BT hijacks DNS queries

I just configured a new DNS name in one of my domains, which did not exist before. The associated IP number is routed to Germany. But while the name was not really up, the answer should have been NXDOMAIN, meaning that the name does not exist. Example:

$ dig blablablablabla.oeko.net

; <<>> DiG 9.9.5-8-Debian <<>> blablablablabla.oeko.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 38513
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;blablablablabla.oeko.net.      IN      A

;; AUTHORITY SECTION:
oeko.net.               139     IN      SOA     a.ns.oeko.net. hostmaster.oeko.net. 1021018254 16384 2048 1048576 2560

;; Query time: 10 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Feb 12 21:33:53 CET 2015
;; MSG SIZE  rcvd: 105

But instead, they gave a fake answer:

$ dig bla.oeko.net

; <<>> DiG 9.9.5-8-Debian <<>> bla.oeko.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9013
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;bla.oeko.net.          IN  A

;; ANSWER SECTION:
bla.oeko.net.       20  IN  A   92.242.132.15

;; Query time: 32 msec
;; SERVER: 192.168.1.254#53(192.168.1.254)
;; WHEN: Thu Feb 12 19:55:14 GMT 2015
;; MSG SIZE  rcvd: 46
$

As a result, I am unable to check whether my DNS performed correctly, until they deceided to throw the fake answer away.

Of course, this has huge potential for censorship of all kinds, which I have seen in action elsewhere already. I am not the only person aggravated by this kind of behaviour. Please follow the link below to read other people's take on this problem.

Thank you!

Links:

  • http://linuxforums.org.uk/index.php?topic=11464.0

Back to top


DNS: Open Resolvers, Revisited

Long has been the list of failures in ISPs and carriers to force borken DNS servers on their customers, thereby manipulating their customers traffic, or outright censoring what their customers can see. To combat such manipulations, and also to make it harder to observe their customers' behaviour, it has been a pet project for some, also for me at some time, to run an open resolver, that allows random people on the Internet to query your DNS server for an arbitrary name. Unfortunately, the evil guys developed an attack [0] that makes it impractical to run an open resolver. So, while politically desirable, it is unfeasible to run an open resolver, and network operators around the globe strive for shutting them down.

Now, these attacks all rely on the simple fact that, with UDP, you do not have any kind of assurance that the source address in a packet in fact belongs to the sending host. In my opinion, if you are willing to take the effort, there is one obvious way to provide an open resolver that does not have this flaw: For hosts not on your own network, provide DNS over TCP only.

I hope that someone will hack this feature into unbound [1], so people can easily deploy open resolvers in a reasonably safe way, without disrupting the Internet. Currently, unbound's do-udp setting is only a combined setting for incoming and outgoing queries, causing upstream name servers excessive load.

Thank you for reading!

[0]See eg. http://openresolverproject.org/
[1]https://www.unbound.net

Back to top


Schengenrouting = Zensur + Stasi + Monopol

Zum Thema Schengen gibt es offensichtlich einige Unklarheiten, was dies technisch und politisch bedeutet. Daher möchte ich auf einige Punkte, die mir bisher nicht klar genug herausgearbeitet zu sein scheinen, eingehen:

Versuch der Monopolbildung bzw. -erhaltung seitens der Deutschen Telekom

Die Behauptung ist, daß dieses Schengenrouting die in vielen Bereichen noch monopolartige Position der Telekom zementieren würde. Ich teile diese Ansicht. Der Mechanismus dazu sieht für mich wie folgt aus:

  1. Kleiner Wettbewerber X möchte (muß) Daten ins Telekomnetz schicken, weil er die Geschäftskunden und die Telekom die Verbraucher, die die Webseiten seiner Kunden ansehen wollen, hat.
  2. Da die Daten nicht mehr "irgendwo" entlangeroutet werden dürfen, muß der Übergang also neuerdings im Schengenraum liegen.
  3. Im Schengenraum hat die Telekom allerdings kartellartige Möglichkeiten, den kostenfreien Datentransport zu unterbinden, und dadurch X dazu zu zwingen, einen solchen Übergang zum Telekomnetz dort zu Freudenhauspreisen zu kaufen. Die Telekom dient hier nur als prominentes Beispiel für die Verweigerungsfront der wenigen Netzanbieter.

Bisher konnte der seine Daten dann notfalls über die USA, Rußland, Japan oder sonstwohin schicken, bis sie irgendwann im Telekom-Netz ankamen, weil die Telekom dort mit anderen ISPs verbunden ist. Diese Möglichkeit soll jetzt per Gesetz unterbunden werden.

Ein Schengen-Netz ermöglicht eine stark vereinfachte Überwachung und Zensur

Die Datenströme würden in einem Schengen-Netz auf deutlich weniger unterschiedlichen Bahnen als bisher fließen und nicht "heimlich" den Schengenraum verlassen dürfen, und wären daher leichter vollständig erfaß- und zusammenführbar. Außerdem bedingt die Konstruktion, daß die Routingentscheidung nun entlang geographischer Grenzen getroffen werden soll, daß man (a) herausfindet, ob die Daten den Schengenraum verlassen dürfen, was (b) eine massive zusätzliche Netzüberwachung und die Etablierung entsprechender Kontrollmöglichkeiten zur Folge hat. Meiner Einschätzung nach läßt sich die bisher geforderte Kontrolle nicht ohne den flächendeckenden Einsatz von DPI realisieren, eine Technik, die in der Vergangenheit bei anderen Anwendern wie eben dem Iran, aber auch Rußland oder China, immer auf das Heftigste kritisiert wurde.

Die teilweise angesprochene Möglichkeit, Datenverkehr mit Zoll zu beaufschlagen, ergibt sich quasi als Nebeneffekt.

Zusammenfassung und Bewertung

Ein solches "Schengen-Routing" hätte zwangsläufig technische Änderungen am Internet zur Folge, die ähnliche Kontrollmechanismen wie etwa im Iran etablieren würden. Diese wecken nach aller bisherigen Erfahrung auch entsprechende Begehrlichkeiten und laden zu Mißbrauch geradezu ein. Unter wirtschaftlichen Aspekten ist aus meiner Sicht offenkundig, daß die genannten kleineren Anbieter dann keine Chance mehr haben, einer Telekom-Zwangsabgabe in erheblicher Höhe - die Preise beginnen hier bei einigen Tausend Euro pro Monat - zu entgehen, was für viele das Aus bedeuten würde. Das Aus würde schon vorher dadurch kommen, daß die besagten Geschäftskunden von vorneherein einen Bogen um die genannten kleinen Anbieter machen würden, weil sie befürchten müßten, daß sie ihre Zielgruppe nicht mehr erreichen.

Wer Wettbewerb will, sollte sich für einen funktionierenden Markt stark machen, und wer stattdessen ein Monopol will, soll das bitteschön ebenfalls klar sagen.

Die Politik sollte es sich sehr gut überlegen, ob sie wirklich dahingehend Gesetze erlassen will, wenn wenigstens einer der Punkte Wettbewerb, Datenschutz oder Vertragsfreiheit mehr als eine reine Worthülse sein soll.

Für generelle weitergehende Informationen zu derartigen Themen empfehle ich ein Besuch beim CCC.

Back to top


ITU im Internet? Nein Danke!

Noch in den Achtzigern waren die ISO-Jungs, die uns von X.500, dem großen Bruder von LDAP, zu dessen Betrieb allerdings mindestens ein kleiner Mainframe erforderlich war, X.400, wo man damals schon Emails für 50 Pfennig oder so - pro á 10kB - an Leute mit so schönen Adressen wie etwa c=US;a=;p=PoseyEnterprises;o=SouthCarolina;s=Posey;g=Brien verschicken konnte, und ähnlich nützlichen, vor allem aber teuren, Dingen vorgeschwärmt haben, der Meinung, das Internet sei nur ein kleines Strohfeuer, das bald im selbst verursachten Chaos untergehen würde. Wie wir alle wissen, fand diese Einschätzung damals in der Bevölkerung keine Mehrheit, so daß X.400 und Co. heute nur noch in Nischenanwendungen zu finden sind, wo es eben auf Geld nicht unbedingt ankommt. Diesem Chaos muß natürlich irgendwie entgegengewirkt werden, und auch im Internet müssen wieder Zucht, Ordnung, und das obligatorische Zoll- und Mauthäuschen aufgebaut werden. Es ist ja bekanntermaßen ein Unding, daß eine Mail nach Übersee genauso billig wie eine ins Nachbardorf ist, und daß jemand so einfach eine Emailadresse nach eigenem Gusto einrichten kann, statt sich diese - zumindest damals nur in bestimmten Formen, die den Wohnort und/oder Arbeitgeber des Antragstellers genau bezeichnen - erst beantragen und beglaubigen lassen zu müssen, das kann ja unmöglich ein Dauerzustand sein. Oder etwa doch?

Jedenfalls hat die Organisation, die damals diese hervorragenden Vorschläge zur strukturierten Kommunikation erarbeitet hat, kürzlich einen neuen Anlauf zur Eindämmung des Chaos in der Datenkommunikation unternommen und jetzt erklärt, daß sie allein prädestiniert sei, die Aufsicht über das Internet zu übernehmen. Und natürlich, daß dies eine eilige Angelegenheit sei, die keinen weiteren Aufschub dulde.

Dieser Einschätzung kann ich mich ganz und gar nicht anschließen, sondern ersuche die Leser dieser Zeilen darum, sich stattdessen möglichst gegen derartige Vorschläge (siehe Linkliste unten) zu engagieren, denn sonst ist der Tag, an dem man auch im Internet endlich Roaming-Gebühren nach Art von Handy-Telefonaten zahlen darf, dafür aber öfter eine Seite mit Stopschild - natürlich nur zu unser aller Sicherheit - zu sehen bekommt, nicht mehr weit.

Danke!

Hier sind ein paar Links von anderen Leuten, die schneller als ich waren, ohne jede Wertung:

Back to top


Freedom and the Internet

It has recently surfaced that an Israely company sold Internet control software to Iran. While the story has an ironic twist, it goes on to highlight some problems with the current trend to "manage" the Internet, detailing the possible adverse effects of such technology on Internet users (like facilitating their arrest and torture). Unfortunately, the article refrains from presenting the facts in a neutral way, but instead points fingers at supposedly rogue states while conveniently ignoring the fact that such technology would work just as well against citizens of Western countries, acting up on their respective governments. They might wake up to quite similar fates when eg. their governments become discontent with the Occupy movement gaining more traction (whatever you might think of that movement in the first place) - and you had your first impressions on that. See for example here, here, or here if you missed it so far. Instead of calling for more vendor-control over such software, the emphasis should be placed on generally banning such software in the first place.

As a techie, I can safely say that often, not having such controls to "monitor" and "manage" usage, but simply using larger, dumber pipes, would probably be equally cost effective, or even cheaper. The only adverse side effect, from the perspective of the carriers and the government, will be that they would have to loosen their grip on the populace (ie, you and me).

Which is basically a good thing, isn't it?

Back to top


Net Neutrality, Customized

Over the last few years, probably everyone who believes in an open Internet with non-discriminating access for all interested parties understood that abolishing Net Neutrality would amount to at least slowly, if not radically fast, driving small sites out of "the Internet", ie. present them with barriers-to-entry that they just can't meet. The result of such an effort would most likely be an Internet that consists mainly of your favourite state's authorities' offerings (aka "e-government"), plus the huge amount of corporation-generated content. Like eg. gambling, advertising, online television etc, but with a decreasing amount of actual user-generated content outside of platforms like Facebook or Google-driven stuff. Perhaps some of the more prominent non-profit projects would also remain highly visible because they are already prominent, and because some corporation deigns to sponsor their online activities as an element of their marketing efforts, but the general tendency is simply much in favour of big platforms, and against independent users trying to create their online activity from the ground up.

The efforts to codify Net Neutrality into telecommunications laws were, from my perspective, noticably supported by an initiative including Google and other big corporations, roughly arguing that abolishing Net Neutrality would result in all those small websites that still may make up the bulk of all web content, becoming roughly invisible because they will no longer be able to afford decent Internet access. I fully agree with this assessment. I'm an avid supporter of Net Neutrality myself, and strongly support the idea that the Internet should be open to everyone, for any purpose, and on basically equal terms, and not be reduced to a new technology for distributing TV.

But now I come across a statement of how "Google makes the Web faster" by - gulp - giving higher page ranks to faster websites, arguing, that websites which load faster, are beneficial to the user experience. I don't dispute that a user might like faster loading sites better than slow ones, but the question must be asked why some sites don't load as fast as others. The answer to that question is, in my opinion, quite often how much the web site owner can, or wants, to invest in having his site load fast. I see this move by Google as a change of course, now that they apparently have amassed enough content and their own broadband interests, to gradually deprecate "foreign" content, as much as all (other) carriers want to do, and to not deliver the best content, but only the best user experience. I understand that Google has to consider their growth, and their position against competitors, but none of them elided the slogan "Don't be evil!", and with the position of a market leader, there comes increased responsibility, too.

To me, this move indicates that Net Neutrality, essential for a "democratic" Internet, suddenly is not considered a value in itself by those big players, but only an instrument that may be used against the competition. I'd say that search (eg.) engines should be obliged to not discriminate against smaller websites with less-capable hosting, but exclusively rely on content-related factors instead. Their lesser visibility will impact search ranking, anyway, since these low-performing sites simply cannot be crawled as effectively and efficiently, as can be well-performing sites.

I'd like to take a moment considering the possible impact, political and otherwise, of this change in the ranking algorithm, and what it would mean if the tuning would be adjusted further, giving even more weight to speed. It would play more in favour of centralisation, restructuring the Internet some more from a level playground for all participants to a medium where ever fewer players set the rules for everyone else.

I hope that Net Neutrality can gain enough independent support to become not only the informal consent amonst old hands of the Internet, but be secured for all those who possibly don't even yet know what it is. But we, the users, need to make it happen. Please take the time to ask your delegates scrutinising questions, and vote accordingly.

External links:

Back to top