Syria – release all the logs!
2
Vermutlich habt ihr es mitbekommen – Telecomix hat 54GB (gepackter) Daten veröffentlicht. Doch was zeigen uns die Logfiles? Warum ist das so wichtig und welche Schlussfolgerung müssen wir ziehen? Wo kommen sie eigentlich her? Ich will versuchen, ein paar Antworten zu geben und ein wenig Licht ins Dunkel zu bringen.
Zuerst: Die Logfiles kommen von Routern der Firma bluecoat. Diese befinden sich im syrischen Telekommuniktionbackbone. Durch Unfähigkeit der Administratoren konnten Telecomix Agenten auf diese Router zugreifen und die Logdateien herunter laden. Kleiner Spaß am Rande: Was die Agenten dort getan haben, fällt unter § 202a StGB – Ausspähen von Daten.
Die Logfiles zeigen uns, was genau mit dem syrischen Internettraffic gemacht wird. Hier ein paar Beispiele:
2011-08-02 07:46:34 1 0.0.0.0 – - – OBSERVED “unavailable” http://m.facebook.com/home.php?refid=0 200 TCP_HIT GET image/png http static.ak.fbcdn.net 80 /rsrc.php/v1/yz/r/9LoyWtxbXTT.png – png “Mozilla/5.0 (SymbianOS/9.2; U; Series60/3.1 NokiaE66-1/410.21.010; Profile/MIDP-2.0 Configuration/CLDC-1.1 ) AppleWebKit/413 (KHTML, like Gecko) Safari/413″ 82.137.200.45 440 594 -
OBSERVED
Indicates that at some point, policy invoked a category lookup, ie, a “category=” trigger was evaluated.
(aus dem Bluecoat Handbuch)
Die Seite wird ausgeliefert, obwohl sie in eine Filter-Kategorie passt. Möglicherweise wird diese Information an anderer Stelle weiter verarbeitet. Wir gehen sogar stark davon aus, dass diese Anfrage bei einem Regimeschergen auf dem Bildschirm (bzw. in separaten Logs) auftaucht.
2011-08-02 19:24:06 6 0.0.0.0 – - policy_denied DENIED “unavailable” – 403 TCP_DENIED GET – http conn.skype.com 80 / – - “Skype WISPr” 82.137.200.45 755 65 -
DENIED
Indicates that the request was not served. Typically this means the user received some form of an exception.
(aus dem bluecoat Handbuch)
Die Seite ist gesperrt. Der Benutzer erhält eine Fehlermeldung. Eine Weitermeldung an andere Logfiles sollte nicht geschehen.
2011-08-02 18:43:28 1 0.0.0.0 – - – PROXIED “unavailable” http://vb.alslh.com/ 304 TCP_HIT GET image/gif http vb.alslh.com 80 /images/icons/ham.gif – gif “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FDM)” 82.137.200.45 250 557 -
PROXIED
Indicates that that the policy never looked up the category. The category was not a factor in the policy decision.
(aus dem bluecoat Handbuch)
Die angefragte Datei wurde seit dem letzten Abruf nicht geändert (HTTP Meldung 304). Sie wurde aus dem Cache der BlueCoat ausgeliefert. Warum und nach welchen Regeln gecached wird, ist nicht klar.
Das bluecoat Handbuch lässt sich schön ergoogeln – auch für die verschiedenen Versionen der Firmware – wer also Lust und zeit hat, kann sich sehr gerne mal ansehen, was diese Geräte noch alles können.
Wie man in den Logfiles sehen kann, wurden die IP-Adressen der aufrufenden Geräte raus geschmissen. Die, die sich noch in den Logs findet ist das jeweilig Gerät (82.137.200.45 ist also eine Router-IP). Dazu stehen die aufgerufenen URLs und der User-Agent in der jeweiligen Logzeile. Kurz nach Veröffentlichung der Logfiles hat sich Jacob Appelbaum zu Wort gemeldet und Telecomix kritisiert, dass die Logfiles nicht weiter anonymisiert wurden. So seien aus den User-Agents und den Querystrings private Daten abzulesen und es würden Menschen in Gefahr gebracht. Die Argumentation, dass die Logfiles aus Syrien vom syrischen Regime stammen ließ er nicht gelten. Ich gebe zu, hier habe ich Futter zum Nachdenken, denn eine genaue Position habe ich noch nicht dazu.
In den Logfiles findet sich ständig ein “unavailable” wieder – normalerweise steht da der Name der Regel, die für das passierte zuständig ist. Wir vermuten, dass in den Regelnamen arabische Zeichen enthalten sind und das Logging einfach nicht fähig ist, das ordentlich wieder zu geben.
Wir sehen hier zum ersten Mal eine allumfassende Internetkontrolle und -überwachung ausserhalb von China, Iran und Nordkorea. Es ist Hard- und Software aus “der zivilisierten Welt”, die das Gespenst Vorratsdatenspeicherung und Access-Blocking visualisiert – nicht nur theoretisch, sondern ganz real.
Und was haben wir jetzt gelernt? Eigentlich nur eins: Der Verkauf von Überwachungstechnologie ist genauso gefährlich wie das Liefern von Waffen! Der Export von dieser Technologie unterliegt keiner Kontrolle. Paragraph 6 des Kriegswaffenkontrollgesetz verbietet die Lieferung von Waffen an einen Staat, bei dem “die Gefahr besteht, daß die Kriegswaffen bei einer friedensstörenden Handlung, insbesondere bei einem Angriffskrieg, verwendet werden”. Das verbietet die Lieferung auch in Krisengebiete. Solch eine Regelung brauchen wir auch für Technologie, die geeignete ist, die Kommunikation der Bevölkerung zu überwachen, zu unterbinden oder zu verändern. Das Abschneiden der Bevölkerung von der allgemeinen, weltweiten Kommunikation ist ein gewalttätiger Akt gegen diese Menschen und muss mit allen Mitteln verhindert werden. Da diese Mittel nicht von unserer Regierung kommen, müssen wir das eben selbst machen.
Hat sich eigentlich schon jemand die Mühe gemacht, aus den Logs eine Liste der gesperrten Seiten zu extrahieren?
Ja, da gibt es diverse Seiten zu. Die link habe ich aber leider nicht griffbereit.