGBs hält.
Auch für das Hosting der Wikileaks-Website gilt das bereits oben gesagte. Im Zweifelsfall muss man halt ins Erwachsenen-Internet wechseln und eigene Server betreiben – an mehreren Standorten.
Ansätze wie Mass-mirroring Wikileaks sind auch eine nette Option, kamen aber viel zu spät – auch wenn sie eine sehr schöne Aktion darstellen.
Sehr geekig wäre es, wenn Wikileaks einfach eine P2P-basierte Site wäre. Edward Benson hat zu einem Wiki-BitTorrent bereits schon mal einen Blogpost verfasst, aber leider nicht weiter verfolgt.
Datenverbreitung
Problematisch ist ja auch die Verbreitung der Rohdaten jenseits der „normalen” Homepage. Diese ist zwar für Redaktionen, etc. die angenehmste Möglichkeit, da sie durch ihre Firewalls hindurch auf diese zugreifen können, für „alternative” Auswertungen sind aber die Rohdaten interessanter.
Diese werden von Wikileaks über Bittorrent zur Verfügung gestellt, wobei sie das Torrent-File zum Start des Downloads auf ihrer Homepage bereits stellen. Hallo Flaschenhals.
Auch hier wundere ich mich wieder, warum die technischen Köpfe hinter Wikileaks hier auf ein Torrent-File setzten, für dessen Verbreitung ein Server ständig verfügbar sein muss, anstatt etwa einen magnet Link zu verwenden.
Darüber hinaus könnte Wikileaks ihre Inhalte natürlich auch noch als „Hidden Services for Tor” zur Verfügung stellen. Das könnte man dann ja beispielsweise mit dem Mass-mirroring Wikileaks kombinieren, um die Wikileaks-Daten dezentralisiert verteilen zu können.
Wunschdenken
Mittelfristig wäre es natürlich grandios, die Funktionalität der Embedded Tor Node Hardware Appliance noch um das das oben beschriebene Hosting und Syncing zu erweitern. Implementiert auf kostengünstigen Plug-Computern und unter Nutzung freier Netzwerke wie Funkfeuer.at hätte man dann eine Infrastruktur, mit deren Hilfe man Wikileaks an jeder Steckdose veröffentlichen könnte.
Weiterführende Links:
- DDoS attack on WikiLeaks exceeds 10 Gbps
- Wired: Hackers Take Down the Most Wired Country in Europe
- Defense Information Systems Agency: Distributed Denial of Service Detection and Reaction
- Barrett Lyon: Using Squid Proxy to Fight DDoS
@nbo Because if they can silence WikiLeaks, they can shut anyone up. Don’t fight for Assange. Fight for yourself.
Hat noch wer Ideen, Verbesserungen, …? Ich freue mich über Input.
Tagged as: cablegate, dns, torrent, wikileaks | Author: Martin Leyrer
[Sonntag, 20101205, 19:16 | permanent link | 1 Kommentar(e)
Ich gebe dir recht, und auch deiner Aufzählung dazu stimme ich zu. Grob fahrlässig finde ich übrigens noch, sowohl Twitter als auch Facebook dynamisch einzubinden. Die meisten Nutzer dieser Dienste bleiben dort sicherlich eingeloggt, was wunderbar personenbezogen Zugriffe dokumentiert.
Was mir ein wenig fehlt bei dir ist die Frage nach Gründen. Du schreibst ja selbst, mangel an technischer Expertise kann es eigentlich nicht gewesen sein. Einen Teilgrund liefert Assange in seinem Guardian-Interview: Er will bewusst die Infrastruktur von angeblich so "freien" Ländern testen. Wenn ich mir die Blogwelt so ansehe, wo im Technikbereich jetzt als Folge über "die Probleme von Clouds" usw. gesprochen wird, dann kann ich das als ITler nur begrüßen. Viel zu blauäugig wird mit der Zentralisierung und Kommerzialisierung aller Infrastruktur/Dienste umgegangen, und wenn Wikileaks dabei ein paar Leute zum Nachdenken bringt, kann ich das nur begrüssen.
Auch die sonstigen Ausfälle führen dazu, Wikileaks immer wieder in den Medien zu halten. Man muss fast unterstellen, dass das pure Absicht ist. Und wenn man sich soziale Medien so ansieht, wie alle Leute abgehen, Listen und Proteste organisieren usw., muss man sagen: Die Strategie funktioniert wunderbar. Hätte man sich von Anfang an verlässliche Infrastruktur besorgt (bei den Spendenbeträgen ein Leichtes), dann würden die Leute jetzt nicht so abgehen. Geil auch die "Twitter zensiert den Hashtag"-Theorie...
Comments are closed for this story.