|
|
24.06.2009 20:56
in
Security
Zunächst mal hoffe ich, dass man mittlerweile wieder über solche Themen schreiben und auf entsprechende Tools verlinken kann, ohne praktisch schon mit einem Bein im Knast zu stehen. Das Bundesverfassungsgericht hat immerhin festgestellt, dass sog. "Hackertools" nicht allein deshalb strafrechtlich relevant sein dürfen, weil man mit ihnen auch Straftaten begehen kann.
Ein solches Tool ist auch das vor kurzem releaste Slowloris, eine fertige Implementierung eines schon 2005 im O'Reilly-Buch "Apache Security" beschriebenen Angriffs. Er basiert darauf, dass ein Client eine größere Anzahl von Verbindungen zu einem Webserver aufbaut und dabei in jeder dieser Verbindungen nie wirklich fertig wird mit dem Senden des vom Server erwarteten Requests. Die Verbindung wird erst nach Erreichen des im Server voreingestellten Timeouts getrennt. Der Apache hat in seiner Standardkonfiguration einen Timeout von 300 Sekunden, d. h. ein Angreifer hat reichlich Zeit, so lange Verbindungen herzustellen, bis der Server keine mehr annimmt. Beim Apache wird diese obere Grenze ja über die Einstellung MaxClients festgelegt.
Wie das Tool genau arbeitet, kann man auf SANS nachlesen. Es wird einfach zuerst ein ordnungsgemäßer Header geschickt, und dann, immer nach jeweils einer gewissen Wartezeit, die Zeichenfolge "X-a: b\r\n". Vorher kann man mit Slowloris auch noch prüfen, wie der Timeout auf dem Zielserver eingestellt ist. Das Tool verwendet diesen Wert zu Optimierungsszwecken, hauptsächlich um den Footprint des Angriffs möglichst gering zu halten.
Ich habe das Tool mit einem der Webserver, für die ich zuständig bin, mal kurz getestet und es funktioniert verdammt gut. Viel zu gut - dafür, dass der Angriff so einfach ist. Aber so ist das ja oft. Ein typisch konfigurierter Apache auf durchschnittlicher Hardware ohne vorgeschaltete Proxys oder Load Balancer dürfte damit jedenfalls in kürzester Zeit dicht sein, selbst wenn der Angriff von einem einzelnen Laptop aus gestartet wurde.
Was kann man also tun?
Die Apache-Leute zerbrechen sich gerade den Kopf darüber, wie man das am besten patcht. Die Diskussion scheint im Moment aber so ein wenig in die Richtung "wir müssen das alles jetzt endlich mal redesignen" abzudriften. Wann der Apache selbst immun gegen diese Attacke sein wird, ist derzeit also eher unklar. Der Proof of Concept-Patch, der im ersten Beitrag des Threads verlinkt ist, funktioniert so, dass bei höherer Serverauslastung automatisch der Timeout dynamisch nach unten angepasst wird. Und umgekehrt, wenn der Server sich von der Load erholt hat. Ich bin jetzt kein Apache-Entwickler, aber habe gewisse Zweifel, ob das die richtige Herangehensweise ist. Wenn der Timeout niedrig genug wird, schlägt der Angriff zwar fehl (kann man auch testen, indem man z.
B. mal 5 Sekunden einstellt), aber legitime Clients haben dann ebenfalls
diesen niedrigen Timeout, was womöglich in bestimmten Fällen dann auch
wieder ein DoS zu Folge hat. Besser wäre es wahrscheinlich, den
einzelnen Request anders zu verarbeiten und das Socket schnell wieder
zu schließen, wenn nicht genug Daten pro Zeiteinheit reinkommen. Ein
paar der Überlegungen im Diskussions-Thread gehen wohl auch so etwas in
diese Richtung.
In der Zwischenzeit kann man sich überlegen, ob man nicht einen Reverse Proxy wie nginx vor den Webserver setzt. Mit dem habe ich ganz gute Erfahrungen gemacht, und ich werde demnächst wieder ein Bündel Webserver in noch mehr (virtuelle) Einzelserver auffächern aber dafür dann hinter ein oder zwei nginxen verstecken. Abgesehen davon, dass nginx eben immun gegen den Slowloris-Angriff ist, hat das natürlich noch eine Reihe weiterer Vorteile. Ich möchte mittlerweile eigentlich für jede Webanwendung eine eigene VM betreiben, aber ohne vorgeschalteten Proxy gehen einem da irgendwann die öffentlichen IP-Adressen aus. Falls man statischen Content hat, kann man sich außerdem überlegen, ob man den nicht gleich vom nginx ausliefern lässt. Das kann er in der Regel deutlich schneller als der Apache.
Was das alles jetzt mit Primaten zu tun hat? Slow Lorises (auf Deutsch "Plumploris") sind halt welche. Schon irgendwie süß...
22.06.2009 23:59
in
Stasi 2.0
Mal was am Rande: Auf der "Löschen statt Sperren"-Demo in München habe ich fotografiert, um Teilnehmern und anderen Interessierten die Möglichkeit zu verschaffen, ein paar Eindrücke der Aktion im Netz abzurufen. Es war selbstverständlich für mich, die Gesichter der abgebildeten Demonstranten unkenntlich zu machen, denn ich kann ja schlecht alle fragen, ob sie mit der Veröffentlichung ihres Bildes in diesem Kontext einverstanden wären. Als so selbstverständlich scheint diese Vorgehensweise aber nicht allgemein anerkannt zu sein, denn ich habe inzwischen auch eine Menge Bilder derselben Veranstaltung gesehen, auf denen alle Gesichter einwandfrei zu erkennen sind.
Es ist wohl eine Grundsatzfrage, und ich möchte hier mal dafür plädieren, dass diese noch vergleichsweise junge Bewegung sich über dieses Thema die Gedanken macht, die in anderen politisch aktiven Kreisen schon längst zum Konsens geführt haben, dass - wenn schon Demobilder ins Netz gestellt werden - die Verpixelung von Gesichtern Standard und Ehrensache ist.
Wenn man sich z. B. mal die Berichte von Antifa-Demos anschaut (Link, Link, Link), trifft man fast überall auf unkenntlich gemachte Gesichter. Klar, bei diesen Demos gibt es neben der Angst vor staatlicher Repression (und zugegebenermaßen oft auch nicht ganz unberechtigter Strafverfolgung) zusätzlich die Gefahr, dass die Gegenseite die Bilder verwendet. "Gegenseite" heißt dabei Neonazis, bei denen man sicher nicht von Zimperlichkeit beim Verfolgen und Attackieren von Antifas ausgehen darf; das Verpixeln hat hier also eine ganz konkrete Schutzwirkung.
Manche werden jetzt vielleicht denken "ohje, die Antifa", und tatsächlich gibt es Leute, die gegen das Verpixeln ihrer Demobilder so argumentieren: "Der webMoritz ist keine linke oder linksextreme Szeneseite, ergo verpixeln wir auch nicht die Bilder von Demos." Das ist einerseits, sachlich betrachtet, reichlich absurd, passt aber auch zu dem Ablehnungsautomatismus gegenüber allem, was irgendwie "linksradikal" sein könnte, auf den man auch unter Netzaktivisten immer wieder trifft. Dieser Beißreflex wäre durchaus mal einen eigenen Artikel wert, ist aber für die Frage der Anonymisierung von Demobildern völlig irrelevant, denn es gibt dafür auch ganz rationale Argumente.
Warum also verpixeln?
Weil, wie schon eingangs erwähnt, jeder der abgebildeten Teilnehmer ganz individuelle Gründe haben kann, warum er nicht in einem Demobericht erkannt werden möchte. Gründe, die ich als Fotograf nicht kenne, weil ich den Teilnehmer nicht kenne und nicht mit ihm gesprochen habe. Ein hier oft gehörtes Gegenargument ist:
"Aber so eine Demo ist doch eine öffentliche Veranstaltung! Wer da hingeht, muss auch damit rechnen, auf Fotos der Veranstaltung zu erscheinen."
Klar sind Demos öffentlich. Aber es ist schon ein großer Unterschied, ob ich auf so einer Versammlung in Echtzeit von jemandem gesehen werde, oder ob im Nachhinein für einen praktisch beliebig großen Personenkreis und quasi bis in alle Ewigkeit nachvollziehbar ist, dass ich einer der Teilnehmer war. Vielleicht haben wir im Moment nicht das Problem, dass uns politische oder sonstige Gegner anhand unserer Gesichter identifizieren und dann mit Baseballschlägern abfangen, aber so völlig ohne Brisanz ist das Zensursula-Thema doch auch nicht. Die Verunglimpfungskampagnen gehen weiter und wir müssen derzeit leider noch die Realität akzeptieren, dass wir in der Wahrnehmung der breiten Masse als seltsame Computerspinner dastehen, die unerklärlicherweise irgendein Problem mit dem Sperren von Kinderpornoseiten im Internet haben.
Manch einer wird sagen: "Genau deswegen stehe ich zu meiner Meinung mit meinem Namen und meinem Gesicht!" Und auch ich finde es wichtig, offen, offensiv auf andere Menschen zuzugehen und ihnen klarzumachen, dass wir Kindesmissbrauch genauso verabscheuen und verurteilen, wie eben jene breite Masse, zugleich aber auf Gefahren hinweisen wollen, die sich aus dem falschen Umgang mit Dokumenten dieser Verbrechen im Internet ergeben. Ich darf dabei aber nicht vergessen, dass ich keinesfalls die sozialen, beruflichen und sonstigen Parameter all derjenigen kenne, die ich auf einer Demo fotografiert habe. Es gibt genügend Szenarien, in denen ein Teilnehmer einer Zensursula-Demo aufgrund eines solchen Fotos Probleme mit Bekannten, dem Arbeitgeber oder Kunden bekommen könnte.
Ich weiß nicht, wie das Leben jedes einzelnen Teilnehmers aussieht, und trage deshalb als Demofotograf eine Verantwortung!
Alle anderen Einwände müssen davor zurückstehen. Zu sagen "verpixelte Demobilder sind so ausdruckslos" oder "das Verpixeln ist mir zu mühsam" zeugt von einem eklatanten Mangel an Respekt vor den Persönlichkeitsrechten der Mitdemonstranten!
Wir haben auf der Münchner Demo die Polizei dazu aufgefordert, nur Übersichts- und keine Nahaufnahmen zu machen, und ich würde ja wetten, dass die sich dran gehalten haben. Jetzt liefern wir genau diese Nahaufnahmen öffentlich im Web nach! Wo ist da die Glaubwürdigkeit, wo die Konsequenz?
Diese Bewegung schreibt sich auf die Fahnen, gegen Überwachung und für den Schutz der Privatsphäre zu sein. Und dann ist es zu viel verlangt, über die Demobilder mal mit GIMP drüberzugehen? Das ist schwach, respektlos und dumm. Und für mich Anlass zu dieser Geste.
20.06.2009 21:30
in
Stasi 2.0
Da ich mich heute noch in's Nachtleben stürzen werde (Optimo schon wieder zu verpassen wäre schon ein Desaster) muss der Demobericht eher kurz und wahrscheinlich auch etwas chaotisch ausfallen. Unabhängig davon habe ich jedenfalls mal einen Flickr-Stream eingerichtet und eine Reihe von Bildern von der Demo dort hochgeladen.
900 Teilnehmer sollen es gewesen sein - das ist schon ein toller Erfolg bei einer so kurzfristigen Mobilisierung. Das zeigt, wie viel Schwung in dieser Bewegung aktuell ist. Der Wunsch, etwas zu unternehmen und sich für diese Themen zu engagieren, wächst in immer mehr Menschen. Es ist ein hohes Maß Entschlossenheit spürbar, was sich u. a. darin außerte, dass sich kaum jemand vom gnadenlos herniederprasselnden Regen vom Marsch auf dem Altstadtring abhalten lassen wollte. Die Orga wollte zuerst nicht so recht daran glauben, dass darauf noch jemand Bock haben könnte, aber auf die Frage hin, wer denn noch mitlaufen würde, sammelten sich sofort die meisten Teilnehmer vor dem Lautsprecherwagen, um ihre Bereitschaft zu signalisieren.
Der Regen hörte dann auch schnell auf, und ein doch recht eindrucksvoller Zug setzte sich in Richtung Franz-Joseph-Strauss-Ring in Bewegung. Sprechchöre, Transpis und verteilte Flyer lenkten die Aufmerksamkeit vieler Passanten auf Demo und Thema.
Nach der Abschlusskundgebung blieb doch ein sehr gutes Gefühl. Es ist halt schon was anderes, zusammen auf die Straße zu gehen, anstatt sich immer nur elektronisch auszutauschen. Das Timing der Demo war genau auf den Punkt - ich denke, wir haben heute das nächste, spannende Kapitel der Geschichte dieser neuen - immer stärker werdenden - Bewegung aufgeschlagen.
So... dieser Text ist furchtbar, aber ich muss jetzt dann bald mal los.  Viel Spaß mit den Fotos!
Vielleicht noch Links zu weiteren Berichten:
Demo in München – Kurzeindrücke von einem der 900 Demonstranten
Ein Samstag wie es ihn selten gibt
LoeschenStattSperren in München (mit Zensursula-Song)
mob in muc – loeschen statt sperren demo
19.06.2009 14:05
in
Blafasel
Ist ja irgendwie typisch für mich. Erst ein neues Projekt mit viel Energie und Elan umsetzen, und wenn das Produkt dann eine gewisse, erste Reife erlangt hat und "vom Prinzip her" funktioniert, das Interesse daran verlieren. So ähnlich war das nun auch mit diesem Blog. Natürlich gibt es immer auch noch eine Menge äußerer Faktoren, die ihr Übriges tun, z. B. unvorhergesehene Dinge im Privatleben, die den Fokus klauen und Energie rauben, ein Sichüberschlagen der Ereignisse innerhalb der Themen, die man verfolgt ("Netzsperren" anyone?) und dann auch noch technische Probleme, etwa ein Blog-Server, der keine DNS-Anfragen mehr ausführen möchte.
Wirkliche Ausreden sind das alles nicht, und es gibt inzwischen eine ganze Reihe (hoffentlich) interessanter Beiträge, die schon als Alpha-Version in meinem Kopf herumgeistern. Auch für Kommentare zum aktuellen Geschehen gäbe es eigentlich genug Gelegenheit, allerdings nervt mich da als Betreiber eines eher unbekannten Blogs immer der "Me too"-Aspekt.
Wie auch immer - aufgegeben habe ich das hier noch nicht. Vielleicht wird der nächste Eintrag ja auch einfach nur ein Bericht von der morgigen Demo gegen die inzwischen beschlossene Internet-Zensur.
03.06.2009 23:06
in
Stasi 2.0
Ja, ist schon interessant, das mit dem Bloggen. Hat man mal ein paar Tage keine Zeit zu schreiben, bekommt man gleich so etwas wie ein schlechtes Gewissen.
Passieren tut ja genug, aber richtig vom Stuhl gefallen bin ich vor allem bei dieser kurzen Notiz auf Heise:
"Die Nutzung moderner Informations- und Kommunikationstechnik erfordere 'entsprechende gesetzliche Ermächtigungsgrundlagen', zitiert die
Zeitung aus dem Papier." Gemeint ist ein aktueller Artikel im Handelsblatt.
Ermächtigungsgrundlagen? Die scheinen sich ihrer Sache ja sehr sicher zu sein, wenn sich inzwischen nicht einmal mehr bemüht wird, bei der Wahl der Vokabeln ein Minimum an Vorsicht walten zu lassen.
Was sind das für Leute? Diesen 71-seitigen Forderungskatalog würde ich doch gerne mal sehen. Könnt ihr den bitte auf Wikileaks stellen, liebe Handelsblatt-Redaktion?
26.05.2009 21:24
in
Stasi 2.0
Von der Leyen spricht (im Spiegel)... and I must rant.
Toll!! Wir wurden erhört! Die Forderung nach rechtsstaatlicher Absicherung hat bewirkt, dass nun wieder ein "unabhängiges Gremium" zur Kontrolle der Bundesnetzpolizei durch die Debatte geistert. Die Ministerin für Familie und andere so Sachen sagt dazu:
"Das dürfen nur Leute des BKA oder Jugendschützer, die tatsächlich mit
dieser Aufgabe betraut sind. Ich könnte mir aber durchaus vorstellen,
und diese Idee ist aus der Diskussion gewachsen, dass ein Gremium mit
unabhängigen Experten vor Ort beim BKA Einsicht in die Listen nimmt, ob
ausschließlich Kinderpornografie nach Paragraf 184b StGB geblockt wird."
Nein, falsch! Das dürfen nur Richter!
"Und dieser Straftatbestand muss nicht täglich durch einen Richter noch einmal wiederholt werden"
Äh, doch. Genau darum geht es. Darum, dass jeder Einzelfall durch eine judikative Instanz geprüft werden muss! Sperren per Mausklick kann und darf es in einem Rechtsstaat nicht geben. Die Listen aus anderen Ländern mit haufenweise Sites, die gar keine strafbaren Inhalte liefern, sprechen doch Bände darüber, dass genau die Feststellung des Straftatbestands eben nicht Aufgabe der Polizei ist, sondern die eines Gerichts! Wenn wir schon die Ganze Zeit auf andere Länder schauen, die uns hier angeblich so weit voraus sind, warum lernen wir dann nicht wenigstens aus deren Fehler??
"Sie haben doch selber eine Umfrage gemacht bei SPIEGEL ONLINE, wer
schon mal zufällig über kinderpornografische Inhalte gestolpert ist.
Das waren 8,5 Prozent."
Uhm, was??? Werden jetzt schon Klick-Umfragen auf Spiegel Online als belastbare Quellen für ein Gesetzgebungsverfahren herangezogen? Wie dreist oder realitätsfern muss man sein, um dabei ernst zu bleiben? (OK, ich war beim Interview nicht dabei, vielleicht hat sie ja auch laut losgeprustet.)
Ich bin seit zwanzig Jahren im Internet unterwegs. Das ist keine Übertreibung. Und ich möchte meinen, in diesen zwanzig Jahren schon eine Menge herumgekommen zu sein in diversen Datennetzen. In all den zwanzig Jahren habe ich noch nie, ich wiederhole, noch NIE irgendwo kinderpornografische Inhalte gesehen! Ich bezweifle nicht, dass das Zeug irgendwo da draußen ist, aber als halbwegs normaler Internet-Nutzer, auch wenn man nicht nur im Mainstream surft, kriegt man das einfach nicht zu sehen! Und das ist auch gut so. Ändern könnte sich das, wenn sich durch die spezielle Kennzeichnung solcher Sites Möglichkeiten für ganz neue Angriffe und Exploits ergeben.
"In diesem Gesetzentwurf, zu dieser Zeit, sprechen wir ausschließlich über das [über Kinderpornografie]."
Sagen wir doch, "zu dieser Zeit". Und später? Wenn es so ausdrücklich hierum geht, dann gehört das im Gesetzentwurf auch sauber abgegrenzt. Im Moment ist das nicht der Fall, da können Sie das noch so gebetsmühlenhaft wiederholen.
Der Frage nach der Zugriffsprotokollierung wird dann komplett ausgewichen. Leider hakt der Interviewer nicht nach.
"Mir geht es in diesem Schritt um die präventive Seite, auch die ganz klare Ächtung."
Ja und was sucht dann bitte die Übermittlung personenbezogener Daten noch im Gesetzentwurf? Pfeifen Sie halt wenigstens Frau Zypries zurück, wenn Sie schon "keinen Millimeter von Ihrem [ursprünglichen] Ziel abweichen" wollen.
Das Krasseste aber ist:
"Nur wir diskutieren darüber, was alles nicht geht. [...] Wir haben viele Anfragen, warum Deutschland [im Vergleich zu anderen Ländern] sich immer noch schwer tut
auf diesem Gebiet und nicht aktiv ist beim Access Blocking."
Na, vielleicht weil wir eine der fortschrittlichsten Verfassungen Europas haben, die hinsichtlich ihrer Grundrechte weltweit den Defacto-Standard darstellt und vielen Staaten beim Neuschreiben oder Modernisieren der eigenen Verfassung als Vorbild diente? Vielleicht auch aufgrund der speziellen Geschichte unseres Landes, die uns so festhalten lässt an einer Verfassung mit starken Grundrechten?
Denken Sie darüber doch mal nach, Frau von der Leyen.
UPDATE: Weitere Stellen und Aspekte des Interviews werden auf netzpolitik.org und WSDV kommentiert.
|
|
|
Kommentare