Zensur Log zu Kinderpornografie-Sperren

Einen recht guten Log der “Zensur-Geschichte” habe ich hier gefunden:

http://nix.over-blog.de/article-27864400.html

Der Autor scheint das auch regelmäßig zu aktualisieren. Den Link kann man sich also mal bookmarken

Achso: und der Link hier wird euer Leben verändern !!!1elf!

Ein liebervoller Touch…

Bei dem lokalen Treffen des Arbeitskreis Vorratsdatenspeicherung in München haben wir auch die Details zum geplanten Grundrechtsfest am 23.05.2009 gesprochen. Aus gegebenem Anlass kam jemand auf die Idee, eine familiäre Atmosphäre zu schaffen. Also mit Schießbuden und so…

Kurzum… die Idee war geboren auf mit SSchäuble und Zensur-Ursula Konterfei beklebte Dosen mit Bällen Schuhen werfen zu lassen. Wer’s schafft, gewinnt ein Grundgesetz

Darauf hin ein Anwesender : “…das gibt dem ganzen einen liebevollen Touch”.

Netz-Sperren fuer alle Seiten, nicht zur KiPo!

Diesmal geht es wirklich schnell… wie ich im Internet-Law Blog über eine Änderung des “Gesetzesentwurf zur Bekämpfung der Kinderpornografie” las:

Die m.E. einzige inhaltlich relevante Änderung wurde in § 8 Abs. 2 TMG-E vorgenommen. Im Entwurf vom 01.04.09 hieß es noch, dass es sich um Angebote handeln muss, die Kinderpornografie enthalten und auf der Sperrliste aufgeführt sind. In der Beschlussvorlage wurde der erste Teil gestrichen, so dass der Provider sperren muss, sobald ein Angebot auf der Sperrliste aufgeführt ist.

Nun, das ist das erste mal, dass ich hier die Farbe Rot verwende. Weil es jetzt echt ans eingemachte geht! Wir müssen da dringend was gegen Unternehmen, und zwar ALLE von uns!

memcached ist cool

Dynamische Webseiten, wie auch diese hier, beziehen ihre Daten aus unterschiedlichsten Quellen und bereiten diese mit einiger Logik auf. Das Kostet nicht nur bei jedem Seiten-Aufruf Rechenzeit sondern verbrät auch gern mal I/O und Traffic.

Deshalb gibt es memcached. Im Zusammenspiel mit dem Memcached-PHP Modul wird das sehr einfach einsetzbar. Beides gibt es als Debian-Packete.

Sämtliche Okjekte, die man im laufe der Seiten-Generierung erstellt oder verändert lassen sich damit im Speicher des Servers ablegen und von dort aus in Millisekunden wieder abrufen. Dieses Blog (wordpress) nutzt es – und auch meine Haupt-Seite habe ich dem entsprechend erweitert. Damit sind meine Seiten-Generierungszeiten von 0,2 auf 0,003 Sec. gefallen. Beachtlich also…

Die Nutzung ist recht einfach. Hier mal ein Beispiel in PHP (wenn auch unschön):

$memcache_planet = new Memcache;
$memcache_planet->connect(’127.0.0.1′, 11211);

$out = $memcache_planet->get(‘meinKey’);

if(empty($out))
{
$in = “Dies ist ein Beispiel”;
$memcache_planet->set(‘meinKey’, $in , 0, 600);
echo “$in”;
unset($in);
}
else
{
echo “$out”;
unset($out);
}

Das ganze versucht einen Key (meinKey) zu aus dem Memcache-Speicher zu lesen. Ist da nix, wird dieser mit einem Timeout von 600 Sekunden (10min) gesetzt und zusätzlich der Inhalt ausgegeben. Wird was gefunden, unterbleibt das setzen ganz und der Key wird einfach ausgeworfen.

DNS Sperren umgehen : Hoch-Gefährliche Argumentation

Immer wieder muss ich lesen oder hören wie einfach doch die geplanten DNS-Sperren (=Zensur) von Zugangsanbietern umgangen werden könnten. Ich halte das für eine sinnlose, wenn gar nicht sogar gefährliche Argumentationsweise.

Aus zwei Gründen:

• ein Normal-Benutzer wird diese Einstellung nicht vornehmen. Wir retten also nur “uns” (die ITler/Geeks und Datenschützer) selbst.
• Provider können mit relativ geringem Aufwand DNS-Anfragen so manipulieren, dass sie immer von deren eigenen DNS-Servern beantwortet werden. Das Prinzip kennen wir schon aus UK, wo mithilfe dieser Technik transparente HTTP-Proxies zwangsweise eingesetzt werden.

Wie letzteres geht? Hier mal ein Beispiel mit NAT, ließe sich aber auch in einer Forward-Regel auf einem Gateway machen. In IOS (cisco-router) geht es auch recht bequem…

iptables -t nat -A PREROUTING -p udp -i eth0 –dport 53 -j DNAT –to <Provider-Nameserver>
iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 53 -j DNAT –to <Provider-Nameserver>

Das ganze leitet alle Anfragen auf tcp+udp port 53 (=dns) auf den Provider-Nameserver um. Es ist völlig egal welchen Nameserver der Benutzer sich dabei selbst einstellt – es kommt immer bei genau dem Provider-Nameserver raus. Und der Benutzer merkt es nichtmal, denn die Quell-IP der Antwort wird die gleiche sein die er angefragt hat. Die Last auf dem Router hält sich dabei übrigens so in Grenzen, dass es sich in den Antwort-Zeiten nicht bemerkbar macht.

Jetzt könnte man natürlich noch einen DNS-Server auf einem anderen Port betreiben und den benutzen. Das wird aber einerseits relativ schwierig, denn wenige Betriebssysteme lassen sich überhaupt dazu überreden für DNS einen anderen Port zum Anfragen zu benutzen.

Zum zweiten könnte der Provider aber mit einer Layer7-Regel die udp/tcp Anfragen auf DNS hin überprüfen und diese zu sich umleiten. Den dazugehörigen Befehl poste ich aber mal lieber nicht…

Was bleibt ist VPN… so lange das noch erlaubt ist.

Ich verzichte daher mal lieber auf das Argument der einfachen Umgehbarkeit. Weil es schneller dazu führt, dass Systeme geschaffen werden die man eben nicht mehr so einfach umgehen kann.

Update 15.05.2009:

Manchmal mag ich es gar nicht, recht zu haben. Kaum kommen wir mit der Begründung recht gut durch, wird im großen Stil nach Verschärfungen gerufen…

Freie Nameserver von ValiDOM

Um der Internet-Zensur per DNS-Sperren entgegen zu wirken habe ich freie DNS-Server auf gesetzt. Sie sprechen DNSSec und loggen keine Zugriffe. Im Gegenzug zum nicht-loggen gibt’s ein connection limit pro IP – das ist aber so hoch, dass es kein Problem für Power-User ist

78.46.89.147

88.198.75.145

Auf ein freies Inter-Netz!

Update:

Ich wurde nach der Config gefragt, welche ich für Bind9 verwende. Das veröffentliche ich gern:

In den Namend-Options:

options {
directory “/var/cache/bind”;

auth-nxdomain no;    # conform to RFC1035
listen-on-v6 { any; };
allow-query { any; };
dnssec-enable yes;
dnssec-lookaside “.” trust-anchor “dnssec.iks-jena.de”;
version “bind9 for freedom and against censorship”;
minimal-responses yes;
max-cache-size 256M;
cleaning-interval 15;
max-cache-ttl 604800;
max-ncache-ttl 300;
};

Um DNSsec zu nutzen braucht man trusted keys – die habe ich mir nach der Anleitung von der German Privacy foundation runter geladen und eingebunden.

In der Named.conf sieht das dann so aus:

include “/etc/bind/trusted_keys.conf“;

Außerdem weise ich darauf hin, dass ich ein bind-security log schreibe, damit fail2ban eventuelle Angriffe abwehren kann. Vorallem Cache-Angriffe dürften damit Geschichte sein, das schützt auch die Benutzer dieser Nameserver. Das Log-File wird  jede Nacht ge-wipe’d. Wichtig: da drin werden NICHT sämtliche requests sondern nur Sicherheits-relevante Anfragen gelistet.

Die Log-Config schaut so aus (in der namend.conf.options)

logging {
channel security_file {
file “/var/log/named/security.log” versions 1 size 3m;
severity dynamic;
print-time yes;
};
category security {
security_file;
};
};

In der Fail2ban-config (jail.conf):

[named-refused-tcp]

enabled  = true
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

Es würde mich freuen, wenn viele diesem Beispiel folgen würden!

Planet ValiDOM gestartet

Unter dem absolut super-tollen Titel “Planet ValiDOM” habe ich einen Planeten aufgesetzt, der News und Blog-Einträge zum Thema Datenschutz und Überwachungsstaat aggregiert.

Hier könnt ihr den Planeten anschauen, Links zu RSS, Atom und OPML feeds sind dort gesetzt.

Als Software nutze ich planetplanet.org, hier schon mal einen fetten Dank an die Entwickler! Updates laufen aller 30min, das Log ist jeweils hier verfügbar.

Wer Ideen hat, welche weiteren Blog- oder News-Quellen dort eingebunden werden sollten: bitte schreibt das in die Kommentare. Danke!

WordPress-Update

Zu was Mittagspausen gut sind… mhm. Jedenfalls habe ich mal dieses WordPress hier auf die neueste Version gebracht. War sehr einfach und schnell.

Verzeichnis kopieren mit tar und ssh

Ich ziehe gerade meinen Server auf neuere Hardware um. Bequem kann man dabei Dateien auch ohne “scp” kopieren, wobei File-Rechte erhalten und links auch symbolisch bleiben:

cd <verzeichnis>
tar -cpf – . | ssh <zielhost> “(cd /zielverzeichnis; tar -xvvpf -)”

Totalitärer Überwachungs-Staat in Star Trek: Enterprise TNG

Ich bin ja auch ein Fan von Stark Trek .. besonders von den “The next generation” und “Voyager” Serien-Folgen.

Heute entdeckte ich dabei in der Folge “Das Standgericht” (Staffel 4.21 / Folge 95) auch unsere derzeitige Situation. Die Aufhebung der Unschuldsvermutung. die ständige Überwachung und die quasi-Anklage aufgrund der Herkunft einer Person ist leider auch in unserer Gesellschaft zum Alltag geworden. Hier das Video:

YouTube Direkt Video auf YouTube

ein paar Zitate aus dem Video:

Zensur:

Mit dem ersten Glied ist die Kette geschmiedet. Wenn die erste Rede zensiert, der erste Gedanken verboten, die erste Freiheit verweigert wird … sind wir alle unwiderruflich gefesselt.

Freiheit:

Wenn die Freiheit eines Menschen zum ersten mal beschnitten wird ist das ein schaden für alle. Wir glauben so fortschrittlich zu sein. Folterung von Ketzern – Hexenverbrennung halten wir für Geschichte. Und dann, bevor man sich versieht droht alles wieder von vorn an zu fangen.

Tarnung der Schurken:

Schurken die ihre Schnurrbärte zwirbeln sind leicht zu erkennen. Diejenigen aber, die sich in gute Taten kleiden sind hervorragend getarnt.

Wachsamkeit:

Wachsamkeit, ist der Preis den wir kontinuierlich zahlen müssen.

Ich finde es bezeichnend, wie hier der Drehbuchautor entwicklungen zeichnet. Ich persönlich finde diese in der heutigen Zeit eindeutig zu Hauf wieder. Hoffen wir, dass wir nie Islamisten verbrennen.

courier enhancedidle

Nur um anderen das Stundenlange suchen zu ersparen:

Bei mir tauchte nach Installation von courier-imap samt famd im log mal so was auf:

maildirwatch_started: Input/output error

Die Lösung: famd lief nicht unter einem Benutzer, welcher auf die vmail-Verzeichnisse zugreifen darf. Man kann das in /etc/famd.conf einstellen.

Ach ja und nochwas… scheiss auf Blackberry und das tolle “push-email”. Die monatlichen Gebühren kann man sich auch sparen wenn man ENHANCEDIDLE im imapd nutzt. Es macht genau das: “push-email”

• Neueste Einträge

  • Feedback Kultur bei den Piraten! (Video)
  • Politik kennt keine schnellen Erfolge
  • Sind alle Parteimitglieder auch Politiker?
  • Volksentscheid Nichtraucherschutz in Bayern will mehr als gut ist
  • Zur Programmerweiterung der Piratenpartei
  • Wichtige Dinge : WM 2010 Spielplan
  • Von der Leyen als nächste Bundespräsidentin? -> Protest NOW!
  • Köhler aus dem Amt gedrängt
  • BGH: offene WLAN weiterhin möglich
  • Was ich aus dem NRW-Ergebnis für die Piraten gelernt habe
  • Hebammen-Protest: keine Geburtshilfe außerhalb Krankenhaus?
  • In eigener Sache: Probleme mit dem Piraten-Planet
  • Sabine Leutheusser-Schnarrenberger tritt bei den Piraten ein
  • Der Katastrophenschützer in mir
  • Welttag gegen Internetzensur : Piraten in München

• Kategorien

  Kategorie auswählen 25c3  (5) Allgemeines  (27) Linux  (7) Netzwelten  (48) Piraten  (32) Privacy  (43) Twitter  (1)

• Linkliste

  • Bildergalerie
  • Buchempfehlungen
  • Kontakt
  • Meine Webseite
  • Twitter

• Andere

  • Impressum
  • Planet
  • Terroristisches Manifest
  • Zitate

• Beliebte Artikel

  • Politik kennt keine schnellen Erfolge (311)
  • Feedback Kultur bei den Piraten! (Video) (190)
• 
  

• Die Wolke

  25c3 1984 AK Vorrat AK Zensur Anonymisierung Bündnis Bespitzelung Blog Bundestag CCTV CDU Dagegen debian Demo Demokratie Demorecht DNS FDP Freiheit Freiheit statt Angst Petition Piraten Polizei Schaeuble Skandale SPD support Terror TOR TV twitter Ueberwachungsstaat Veranstaltung Verfassungsbeschwerde Versammlung Versammlungsgesetz Versammlungsrecht Videoüberwachung Videokameras Vorratsdatenspeicherung Wahl Widerstand Workshop Zensur Zensursula

• Meta

  • Anmelden
  • Artikel-Feed (RSS)
  • Kommentare als RSS
  • WordPress.org

• AK Vorrat

  • Vorratsdatenspeicherung laut Kriminalstatistik überflüssig (02.09.2010)
  • Verfassungsbeschwerde gegen Vorratsspeicherung der Internetnutzung eingereicht (01.09.2010)
  • Video: Freiheit statt Angst 2010 - Der Trailer zur Demo (28.08.2010)

• Twitter

  • @Glamypunk Das ist bei alten Lampen so. Ich nehm Osram Lampen ,die sid gut ausbalanciert ("Dulux Superstar", sind sehr schnell max.hell) in reply to Glamypunk 3 days ago
  • @chrizbbg @Glamypunk was ist denn an denen (im Normalbetrieb) Gesundheitsschädlich? in reply to chrizbbg 3 days ago
  • @chrizbbg Ist es nicht gut, dass es keine Glühbirnen mehr gibt? Sinkende Preise und höhere Quali von E-Sparlampen seit Jahren. in reply to chrizbbg 3 days ago
  • More updates...

  Posting tweet...