US-Attacke auf das System der Domänen-Namen

In Amerika sind an die Hundert Domänennamen „beschlagnahmt“ worden, berichtet etwa Heise [1] [2]. Die Begründung dieser Aktion mit fadenscheinigen Urheberrechtsargumenten [3] ist kaum glaubwürdig. Ihre Auswirkung trifft aber einen Nerv des Internet: das System der Domänen-Namen (DNS). Mit einem solchen Vorgehen wird die Aktivität von Millionen von Benutzern weltweit gestört. Man stelle sich vor, was passiert, wenn ein Schurkenstaat dieselbe Methode auf regimekritische Seiten anwendet, auf zentrale Börsen- oder Bankdomänen, auf lebenswichtige Gesundheitssysteme, die heutzutage alle auf dem Internet betrieben werden, oder gleich auf Google. Nach dieser amerikanischen Machtdemonstration, welche Mittel man in einem Cyber-Krieg einsetzen könnte, ist der Anfang vom Ende einer naiven, ungeregelten Informationsfreiheit sichtbar geworden.

Das Experiment

Machen Sie das Experiment selber: In einem ersten Schritt öffnen Sie ein Befehlsfenster, indem Sie unter Windows Start / Ausführen und dort cmd eintippen. (LINUX-Benutzer wissen ohnehin, wie man auf ihrer Version von LINUX ein Befehlsfenster öffnet.) In diesem Fenster tippen Sie folgende Befehle (jeweils gefolgt von der Betätigung der Eingabetaste):

nslookup 208.101.51.56

Die IP-Adresse (Internet-Protokoll-Adresse) 208.101.51.56 war vor der Beschlagnahme die Adresse der Domäne torrent-finder.com, einem beliebten Download-Service, der übrigens kaum mit Urheberrechtsverletzungen in Verbindung gebracht werden kann, Wenn man im Browser die URL http://208.101.51.56 eingibt, kommt man auch immer noch auf den gewünschten Server. Nur, wer kennt schon die IP-Adressen auswendig, die zu den Domänen-Namen in der URL gehören, wenn letztere beschlagnahmt sind?

Die Behörden, welche die Domäne beschlagnahmt haben, waren zu unfähig, den Reverse-Lookup (von IP-Adresse zu Domäne) zu unterbinden. (Den Fehler werden sie beim nächsten Mal nicht mehr machen!) Darum antwortet nslookup mit der Domäne torrent-finder.com, für welche die IP-Adresse registriert ist. Wenn Sie nun

nslookup torrent-finder.com

eintippen, um die zur Domäne torrent-finder.com gehörige IP-Adresse zu finden, erleben Sie eine Überraschung: nslookup antwortet mit 74.81.170.110, dabei hatten wir wieder 208.101.51.56 erwartet. Es kommt oft vor, dass verschiedene Domänen-Namen auf dieselbe IP-Adresse verweisen. Die Domäne der Haupt-IP-Adresse, welche im Reverse-Lookup eingetragen ist, sollte aber schon wieder auf diese IP-Adresse zeigen. Wenn Sie http://74.81.170.110 als URL im Browser eingeben, erscheint dieselbe idiotische Beschlagnahme-Meldung, wie wenn Sie http://torrent-finder.com eingeben. Der Browser benützt den Domänen-Namen-Lookup, der uns von nslookup angezeigt wird, um die IP-Adresse zu finden, von der die angeforderte Seite zu beziehen ist.

Erforschen wir, was hinter diesen neuen IP-Adresse steckt:

nslookup 74.81.170.110

nslookup antwortet mit dem Domänen-Namen unknown.carohosting.net. Wir können das Internet-Domänen-Registrationssystem WHOIS (http://www.internic.com/whois.html) verwenden, um mehr darüber zu erfahren. Wenn wir dort carohosting.net eingeben, erhalten wir die minimale Information, wo der Domänen-Name carohosting.net registriert ist:

Domain Name: CAROHOSTING.NET

Registrar: DOTSTER, INC.

Whois Server: whois.dotster.com

Referral URL: http://www.dotster.com

Name Server: NS1.CAROHOSTING.COM

Name Server: NS2.CAROHOSTING.COM

Status: ok

Updated Date: 10-jul-2010

Creation Date: 09-jul-2007

Expiration Date: 09-jul-2011

Der Whois Server whois.dotster.com stellt sich zwar tot, aber unter http://www.dotster.com findet man den WHOIS Service (https://secure.dotster.com/services/whois.php) dieses in Vancouver, Kanada, domizilierten Registrars. Wenn man dort carohosting.net eintippt, erhält man Auskunft, wer die Domäne registriert hat:

Registrant:

CaroNet Managed Hosting

900 Center Park Drive

Suite A

Charlotte, NC 28217

US

Registrar: DOTSTER

Domain Name: CAROHOSTING.NET

Created on: 09-JUL-07

Expires on: 09-JUL-11

Last Updated on: 19-JUN-10

Administrative, Technical Contact:

Master, Host hostmaster@carohosting.com

CaroNet Managed Hosting

900 Center Park Drive

Suite A

Charlotte, NC 28217

US

980-322-0195

Domain servers in listed order:

NS2.CAROHOSTING.COM

NS1.CAROHOSTING.COM

Es ist möglich, dass diese Firma CaroNet Managed Hosting in Charlotte, NC von Dritten missbraucht wurde. Aber die Nähe zu wichtigen Sitzen der CIA und des NCS (National Clandestine Service – schöner Name!) ist doch auffällig.

Das Problem

Das Experiment sollte einerseits aufzeigen, wie zentral das System der Domänen-Namen ist. Man stelle sich einfach eine beliebige andere Domäne statt torrent-finder.com vor, die so gegen ihren Willen umgeleitet wird. Eine Umleitung braucht auch nicht in einer debilen Urheberrechts-Meldung zu enden. Sie könnte Ihnen auch eine mit der Originalseite verwechselbare Anmeldeseite für Ihr Bankkonto anzeigen und mit den von Ihnen eingegebenen Sicherheitsdaten auf Ihrem Bankkonto beliebiges Unheil anrichten. (Leider ist das gesamte weltweite Telebanking immer noch nicht gegen Mittelsmann-Attacken gefeit, obwohl das nicht so schwierig wäre.) Zur Umleitung ist weder die Information noch die Zustimmung des Domäneninhabers nötig. Dessen Server läuft fröhlich weiter, wenn auch mit eher wenigen Besuchern. Eine Weile lang dürften noch Benutzer mit im Browser gecachten IP-Adressen den richtigen Weg finden.

Andererseits sollte das Experiment demonstrieren, was das System der Domänen-Namen ist und wozu es dient. Sie können im Befehlsfenster jetzt exit tippen, um es zum Verschwinden zu bringen. Das Experiment ist abgeschlossen.

Während das Internet mit seinen IP-Adressen, das Netz zwischen den Netzen, welches Teilnetze global verbindet, zwar lokal leicht verwirrbar ist, besitzt es doch keinen zentralen Mechanismus, mit dem man es global ausser Gefecht setzen kann. Das System der Domänen-Namen jedoch, welches einer Domäne eine IP-Adresse zuordnet, ist hierarchisch aufgebaut. Der hinterste Teil eines Domänen-Namens (.com oder .ch) ist eine sogenannte Top-Level-Domäne. Diese werden für die einzelnen Länder national verwaltet, für die „klassischen“ .com etcetera standen die Server früher im MIT, welches sich gegen jegliche politische Instrumentalisierung wehrte. Heute werden sie von verschiedenen privaten und öffentlichen amerikanischen Institutionen betrieben und sind somit der Jurisdiktion der USA hilflos ausgeliefert. Konkret hat die US-Justiz in diesem Fall in die von VeriSign, Inc. verwalteten Server eingegriffen. (Es dürfte unklug sein, in Zukunft Zertifikate von dieser Firma zu beziehen.) Weil im Ausland verwaltete Top-Level-Domänen nicht ganz so leicht beschlagnahmt werden können, funktioniert etwa die Domäne torrent-finder.info noch.

Die Konsequenzen

Eine der Konsequenzen ist, dass sich normale Benutzer mit den Konzepten IP-Adresse und Domänen-Name vertraut machen müssen, um Kontrolle zu behalten, was mit ihnen passiert. Eine generelle Anzeige der IP-Adresse in Browsern (also was nslookup ausgeben würde) wäre sehr wünschbar. In der Türkei haben die Benutzer schon lange gelernt, wie man die IP-Adresse von YouTube eingibt, um die behördliche (übrigens ebenfalls urheberrechtlich begründete) Zensur zu vermeiden.

Eine andere Konsequenz ist, dass die USA der Welt gezeigt hat, wie man Cyber-Krieg spielt. Es ist zu befürchten, dass diese Welt sich sehr lernfähig zeigen wird.

Der konkreten Bedrohung des Systems der Domänen-Namen kann begegnet werden, wenn man möglichst viele Clone der Top-Level-Domänen-Server aufstellt. Wenn diese historisiert – etwa in der Landesbibliothek – verfügbar sind, kann man wenigstens manuell alte Domänen-IP-Verbindungen nachschauen.

Generell muss man aber wohl die Governance des Internet auf die Länge dem – bisher so liberalen und bequemen – Laisser-Faire-Raum der amerikanischen Justiz entziehen und einer UNO-nahen supranationalen Institution übertragen, welche solche systematischen, menschenverachtenden Verletzungen der internationalen Kommunikation mit der Gewalt ihrer Teilnehmerstaaten sanktionieren kann.

4 thoughts on “US-Attacke auf das System der Domänen-Namen

  1. Pingback: Tweets that mention US-Attacke auf das System der Domänen-Namen - Digitale Allmend -- Topsy.com

  2. About ICE’s In Our Sites 2 video linked to in note 3 as an illustration of the flimsiness of the copyright pretext for the operation, here is the transcript: Morton and Ross’ warmongering tones are akin to George Bush’s “War against Evil” communiques ust after 9/11:

    John Morton (Director of ICE): Today is Cyber Monday, one of the busiest Internet shopping days of the year.
    According to the National Retail Federation, nearly 100 million people shopped on this day last year, and we expect similar numbers this year.
    Most of this commerce is legitimate: real goods, real vendors, real presents for the Xmas tree.
    Parts of this commerce are also a fraud: fake goods, fake vendors, shoddy presents unlikely to bring any holiday cheer.
    Counterfeiters are prowling in the back alleys of the internet, masquerading, duping and stealing.
    They are masquerading as legitimate retailers, duping shoppers, and stealing from real businesses and their workers.

    William Ross (ICE)These web sites were just seized by the US government.
    Why? they were selling counterfeit and pirated versions of trusted-branded products.
    Shutting down these sites is the job of the National Intellectual Property Rights Coordination Center,
    and HSI, Homeland Security Investigations, a unit within ICE
    This operation, called Operation in Our Sites II,
    was conducted during the lead-up to Cyber Monday,
    the busiest online shopping day of the year.
    HSI agents seized dozens of websites selling counterfeit products,
    passing them off as the real thing, and making profits.
    It is our duty to protect the US consumer,
    the companies who have built their reputations on these brand names,
    and the integrity of the Internet.
    For you, the consumer, keep these tips in mind when buying things online:
    Buy from sites that respect the rights
    and if the price is too good to be true, it’s not the real deal.

    John Morton: Have we rid the Internet of these websites? No. There are others, there will be more.
    Will many of these websites reappear under different domain names? Yes, they will.
    But I can tell you this: we are not going away. If we can seize websites, we will.
    If we can find the operators, we will. If we can arrest and prosecute counterfeiters
    and copyright violators, we will.
    This is a long fight. But we at ICE and DoJ are committed to it, period.
    Make no mistake about it. We are in the throes of a heated and pitched battle.
    This isn’t a game, it’s not a sideshow. American business, American labor,
    American innovation are under assault.
    We either wage this fight, here and now,
    or we give in to the steady loss of American ingenuity and know-how.
    William Ross: Remember, the people who steal intellectual property
    are not just taking other people’s ideas.
    They’re taking American jobs, hurting the American economy,
    and potentially threatening your safety.
    And if you see this banner while shopping online,
    you’ll know that the IPR center is looking out for your best interests.
    Happy holiday shopping.
    (onscreen: logos of several institutions, with HSI and IPR logos in the middle)

  3. In Torrent Finder Domain Seizure, published today on torrent-finder.info, Waleed GadElKareem, the owner of torrent-finder.com, describes the seizure and his lawyer David Snead’s so far vain attempts to obtain an explanation for the domain seizure:

    “On Thursday, the 25th of November 2010, the Torrent Finder domain ( http://www.torrent-finder.com ), registered with Godaddy, was seized by the U.S. Immigration and Customs Enforcement (ICE) without any prior takedown notice or specific allegations of infringing activity. The Domain IP was suddenly changed without the registrar’s knowledge and the system displayed a “Pending Registry Action” message on the domain’s status. No contact was given until Wednesday, the 1st of December, when Godaddy replied to my inquiries, giving a contact for an ICE agent.
    On Thursday, the 2nd of December, David Snead who is representing Torrent Finder contacted the ICE agent in charge who told him that “the orders are under seal, but that the seal will be lifted today or tomorrow”. However, we have not heard from them until writing this post. Another email from Godaddy clarified that the action was taken by VeriSign: “please understand that these actions were taken by Verisign at the Registry level; and not by Go Daddy”. (…)
    So far, the real reason of the seizure is not clear. However, there have been suggestions that this is a test case for COICA which has already been protested by many online campaigns such as demandprogress.org and EFF. We ask for your support in our case. please join these campaigns and send your suggestions to our email address. If you are a webmaster please add a link to this post, this is serious and if they pass the law then the sites list will be much bigger, it is as simple as shutting down the sites they do not like!

    Please follow us on twitter for more updates.”

    *****

    Wikileaks – Die Rückkehr der Whistleblower by Torsten Kleinz, Focus.de, March 1st, 2008, describes how and why a US judge lifted his own previous order to seize the Wikileaks.org domain name:

    “In einem umstrittenen Urteil hatte ein US-Gericht Mitte Februar die Webseite Wikileaks sperren lassen. Jetzt ist die Seite wieder online – und erhebt erneut Vorwürfe gegen die Schweizer Bank Julius Bär.
    US-Bezirksrichter Jeffrey White hob am Freitag die Anordnung auf, die den Onlineauftritt Wikileaks seines Domainnamens beraubt hatte. (…)
    Ein weiterer Grund für die Aufhebung der Verfügung war ihre erwiesene Nutzlosigkeit. Obwohl der kalifornische Provider Dynadot wie vom Gericht angeordnet alle Zugänge zu dem Domainnamen gesperrt hatte, waren die Dokumente unter anderen Domainnamen weiterhin im Internet abrufbar. Um gegen die Internetzensur zu protestieren, kopierten zahlreiche andere Organisationen die umstrittenen Dokumente auf ihre eigenen Webseiten. Ergebnis: Statt die belastenden Dokumente aus dem Internet zu verbannen, hatten die Anwälte für eine enorme Verbreitung gesorgt – oder wie es im Urteil lapidar heißt: „Es gibt viele Hinweise darauf, dass die Katze aus dem Sack ist“. (…)

    Yet in spite of this precedent, here are the us DoJ and ICE using the same bound-to-fail tactic again with this “In Our Sites” operation. BTW, why “In Our Sites” if what they are seizing are domain names registered by foreigners? Misspelling for “In Our Sights”, meaning gun sights?

  4. Pingback: atdhe.net wurde beschlagnahmt...