Die Große Chinesische Firewall

00:00:00:

00:00:02: Passwort,

00:00:03: der Heises Security

00:00:04: Podcast.

00:00:08: Hallo, liebe Hörerinnen und Hörer, willkommen zu einer neuen Folge von Passwort, dem Podcast von Heises Security.

00:00:16: Ich bin Christopher Kunz von Heises Security.

00:00:18: Und mein Name ist Lester Trimmel vom Computer-Magazin CT.

00:00:22: So, heute haben wir uns mal wieder ... eine monothematische Folge, wie wir das nennen.

00:00:28: Wir haben uns ein Thema vorgeknüpft, nicht weil das irgendwie aktuelle News ist, sondern weil es uns schon länger interessiert und euch teilweise auch.

00:00:35: Ihr habt uns damit untergeschrieben.

00:00:37: Und zwar die sogenannte Great Fireball of China.

00:00:42: Also das System oder eins der Systeme, mit denen China sein Internet kontrolliert und zensiert.

00:00:51: Bevor wir da zu kommen, haben wir aber ein bisschen Feedback und Updates und Christopher hat sozusagen eine kleine Überraschung, über die wir uns sehr freuen.

00:01:00: Ja, und mir fällt gerade auf, dass wir in dieser Folge wohl sehr häufig ein sogenanntes Shibboleth verwenden werden, nämlich unsere unterschiedliche Aussprache von China.

00:01:10: Und China, du sagst China, ich sag China und ich glaube, das ist tatsächlich ein schönes Beispiel für ein sogenanntes Shibulev.

00:01:17: Das ist mir mal irgendwann im Bereich Authentifizierung und Autorisierung untergekommen und ist mir gerade aufgefallen.

00:01:22: Ich entschuldige mich im Namen auch von Sylvester schon mal vorab, bei allen chinesischsprachigen Hörern und Hörerinnen.

00:01:30: Unsere Aussprache der verschiedenen Namen wird grauenvoll sein, also seht es uns nach.

00:01:36: Nein, kein Rekord.

00:01:37: Nach einst dreißig hat Silvester den Finger oben.

00:01:40: Nein, ich wollte nicht unterbrechen.

00:01:42: Ich wollte mich nur dafür entschuldigen.

00:01:44: Und ich würde sagen, manche Leute würden das vielleicht nicht als Schibbele bezeichnen, sondern als Beispiel dafür, dass Leute aus Süddeutschland nicht wissen, wie man Deutsch redet.

00:01:52: Ich sage halt, China, das werde ich jetzt nicht ändern können.

00:01:55: Das ist,

00:01:56: das ist ein

00:01:56: Schibbele.

00:01:57: Dass das die einzig richtige oder auch nur die eine richtige Aussprache ist.

00:02:02: Ich glaube, das ist aber ein architypisches Beispiel für genau diesen Mechanismus.

00:02:08: an der Aussprache man erkennen kann, woher du kommst.

00:02:10: Und es ist gut, dass wir nicht in Israel sind und im alten Testament, weil sonst würdest du jetzt möglicherweise an den Ufern irgendeines Flusses niedergemetzelt, denn das ist die ursprüngliche Geschichte zum Schibbouleth.

00:02:21: Aber

00:02:22: nicht an den Ufern der Donau, da sagt man nämlich China.

00:02:26: Aber an den Ufern der Ems und an der Leine, an deren Ufern wir ja gerade sitzen und diesen Podcast in der Herbstsonne aufnehmen, da sagt man wahrscheinlich überwiegend China.

00:02:34: Wie dem auch sein.

00:02:36: Wir kommen zu einer kleinen Überraschung.

00:02:37: Mit Spiel, Spaß, Spannung und ohne Schokolade.

00:02:40: Und zwar hatten wir in der letzten und vorletzten Folge gesagt, es gibt noch eine Gelegenheit, uns dieses Jahr persönlich kennenzulernen.

00:02:49: Ihr erinnert euch dunkel am achtzehnten.

00:02:51: dieser Online-Sicherheitstag, für den wir jetzt in der vergangenen Woche auf fleißig... unsere Vorträge vorbereitet haben.

00:02:57: es kommt aber noch eine weitere Gelegenheit hinzu und auch für die müssen wir einen Vortrag vorbereiten denn wir beide sind dieses Jahr auf dem neununddreißig C drei und halten da einen Vortrag über die abt down Geschichte rund um dieses lieg einer nordkoreanischen hacker oder nicht hacker cyber kriminellen workstation.

00:03:22: wir haben euch die geschichte ja zusammen.

00:03:25: Mit skyper von freck in folge zwei und vierzig erzählt und ich habe mich im nachgang auch noch mal an den original author des artikels gewandt und der kann nicht da sein.

00:03:37: wir erzählen die geschichte quasi.

00:03:39: Stellvertretend, wir recherchieren das auch noch ein bisschen weiter.

00:03:41: Es hat sich nämlich nach unserer Aufnahme auch noch ein bisschen was getan in Südkorea.

00:03:45: Jetzt gerade fallen da die Chefs der Telekommunikationskonzerne um, wie die fliegen.

00:03:50: Aber das ist eine andere Geschichte und wird später nämlich Ende des Jahres erzählt.

00:03:54: Wir werden auch eine Podcastaufnahme da machen.

00:03:57: Dieser Podcast wird dann am siebten ersten erscheinen und dieses Mal ist auch Silvester mit von der Partie und ihr könnt uns dann also auf dem Kongles zwischendurch... auch mal hallo sagen könnt euch unseren vortrag anschauen und könnt auch schon mal jetzt im halben ab wenn ihr hinfahrt der halb ist ja schon online den vortrag markieren damit die orga planen kann wo sie uns denn hin steckt.

00:04:18: das wird bestimmt aufregend.

00:04:20: Genau ich glaube du musst unser licht gar nicht so sehr und den chefe stellen also wir werden schon mehr als nur ein bisschen weiter erzählen da gibt es schon einiges was noch passiert ist und noch einiges dass wir uns noch anschauen werden.

00:04:33: Genau

00:04:34: und leider.

00:04:35: auch durchaus mit tragischen Konsequenzen.

00:04:38: Das kann man vielleicht schon mal dieser.

00:04:39: Gut.

00:04:41: So, das war die kleine Überraschung.

00:04:43: Also, wer Ende des Jahres nichts vorhat und zufällig in Hamburg ist, dann kommt auf den Kongress vorbei.

00:04:48: Könnt ihr auch sicherlich euch unsere Podcastaufnahme anschauen, denn die war letztes Mal auch öffentlich.

00:04:54: Und der Podcast wird natürlich dann auf media.cc.de vorab als Video veröffentlicht.

00:04:59: Das ist eine der seltenen Gelegenheiten, unsere Podcastaufnahmen auch als Video zu sehen.

00:05:04: Gut, jetzt hast du etwas weniger Erquickliches, wo es um uralte Hashes geht.

00:05:09: Genau, auch weniger überraschendes, aber also außer für mich, ich habe diesen fatalen Fehler gemacht vor drei Episoden oder sozusagen, sondern ja, wo ist denn eben die Vier noch drin?

00:05:18: Und dann kam natürlich sofort jemand mit der Bahn an und jetzt kam Björn an und sagt, das ist halt nicht nur in der Bahn.

00:05:24: Es ist zum Beispiel auch in Iderome drin, also für Leute, die nicht an der Uni waren oder so, Iderome ist so ein... Ein federierte log in.

00:05:34: das hat den praktischen effekt.

00:05:35: ich weiß nicht was da sonst noch dran hängt aber dass man sich halt an so eine beliebigen bildungseinrichtung also eine bildungseinrichtung sozusagen registriertes ermittelt ist halt bei der beliebigen anderen bildungseinrichtung sich ins wähler an einbuchen kann.

00:05:46: das war doch insbesondere früher sehr interessant und relevant als irgendwie das kostenlose roaming noch nicht so ein ding war und dann konnte man halt auch als austauschstudent oder so oder auch sonst wo man das halt war das nutzen.

00:05:57: sehr schön.

00:05:58: also ist eine super feine sache.

00:06:00: Robert Björn weist halt darauf hin, dass Ethereum auf der ERP Methode PERP basiert, weil die halt so schön weit verbreitet ist und die wiederum benutzt MSCHABVII, das ist so ein Challenge Handshake Authentication Protocol von Microsoft und das wiederum nutzt NT-Hashes und NT-Hashes wiederum nutzen MD-IV.

00:06:26: Und er sagt deswegen sehr richtig, sehr viele Studierende, wie auch Lehrende und Angestellte der Einrichtungen verwenden.

00:06:31: Also auch verwenden also heute noch zusammen mit dem Millionenfach am Tag MD-IV.

00:06:39: Ja, danke.

00:06:40: Also ich würde mir zu Recht halt wahrscheinlich jetzt ewig, wird immer noch ein Hörer oder eine Hörerin kommen und sagen, guck mal, hier ist es auch, ich gruselts ein bisschen.

00:06:49: Ich hab eigentlich, also ich möchte gar nicht wissen, wo MD-IV überall drin steckt.

00:06:54: Aber ihr werft es mir zurecht an den Kopf.

00:06:57: Ich find's halt auch total furchtbar, dass MD-IV da als Passwort-Hashing-Funktion offenbar von diesen NT-Hashes eingesetzt wird.

00:07:05: Also das war nie eine Passwort-Hashing-Funktion.

00:07:08: Und jetzt ist es halt seit tausend Jahren einfach eine unsichere Hashing-Funktion.

00:07:14: Und das zweite ganz furchtbare ist, dass diese NT-Hashes offenbar ungesalzen sind.

00:07:18: Also da ist halt, da wird wirklich nur das Passwort so, wie es ist, in MD-IV gestopft.

00:07:22: und dann gute Nacht.

00:07:25: Ich hab das, also ich hab da ehrlich gesagt nur so Halbwissen und mir das jetzt schnell auf der WGPD angeguckt und bin irgendwie froh, dass ich normalerweise damit nicht in Kontakt komme, weil ich mich geruselt.

00:07:38: Also ich sehe Edurom da aus der Nutzerbrille.

00:07:41: Ich erinnere mich noch recht genau daran, was das für ein Quality of Life Upgrade war, als das eingeführt wurde und ich dann... über meinen Studentenzugang später als wissenschaftlicher Mitarbeiter einfach überall WLAN hatte, wo ein Uni-Institut war.

00:07:58: Und das gilt, hast du gerade schon gesagt, nicht nur in Deutschland, sondern insgesamt in über hundert Ländern, witzigerweise sogar in dem Land, das gleich den Hauptteil unserer Folge ausmachen wird.

00:08:10: Da gibt es auch etro, aber was dann überbleibt, also was man sich dann damit angucken kann, das werden wir uns gleich nochmal genauer anschauen, denn das ist ja nicht mehr so richtig das World Wide Web, sondern eher eine kleine.

00:08:21: Untermenge.

00:08:22: aber das war schon das war schon schick.

00:08:24: natürlich ist es.

00:08:26: Als großes federiertes Netzwerk mit vielen Institutionen in der ganzen Welt.

00:08:32: So eine Sache des kleinsten gemeinsamen Nenners was du dann als Sicherheitsmaßnahmen und auch als als kompatibilität.

00:08:38: Nehmen musst du teilweise dann ja wild alte entgeräte da hast die dann das auch irgendwie immer noch nutzen müssen.

00:08:45: Und das macht wahrscheinlich es nicht einfach da auch mal technisch alte Zöpfe abzuschneiden.

00:08:53: Nee, also ich mache da auch Ethereum keinen Vorwurf.

00:08:59: Ich meine, was soll ich sonst hier nehmen außer halt irgendein verbreites Verfahren?

00:09:03: Dass NT-Hasches eine furchtbare Sache sind und man da vielleicht Microsoften vor aufmachen kann, das ist schon mehrfach an mir vorbeigeflogen.

00:09:09: Aber wie gesagt, ich bin eigentlich froh, dass ich damit nicht wirklich viel zu tun habe und habe jetzt auch keinen Lust, mich in den NT-Hasches reinzufuchsen und wo die vielleicht überall sonst so drin stecken.

00:09:19: Vielleicht können wir daraus so ein allgemeingültiges Gesetz machen, ich weiß nicht, Trimmelsgesetz oder so, egal wie alt eine Technologie oder ein Hashing-Verfahren, es gibt immer noch N, Projekte und Institutionen, die es benutzen für N, sehr viel größer als eins oder so.

00:09:38: Das können wir ja vielleicht versuchen zu etablieren.

00:09:41: Ja, ich glaube, wir müssen es ein bisschen knackiger formulieren, aber wir können das versuchen.

00:09:47: Gut, kommen wir zu einem Feedback, das auch ein spannender Insight zu dem... zu diesem AVS-Ausfall neulich bringen.

00:09:59: und zwar schreibt uns Michael zu dem Nebensatz aus unserer Folge, unserem folgen Item dazu, dass auch Docker von der AVS Outage betroffen war und er findet, dass da gerade im IT-Admin-Umfeld, so in diesem DevOps-Umfeld vielleicht viel zu wenig drüber berichtet wurde.

00:10:18: De facto, jetzt zitiere ich seine E-Mail, konnte über einen Zeitraum von mindestens zwei Stunden kein einziges Image gezogen werden.

00:10:26: Und dieses enteckigen Klammern, hier ist das von Dieselwässer oder?

00:10:30: Das ist von mir,

00:10:31: ich hab das irgendwie umformuliert.

00:10:33: Also wir parafasieren so ein bisschen, bei für Kubernetes ist es so, dass das so schlau ist und die alten Pots erst klingt, wenn die neuen wieder erreichbar sind.

00:10:42: Das geht aber nicht bei Stateful Workflows.

00:10:44: Also am Ende kann das so ein Kubernetes-Cluster ordentlich durcheinander bringen, wenn der nicht an die Docker-Images kommt.

00:10:53: Man kann sich vorher die Images ziehen, das ist aber lästig.

00:10:56: Und da sagte Michael auch vollkommen zurecht, in der Praxis macht das keiner, weil sich jeder darauf verlässt, dass die Container-Reducies, twenty-four-seven, erreichbar sind.

00:11:05: Zumindest bis jetzt.

00:11:06: Zwinker Smiley.

00:11:08: Wer sagt ihr denn immer Zwinker Smiley?

00:11:09: Das war einer von der Partei, glaube ich, ne?

00:11:12: Weiß ich nicht.

00:11:12: Du hast da Schmerzen.

00:11:14: Ja, jetzt ich.

00:11:15: Zwinker Smiley.

00:11:16: Du hast da einen gewissen Schmerzpunkt.

00:11:18: Nee, ich, der Michael hat da völlig recht.

00:11:20: Er hat das dann auch selber noch irgendwo in seine Mail gesagt, ne?

00:11:23: Das ist halt ... sehr ungut, dass es da so eine Konzentration insbesondere auf den Docker Hub gibt.

00:11:30: Wie immer, jetzt nicht, weil der Docker Hub irgendwie schlimmer ist als irgendwas anderes, sondern was als ein Single-Pointer-Feld ja ist.

00:11:35: Und wenn bei AWS ein Sack IP-Adressen umfällt, der dummerweise auf Docker Hub drauf fällt, dann ist das ganze Containerumfeld irgendwie nicht mehr updatebar, das ist ja irgendwie nicht so ideal.

00:11:50: Ja, aber es gibt ja zum Glück... Alternative, die eine gewisse Größenordnung erreicht hat, das ist GHCR.

00:12:00: Ich könnte mir vorstellen, dass es ein Akronym ist und das steht dann für GitHub Container Repository.

00:12:06: Das wird betrieben von Trommelwirbel GitHub, also mittelbar von Microsoft immerhin.

00:12:15: Das wusste ich auch nicht, das habe ich jetzt für die Folge kurz an recherchiert.

00:12:18: Dafür ein eigenes Netz, also ein eigenes IS, auch offensichtlich mit eigenem Rooting ist also nicht, was ich erstmal naiv vermutet hatte, komplett in der Azure Cloud damit, sondern betreibt das auch tatsächlich noch selber das Netzwerk.

00:12:31: Mit Betonung auf noch.

00:12:33: Ich könnte mir vorstellen, dass in den nächsten Jahren das irgendwie reinkonsolidiert wird in die Microsoft Cloud, wenn es das nicht sowieso schon ist und einfach nur durch dieses IS ein bisschen das versteckt wird.

00:12:45: Diese Alternative existiert, aber natürlich ist das, wenn wir uns das aus der EU Brille oder aus der Brille der Souveränität von US Tech Konzernen anschauen, keine echte Alternative leider.

00:12:56: Also da sind wir auf Gedeihe und Verderb von den USA abhängig.

00:13:02: Das habe ich schon mal in einem anderen Kontext.

00:13:04: Habe ich da eine kleine Diskussion drüber geführt mit dem Peter Siring aus unserem Ressort und zwar.

00:13:11: Der ging es um Home Assistant.

00:13:13: Home Assistant hat ja auch so ein Plug-in Store und also ein Add-on Store und der ist auch hundertprozent abhängig von GitHub, was natürlich bei so self gehosteten Projekten wie Home Assistant immer so ein bisschen Wermutstropfen ist.

00:13:24: Egal wie toll du Sachen selber hostest, wenn du dann nicht an die Images kommst oder an den Quellcode kommst, weil der auf einer amerikanischen Plattform gespeichert ist, dann hast du dann doch wieder einen abhängigen Pilzpunkt.

00:13:35: und so ist das eben auch hier.

00:13:37: Wenn ich also ein Kubernetes-Cluster mit ganz vielen Potsbetreiber und alle möglichen Anwendungen statt die in Saas einzukaufen, selber hoste, dann bin ich immer noch abhängig von der Container Registry und die sitzt in den USA.

00:13:50: Ja, immerhin, man kann sehr positiv drehen, immerhin wandert das Wendern nach Azure und nicht in die AWS Cloud, das ist doch schon mal was.

00:14:00: Das heißt, es ist zumindest US-Internet-Gigantismus-redundant.

00:14:06: slow clap.

00:14:07: Wir

00:14:10: haben.

00:14:11: noch einen letzten Punkt, das ist kein Feedback, sondern so eine Art Nachtrag.

00:14:14: Wir hatten ja in Folge ein und vierzig zu beredet, das Chromium überlegen, XSLT aus dem Browser rauszuschmeißen und das das so ein bisschen größere Debatten zufolge hatte.

00:14:26: Jetzt machen sie es, also jetzt ist sozusagen der Plan da, also sie haben gesagt, sie tun es definitiv und sie haben die Plan veröffentlicht, wie sie es machen.

00:14:34: Wie gesagt in Folge einviert, sich haben wir länger darüber geredet, aber noch mal ganz knapp.

00:14:37: Sie sagen halt, na ja, Kleien seitige Kleien seitiges XSLT und nur darum geht es.

00:14:42: Also XSLT im Browser ist halt ein Nischenfeature, das auf einer komplexen, alternden CEC plus plus Code Basis aufbaut, die halt sehr anfällig ist für die üblichen Memory Corruption Vulnerabilities und die einfach nicht ansatzweise in dem Umfang gewartet und kontrolliert wird, wie die Javascript Engines, die sie in den Browser haben.

00:15:09: Und alles, was man mit diesem Kleinzeit XSLT machen kann, kann man mehr oder weniger halt auch mit Javascript machen.

00:15:14: Und ich kann das voll nachvollziehen, wenn Leute sagen, ich habe keinen Bock, Skripting in meine Browser anzuschalten.

00:15:21: Nur, also das Kleinzeit XSLT ist halt auch Skripting in den Browser von der gammeligeren Engine.

00:15:27: Also ich glaube, und Chromium haben da einfach schon einen validen Punkt.

00:15:34: Sie haben jetzt angekündigt, wie sie es machen werden.

00:15:36: Diesen Oktober soll es schon losgehen mit zu ersten Warnmeldungen im Dezember.

00:15:41: mit chrome hundred drei und vierzig soll es dann offiziell deprecated werden.

00:15:45: Und dann kriegt man halt die üblichen Warnungen, dass man irgendwelche Features hernimmt, die es nicht mehr lang geben wird.

00:15:50: und so im März wollen sie dann das sind.

00:15:52: Canary Builds und so ausrollen.

00:15:53: Also sie machen das so schön, wie man das machen will, halt in so Stages, dass man im Zeitfall immer sagen kann, ach nee, hier fällt doch irgendwas Wichtiges um, dann pausieren wir das oder verändern den Farbplan oder keine Ahnung was.

00:16:05: Und im November sechsundzwanzig werden sie es dann de facto abgeschaltet haben.

00:16:11: In den Stable Releases.

00:16:13: Für alle Nutzer, die nicht, sie werden so einen Origin Trial ausrollen im August und wer das unbedingt braucht, der kann da sich irgendwie reinbuchen.

00:16:24: und dann kriegt er noch bis August, sieben und zwanzig dieses Feature.

00:16:28: Also sie machen das, finde ich, auf eine sehr vernünftige Art und Weise.

00:16:31: Sie phasen das halt so out, so wie man das haben will.

00:16:35: Wir tun den Link in die Show Notes, wenn ihr das im Detail interessiert.

00:16:38: Eine kleine Anmerkung noch angeblich soll schon Chrome und Chromium, so habe ich das zumindest gelesen, auch in Version hundred forty-two eben so eine Early Warning in der in der Developer Console anzeigen, die habe ich nicht gesehen.

00:16:54: Also ich weiß nicht, ob sie es dann doch auf die Hundert und dreiviertzig noch verschoben haben oder so, aber mein Chromium Hundert und Zweiundvierzig macht weiter XSLT kleinzeitig, vollkommen ohne sich drüber zu muckieren.

00:17:05: Also, wer möchtet, dass sich an dem Plan fährt und irgendwas ändert und explizit ist der natürlich so gedacht, dass wenn irgendwas großes umfällt, man den dann halt doch pausiert oder an das aufbaut oder so.

00:17:15: Deswegen macht man das ja so in Phasen.

00:17:18: Naja,

00:17:19: aber wollten die ich noch, ich noch erzählt haben, dass es sozusagen jetzt beschlossen ist, dass Chrome zumindest des Rausbaut und die anderen Browser-Hersteller, also insbesondere Safari und Firefox, haben entsprechende Tickets offen, dass sie sich das halt angucken und dann eventuell nachziehen.

00:17:42: Ja, da ist mir das eine lange Leidensgeschichte an ihrem Ende angelangt oder auf den letzten Metern.

00:17:53: Wir haben auch im Vorgespräch festgestellt, dass es Die die zu den Hintergründen dieser dieser XST Geschichte, die wir ja schon in Folge einviert sich auch angesprochen haben.

00:18:06: Noch einiges mehr zu erzählen gibt und das werden wir mal in einer späteren Folge machen, auch fast so dieses ganze Thema Buck Reporting und Open Source Zusammenarbeit angeht.

00:18:16: Da gibt es einige.

00:18:18: sehr laute Stimmen im Security Bereich, die sich jetzt in sehr viel Diskussion begeben.

00:18:25: Das ist, glaube ich, spannend genug für eine eigene Folge oder zumindest einen Teil einer Newsfolge, wo wir das mal ein bisschen ausführlicher erzählen.

00:18:33: Gut.

00:18:34: Dann kommen wir jetzt zu unserem großen Thema, nämlich der Great Chinese Firewall.

00:18:39: Ich mache mal ein bisschen Abgrenzung oder damit fange ich mal an, um... klarzustellen, also wir wollen wie üblich in diesem Podcast über die technischen Aspekte reden.

00:18:50: China nutzt natürlich auch alle möglichen anderen Methoden, um sein Internet zu zensieren und anderweitig zu beeinflussen.

00:19:00: Kleines Beispiel, das habe ich vor ein paar Monaten erst gelernt, weil ich ja auch mit Apple nicht viel am Hut habe.

00:19:05: Die iCloud ist überall auf der Welt, die iCloud außer in China, in China ist die iCloud ein anderes, well nennt sich das glaube ich.

00:19:13: und wird da betrieben von der GCBD, der IEPO Cloud Treto Technology Co Ltd.

00:19:22: Also nicht von Apple, aber das war offenbar der Deal, den sie haben machen müssen, wenn sie mit der iCloud in China vertreten sein wollten.

00:19:34: Und das ist natürlich auch ein Mechanismus, den China aktuell einsetzt, dass sie einfach Firmen vorschreiben können, was sie zu tun und zu lassen haben, wenn sie diesen Markt wollen.

00:19:45: Ironischerweise ist die iCloud in China sicherer, als die in Großbritannien es bald sein wird.

00:19:50: Denn Apples Advanced Data Protection, das ADP-Feature, wird in UK ja abgeschaltet, weil sie keine Backdoor in die Krypto einbauen.

00:20:00: können ohne die kaputt zu machen und das auch nicht wollen.

00:20:03: Dann sagen wir aus Großbritannien halt raus mit dem ADP-Feature.

00:20:06: Jeder britische iCloud-Nutzer muss das von Hand abstellen, weil es kein Automatismus dafür gibt.

00:20:11: In China ist ADP aber in dieser Insel iCloud aktiv, was jetzt die kryptografische Sicherheit erhöht, aber vermutlich gibt es halt eine andere Inter-Tür oder sie greifen die Daten halt vorher ab.

00:20:22: Also ich auf diese Advanced Data Protection in der kinesischen iCloud, da wäre ich jetzt schon skeptisch.

00:20:30: Aber es ist natürlich sehr lustig, da hast du völlig recht, dass China jetzt zurecht auf UK heraplicken kann und sagen kann, was man hat, jeder eigentlich für einen Schmu.

00:20:40: Das wirft aber, also liegt hauptsächlich daran, dass das Vereinigte Königreich da so ins Klo gegriffen hat.

00:20:47: Und du hast es ja auch geschrieben mit dem Zitat, dass du jetzt gleich als nächstes sicherlich vorlesen wirst.

00:20:54: Warum das so ist bei Apple?

00:20:55: Warum das so ist ja bei Apple?

00:20:58: weil sie sich halt an die Gesetze halten von den Ländern, in denen sie tätig sind, so sagen die das.

00:21:03: Es geht nämlich um ein aktuelles Beispiel, also diese Eichlautgeschichte, die ist halt einfach so, aber gerade vor ein paar Tagen hat Apple einige, also zwei homosexuelle Dating-Apps, Blut und Finca, aus dem chinesischen App Store geschmissen.

00:21:19: Und das ist auch so ein Beispiel für eine regularische Maßnahme, weil technisch funktionieren diese Apps offenbar noch, also... Die verschiedenen inner chinesischen Mechanismen, die da tätig sein könnten, um die zu blockieren, sind offensichtlich nicht tätig.

00:21:35: Wer die App installiert hat, kann sie noch hernehmen.

00:21:37: Aber wer sie noch nicht installiert hat, kommt halt nicht mehr ran.

00:21:40: Und Updates gibt es auch nicht mehr, weil sie nicht mehr im Store ist, weil halt einfach China gesagt hat, Apple raus damit.

00:21:46: Und Apple sagt dazu gegenüber Wired.

00:21:49: We follow the laws in the countries where we operate.

00:21:52: Based on an order from the cyberspace administration of China, we have removed these two apps from the China storefront only.

00:22:01: Das ist nicht falsch, aber wichtig ist halt auch, dass es diese Apps eh nur im kinesischen App Store gab.

00:22:06: Also sie haben sie halt aus dem App Store rausgeschmissen.

00:22:14: Zu der Einordnung, ich mache mal auch ein bisschen weiter mit Einordnung, kommt auch noch ein... großer Disclaimer zum Bereich Quellenkritik und Quellenqualität.

00:22:25: Wir können viele, auch der technischen Aspekte, die wir erzählen werden, noch weniger überprüfen, als wir das üblicherweise können, sondern erzählen sie anhand von Lex und öffentlichen Informationen.

00:22:38: Denn nicht nur haben wir die Ressourcen in Festland, China nicht, also weiß ich nicht, ich kann jetzt eine VM irgendwo in Indonesien oder einen VPN-Zugang nach.

00:22:48: Rumänien hochfahren, das sind zwei Klicks, aber ich kriege nicht so leicht einen VPN nach Festland China und ich kriege auch nicht so leicht eine Vm in Festland China.

00:22:58: Und selbst wenn ich die hätte, würde das nicht viel helfen, denn die GFW ist ein sehr komplexes und sich veränderndes und vor allem sehr kontextualisiertes System.

00:23:12: bei einem Experiment, das ein Ausländer, der zwei Tage im Land ist, da macht und man sagt, ich will jetzt hier eine Wikipedia-Seite zu irgendeinem kritischen Thema aufrufen, gleich behandelt mit dem, was zum Beispiel ein lokaler Bürger, der mit seinen Geräten schon seit Jahren in China sich bewegt, sehen und bekommen würde.

00:23:32: Das heißt, das ist zwar deterministisch, ich habe hier geschrieben, das ist nicht deterministisch, was von wie geblockt natürlich ist, das ist deterministisch.

00:23:42: Wir kommen dazu, es gibt in der Tat Aspekte von der Firewall, die probabilistisch sind.

00:23:47: Also es ist nicht mal so, dass man sagen kann, das ist ja gerade durchgegangen, dann geht es immer durch oder umgekehrt.

00:23:52: Plus, dass es natürlich teilweise Filterregeln gibt, die sich tagesaktuell ändern können.

00:23:57: Ja,

00:23:58: okay, es ist also tatsächlich nicht deterministisch, was wann, wie geblockt wird.

00:24:02: Teilweise wirkt es nicht deterministisch, wenn sich zum Beispiel Firewallregeln von einem auf den anderen Tag ändern oder ein für uns unter den Nutzer-Oparker-Kontext irgendwie herangezogen wird.

00:24:11: Teilweise ist es aber auch wirklich probabilistisch.

00:24:17: Es gibt einige Projekte, die versuchen... diese Filter regeln oder die Blockieraktion zu erfassen, zu protokollieren und den müssen wir das im Endeffekt glauben.

00:24:27: Die machen dann so Sachen wie, die kann ein Server irgendwo in China stehen und am einen außerhalb der GFW stehen und dann vergleichen sie halt irgendwie die Antworten, was da zurückkommt.

00:24:36: Ich habe das mal ausprobiert, zum Beispiel einfach über diese DNS-Päusen in den Blockaden.

00:24:41: Da kommt halt eine IP-Adresse für HeiseDE raus, die eigentlich zu Facebook gehört, wenn du dich die von China aus resolve, weil HeiseDE offenbar in der Blocklist der GFW steht.

00:24:53: und nicht nur auf diese technischen Quellen müssen wir noch kritischer gucken, sondern wenn ich jetzt also gleich ein bisschen was zur Geschichte erzähle, dann habe ich eigentlich für meinen Empfinden nur einseitige Quellen, die sehr stark und stärker als üblicherweise auch in diesem Podcast unsere Quellen sind ideologisch oder durch eine politische Agenda gefärbt sind, die offiziellen Informationen wenn man überhaupt welche kriegt die sind natürlich.

00:25:23: Sehr einseitig durch die chinesische Regierung kontrolliert oder sehr selektive Informationen also.

00:25:31: Viele Sachen sieht dies man dann einfach keine offiziellen Statements dazu.

00:25:35: und die Sachen die.

00:25:38: Von von zum Beispiel Regime Kritik kann kommen die sind ins andere extrem oft überzogen.

00:25:43: also man sieht das gerade auch wenn es um die Personalien geht dass es da schon sehr.

00:25:47: Nicht nur sachliche Kritik gibt, sondern dass man dann auch so ein bisschen merkt.

00:25:53: Da werden Sachen über chinesische Personen gesagt, die mit der GFW zu tun haben.

00:26:00: Die würde ich jetzt so nicht unbedingt öffentlich sagen wollen.

00:26:05: Einige Sachen sind von irgendwelchen chinesischen Blocks, deren Motivation, deren Glaubwürdigkeit ganz schwer zu überprüfen ist für uns.

00:26:14: Also teilweise sind die Sachen auch unheimlich alt.

00:26:17: Geschichte der GFW geht oder auch die Geschichte der Unternehmen und Stakeholder, die mit ihnen zu tun haben.

00:26:25: Also das ist alles, das müsst ihr mit einem großen Kron Salz heute euch anhören, genauso wie ihr es auch mit einem sehr viel Kritik und sehr viel Vorsicht recherchiert haben.

00:26:39: Technische Quellen sind natürlich immer irgendwie so ein Reverse-Engineering oder wenn wir irgendwas oben reintun, was kommt unten noch raus?

00:26:46: Also gibt da auch einen recht hohen Unsicherheitsfaktor.

00:26:49: Das wiederum ist ja nicht unüblich im Security-Bereich, ob ich jetzt eine Fortinet Firewall Reverse-Engineerer oder die Great Firewall auf China.

00:26:56: Das ist dann eher so ein Skalenthema.

00:27:01: Und es ist sehr faszinierend, also die Great Firewall ist halt eins der am meisten so untersuchten Systeme.

00:27:10: also es gibt wahrscheinlich über ein Dutzend größere Projekte die versuchen irgendwie laufen diese Firewall zu proben und rauszufinden was wird geblockt und was nicht und wie wird es geblockt und so gibt es auch einfach kontinuierlich wissenschaftliche Publikationen dazu.

00:27:25: Und trotzdem ist es immer noch eine der am wenigsten also öffentlich gut verstandenen Firewalls weil sich das Ding halt laufend ändert.

00:27:35: Und Sachen, die letztes Jahr noch so liefen, können dieses Jahr anders laufen oder die letztes Jahr noch funktioniert haben, können dieses Jahr nicht mehr funktionieren.

00:27:43: Also die befinden sich da in den Wettrüsten.

00:27:46: Und deswegen, also es ist schon beeindruckend, was da alles bevorsteht und wie viel man eigentlich weiß, aber man weiß halt immer nicht, ob's, also wenn die Indikakennnis von gestern ist, dann kann sie im Prinzip heute schon veraltet sein.

00:28:01: Ja.

00:28:02: Und... Eine unserer Hauptquellen und auch ein bisschen der Anlass, warum wir das jetzt auf die Agenda gehoben haben, ist ein großes League von über fünfhundert oder sechshundert Gigabyte.

00:28:15: Quellcode von einer chinesischen Firma, deren Namen wir jetzt noch nicht verraten, da kommen wir gleich zu oder eigentlich von zwei Firmen.

00:28:23: Dazu hat es einiges an Berichterstattung und Analysen gegeben und das zeigt vor allem mir, der ich das gleich erzählen werde, ein paar Sachen auf, wie diese Great Firewall weiterentwickelt wird, wohin sie noch weiter getragen wurde.

00:28:39: Und im technischen Bereich hat Sylvester sich Bei einigen wissenschaftlichen Veröffentlichungen bedient, um ein bisschen erklären zu können, was, was sie kann, die GFW, was sie wo wie macht und da auch versucht, wenn ich dich richtig verstanden habe, vorgespricht, möglichst die aktuellsten Informationen rauszufinden, was teilweise auch nicht ganz einfach ist, aber du hast da einige Konferenzpaper unter anderem von der Yousnex, die so deine Quellen darstellen.

00:29:09: Ja, ich habe halt versucht, also man findet halt viel, gerade wenn man die Wikipedia aufmacht oder so und auf die Referenzen geht, dann sind das halt teilweise Paper von zuviertzehn, bei denen ich halt wirklich sehr skeptisch wäre, ob das jetzt noch stimmt.

00:29:24: Nicht weil die damals irgendwie daneben lagen, sondern weil dieses System sich teilweise von Jahr zu Jahr verändert.

00:29:30: Und ich habe halt versucht mich auch veröffentlichen zu konzentrieren, die von zwanzig, dreien, zwanzig, vierundzwanzig, zwanzig sind, wo ich Die Hoffnung habe, dass es noch einigermaßen so ist.

00:29:42: Genau.

00:29:43: Bei meinem Teil ist es ein bisschen anders, das werde ich jetzt hören, denn jetzt tauchen wir erstmal in die Geschichte ab und nähern uns ein kleines bisschen in einem kurzen Abriss der Genese, der Entstehung dieser ganzen Internet-Sensur-Projekte in China und der Great Firewall.

00:30:00: Und das geht los unvermeidlich mit Denk Xiaoping, der war so ein... Ich kann mich an denen gar nicht mehr aktiv erinnern, so ein quasi Regierungschef, obwohl er nie diesen so ein Regierungschef-Titel in China hatte.

00:30:15: von neunzehntneunundsebzig, das ist mein Geburtsjahr bis zu seinem Tod im Jahr neunzehntneunundseinundneunzig.

00:30:21: Da bin ich achtzehn geworden, also müssen das achtzehn Jahre gewesen sein.

00:30:25: und unter seiner seiner Herrschaft und auch seiner seiner seinen Richtungsentscheidung, die er in China getroffen hat, gab es zum einen eine Eine Öffnung in den Westen, um sich wirtschaftlich weiterentwickeln zu können, um Geschäfte mit dem Westen machen zu können, andererseits aber weiterhin eine rigide Bekämpfung aller Aktivitäten, die sich gegen die gesellschaftliche Ordnung, wie das in der DDR hieß, gegen das kommunistische Regime.

00:30:55: richteten und für eine demokratisierung plädierten oder für eine öffnung in der der gesellschaft der gesellschaftlichen werte.

00:31:02: also starke dualismus der ja auch sich sich fortgesetzt hat dass man sagt na ich will auf jeden fall die geschäfte mit dem west machen.

00:31:09: auf der anderen seite bleiben wir aber kommunistisch und haben unsere werte die wir vertreten beziehungsweise die wir dann auch mit der pistole durchsetzen wenn es sein muss.

00:31:18: und genau das ist passiert nämlich dieses massacre am tianern mennplatz das wurde von den das direkt angewiesen.

00:31:26: Also der hat gesagt, ihr sorgt da bitte für Ruhe und zwar mit allen notwendigen Mitteln und das ist ja mit Panzern im Grunde, diese Studentenproteste sind mit Panzern niedergeschlagen worden und das hat er sehr zynisch kommentiert, was aber auch in unserem Kontext jetzt trägt.

00:31:46: Er hat mal gesagt, wenn du ein Fenster öffnest, um Prischloff hinein zu lassen, dann musst du damit rechnen, dass auch ein paar Fliegen hereinkommen und diese Fliegen Die müsse man dann eben mit der Fliegenglatsche erschlagen, wenn es sein muss.

00:31:58: Das impliziert er da.

00:32:00: Es geht aber eben da nicht nur um Proteste, sondern auch um gesellschaftliche Ideen, um Informationen, die ins Land kommen, wenn du dich in eine Richtung öffnest, also in Richtung Westen.

00:32:11: Und in diesem Fall war das, war die Öffnung, dass Internetfenster und mit der Frischluft des Internet kamen dann eben Ja, so ein bisschen politische Ideen Insekten mit rein.

00:32:22: und das war der Fall, dass wir neunzig als China ans Internet angeschlossen wurde und seit neunzig sieben und neunzig gibt es auch eine gesetzliche Grundlage und ein gesetzliches Rahmenwerk, dass das Internet in China und was Chinesen mit ihm machen und nicht machen dürfen, reguliert.

00:32:40: Das heißt Computer Information Network und Internet Security Protection and Management Regulations.

00:32:47: das Ende des Dezember in China in Kraft getreten.

00:32:52: Das war der Nukleus, der Zündpunkt für Projekte, aus denen hinterher die Great Firewall wurde.

00:33:02: Einer der wichtigen Motivatoren war natürlich die Bekämpfung von regimekritischen Gedanken, Bewegungen und Ideen.

00:33:11: eine chinesische demokratische Partei, die sie wohl früh aufs Internet gesetzt hat, vor der die kommunistische Partei einige Angst hatte bzw.

00:33:21: die sie eben zu bekämpfen gedacht hat, aber auch bei Bewegungen wie Falun Gong, die in China ja auch illegalisiert sind.

00:33:33: Internetblockaden gab es schon in den späten neunzigern, dass irgendwelche Webseiten blockiert wurden und irgendwas mal wieder nicht funktionierte.

00:33:39: und bis in die frühen zwei tausend war das alles eher so iratisch und dezentral und so vielleicht so eher so Anlass bezogen, dass man mal gerade irgendwo wenn mal wieder irgendein Gericht kursierte über die Vogelgrippe oder irgendwas, dass man dann selektiv Informationen auch auch ganze Regionen vom Internet.

00:33:57: von der Internet-Landkarte in China getilgt hat und das dann wieder angeschaltet hat, wenn dieser Anlass vorbei war.

00:34:06: Es gibt einige Begriffe, die teilweise überlappend, teilweise total disjunkt sind, die wir nur ganz kurz versuchen wollen, aufzuklären.

00:34:16: Also als Allererstes diese Great Firewall, die gibt es in China nicht als Name.

00:34:22: Also die ist nicht keine offizielle Bezeichnung der chinesischen Regierung, sondern das hat ein, ich glaube, britischer Sino-Loge.

00:34:29: im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Jahr im Diese.

00:34:50: dieses Projekt heißt in China selber nicht dreht firewall.

00:34:52: es gibt.

00:34:53: So genannte goldene projekte der chinesischen regierung.

00:34:57: ich glaube davon gibt es insgesamt wie war denn das?

00:34:59: ich glaube zwölf oder dreizehn die sich auf verschiedene bereiche der digitalisierung erstrecken und darunter ist unter anderem das golden schildprojekt.

00:35:09: da war früher die diese firewall.

00:35:12: ein teil hat sich aber.

00:35:14: Im Grunde sind das jetzt komplementäre Projekte und dieses Golden Shield Project.

00:35:20: Das richtet sich zum Beispiel auch aus auf so Sachen wie Videoüberwachung und inländische Internet-Sicherheit oder Sicherheit mit dem Internet auch irgendwie, welche Informationen über chinesische Bürger und ihre Internetnutzung gesammelt werden, aber nicht so sehr der Schutz der chinesischen Internet.

00:35:41: Außengrenzen, wenn man das so sagen darf, kann man das so sagen, die chinesischen Internetaußen sind passt das.

00:35:46: Also ich finde das klingt komisch, aber das passt, denke ich, sehr gut.

00:35:51: Also China schafft es ja wirklich offenbar da, so was wie eine Demakationslinie zu etablieren.

00:35:58: Ja und das Golden Shield ist eben auch Polizei, innere Sicherheit, dann gibt es... Zum Beispiel das Golden Card Project, da soll es um Bezahlkarten gehen, also sowas wie chinesische, domestische Kreditkarten, die unabhängig sind von sowas wie Visa oder Mastercard.

00:36:17: Und das Golden Gate Project, das nichts mit der Brücke zu tun hat, aber das soll irgendwie Zoll, die Vernetzung des Zolls und die Papierlosenhandel.

00:36:33: vereinfachen.

00:36:34: also sind so so e-government projekte in china die wo eben auch natürlich die innere sicherheit im golden schildprojekt eine rolle spielt.

00:36:43: So wir gehen mal ganz kurz nochmal durch die geschichte.

00:36:46: ich muss aufpassen dass jetzt ein kleines bisschen straffe.

00:36:49: es gibt seit neun und neunzig das sogenannte national computer network and information security management center.

00:36:57: Ganz einfache Titel,

00:36:58: ein langes Wort, aber wenn man das ein bisschen abkürzt und unbenennen, das ist nämlich zwei tausend zwei passiert in china computer network emergency response coordination center, dann merkt man, das ist ein zärt mit drin und tatsächlich ist das c ein zärt cc wie das seitdem heißt in einer witzigen und nicht ganz problemfreien dualität von zärt.

00:37:22: in Sinne von Informationssicherheit, also so wie es auch bei uns.

00:37:25: das Zert Bund gibt in Deutschland, aber eben auch Kontroll und Überwachungsbehörde für Kommunikation generell.

00:37:32: Und diese Umbennennung ist im Jahr zwei tausend zwei passiert und das scheint so eine Art Schlüsseljahr gewesen zu sein für die Aktivitäten der Internetüberwachung, wo China angefangen hat, das zu systematisieren, zu professionalisieren.

00:37:49: Denn.

00:37:50: Da gab es einen ersten Testlauf von großangelegter Internet-Sensur in Shanghai.

00:37:57: Und das CnCert hat begonnen, Zweigstellen in verschiedenen Provinzen in China zu eröffnen.

00:38:04: Und es gab ein sogenanntes Project zero zero fünf.

00:38:10: das sogenannte nationale Informationssicherheit-Management-System.

00:38:13: Das ist kein ISMS zur ISO-Siebzwanzig-Tausend-Eins-Zertifizierung, nein, gar nicht, sondern eben ein nationales System zur Internet-Sensur und Filterung.

00:38:24: Das hat einen nationalen Preis, einen der, wenn ich das richtig verstehe, wichtigsten nationalen Preise für wissenschaftliche und technologischen Fortschritt gewonnen.

00:38:35: Der wichtigste dieser Preise wird auch tatsächlich vom Obersten Sowjet in China wie heißt er also der jetzt gerade aktuell schießen ping übergeben.

00:38:45: Und die diese dieser preis wurde federführend gewonnen von einer person namens fang bing xing.

00:38:55: bann bin schien kommt uns jetzt noch ein paar mal unter.

00:38:58: der ist nämlich seit zweit ist zwei tausend zwei bis zwei tausend sechs leiter dieses cnz cc gewesen war.

00:39:05: ursprünglich kam er von einer uni ich glaube es.

00:39:10: Heinen oder so und war dann professor auch in peking und gilt.

00:39:17: Weithin oder allen als Vater der Great Firewall ist auch hoch dekoriert und ausgezeichnet für seine Verdienste ums chinesische Internet.

00:39:27: Zwei tausend zwei war ja Gastwissenschaftler in der chinesischen Akademie der Wissenschaften und hat dann ja die die Great Firewall maßgeblich mit aufgebaut und ist auch ein bisschen in China offenbar das Gesicht der Great Firewall und derjenige dem alle die Schuld an der Great Firewall geben.

00:39:45: Der ist nämlich Nicht sehr beliebt.

00:39:48: und da kommen wir zu einem punkt wo ich ein bisschen schlucken musste als ich das in so einem block gelesen habe dessen.

00:39:54: Authentizität wohl gegeben ist.

00:39:57: also das Zitat habe ich mehrfach gefunden aber wo ich nicht sagen kann welche Motivation dahinter steckt denn irgendwann hat er mal in einem chinesischen social network.

00:40:06: Ich glaube bekannt gegeben dass er sich zurückzieht also dass er in rennte geht.

00:40:11: Schrieben wohl tausende zurück, sie wünschten, dass krankheit ihn bald besiegen würde und da denke ich mir was nicht so freundlich.

00:40:20: Die ist auch schon mal Schuhe am Kopf geworfen worden in der öffentlichen Veranstaltung von einem Studenten, der sagte, mich ärgert das, dass ich so große Umwege gehen muss, um die Internetseiten zu besuchen, die ich besuchen möchte und der Fang ist daran schuld.

00:40:34: Und dann wurde dieser dieser Student zu so einem ein bisschen zu einem Volkshelden bei der chinesischen Internetgemeinschaft.

00:40:41: Und der Fang hat selber darüber wohl mal gesagt, auch dieses Zitat konnte ich nicht.

00:40:48: ihm persönlich zuordnen, das gibt's auf X und natürlich auf Wikipedia nachzulesen.

00:40:54: Das klingt aber für mich plausibel.

00:40:55: Die Beleidigung, die ich von Internetnutzern erhalte, betrachte ich als ein Opfer, das ich für mein Land bringe.

00:41:00: Also er sieht sich da auch, natürlich ist er Mitglied in einer chinesischen kommunistischen Partei, als so ein bisschen ein Märtyrer, der an eine Sache glaubt und der dann auch bereit ist, dafür diese Opfer zu bringen.

00:41:12: Kleiner Exkurs noch und eine kleine Anekdote zu diesem Fangenbinshing, weil er einfach so eine wichtige Persönlichkeit ist für die Great Firewall.

00:41:20: Er hat mal zwei Tausendsechzehn, als er schon eben nominell nicht mehr der Verantwortliche war, einen Vortrag gehalten an seiner Heimuniversität über nationale Firewalls.

00:41:33: Und da wollte er sagen, Naja andere machen das auch und guckt mal Südkorea macht das auch, wollte dann eine Webseite aufrufen irgendwo in Südkorea und dann hat sich sein eigenes Kind sein Brainschild gegen ihn gewendet und diese Seite geblockt.

00:41:52: Das fügt ihn nicht an, er ist ja technisch versiert, hat ja auch zwanzig Jahre Erfahrung und also macht er einen VPN client an.

00:42:01: Und versucht die seine eigene Great Firewall zu gehen, mit VPN dummerweise, hatte diese Firewall das auch irgendwie auf dem Schirm und hat ihm dann zweimal die Verbindung unter den Hintern weggezogen.

00:42:15: Und dann hat er zum Schluss einfach Screenshots dieser Seite auf bei du gesucht und der Bildersuche und hat dann das hochgehalten und gesagt, schaut mal, hat dann sich dafür entschieden, im Anschluss an den Vortrag keine Fragen zu beantworten.

00:42:26: Das war ihm dann doch vielleicht ein bisschen zu heiß.

00:42:29: Irgendwo habe ich gelesen, ich weiß gar nicht, wo das war, da wird lakonisch kommentiert.

00:42:32: Er wollte wahrscheinlich nicht wieder ein Schuh an den Kopf kriegen.

00:42:35: Und es gab dann auch tatsächlich Echos, die gesagt haben, naja, da wird eben Wasser gepredigt und sehr deutlich Wein getrunken.

00:42:43: Warum dürfen die, die das erfunden haben, VPNs benutzen, um ihre eigene Erfindung zu umgehen?

00:42:48: Und wir dürfen das nicht und das mit Strafe bedroht.

00:42:51: Die Universität hat in seinem Namen eine freundliche Erinnerung herausgegeben.

00:42:56: Nicht zu versuchen auf diese Webseiten zuzugreifen, die er in seinem Vortrag erwähnt hat.

00:43:01: Das ist auch noch mal drollig.

00:43:04: Und es zeigt halt auch schön, wie dynamisch sich diese Firewall entwickelt.

00:43:09: Wenn der Vater der Firewall nicht mehr auf dem Schirm hatte, welches um Jungsmethode jetzt gerade funktioniert oder nicht funktioniert.

00:43:16: Genau, das ist ja auch eine lange Geschichte.

00:43:18: Es hat sich viel geändert in dieser Geschichte und da kann man schon mal den Überblick verlieren.

00:43:21: Während er Noch dabei war sie aufzubauen im Jahr zwei tausend fünf haben die chinesen mehrere hundert ich glaube fünfhundert Router von Cisco gekauft.

00:43:30: Da war wahrscheinlich noch nicht so weit mit den nachbauten so dass sie die irgendwie inländisch einfach sourcen konnten sondern haben sie die noch in ura gekauft.

00:43:39: Mittlerweile ist oder zwischenzeit ich wurde mit seinen Cisco nachbauten ja auch.

00:43:44: Riesen Ausstatter in China und weltweit im Jahr zwei tausend zwölf hat dann das.

00:43:53: National Engineering Laboratory for Information Content Security.

00:43:58: Ne List heißt das.

00:43:59: Ein Team geformt für im Grunde Datenanalyse.

00:44:03: Big Data würden wir das heute nennen.

00:44:05: Und die haben sich Mesa genannt.

00:44:07: Das kommt mir ein bisschen bekannt vor, aber ich glaube, ich kenne das nur aus Half-Life.

00:44:11: Und bei denen heißt es aber Massive Effect Stream Analysis.

00:44:16: Also im Grunde ein Big Data Projekt.

00:44:21: Und diese Big Data sind natürlich die Daten, die über die Internet-Nutzung in China erhoben werden.

00:44:27: Und diese Behörde, die für das Ganze verantwortlich war, die ist seit dem Jahr zwei Tausend vierzehn als Cyberspace Administration of China bekannt und untersteht direkt der Kontrolle der chinesischen kommunistischen Partei ohne irgendwelche Mittelsmänner oder ein Ministerium dazwischen, sondern die ist direkt unter der CCP aufgehängt.

00:44:49: Interessanterweise kontrolliert diese Cyberspace Administration of China, auch ByteDance, über eine sogenannte goldene Aktie, also eine universell vetoberechtigte Firmenanteil.

00:45:02: Also kontrolliert die CCP, das ist ja auch nicht erst seit gestern bekannt, über dieses Kontrollmechanismus und dieser Anteilseigener-Eigenschaft bei ByteDance.

00:45:13: Das deren bekannteste Produkt, nämlich TikTok.

00:45:18: Aber um TikTok soll es hier nicht gehen, sondern hier geht es um die Internet-Sensur.

00:45:22: Und da hat Xi Jinping so ein bisschen das Narrativ verschärft.

00:45:25: im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, im Jahr, Und seit zwei tausend neunzehn scheint es auch so zu sein, dass sich die Internet aktivitäten sowohl bei Privatpersonen als auch bei Unternehmen auf die Social Credits auswirken.

00:45:55: Das heißt, wenn du zum Beispiel eine Webseite betreibst oder deinen deinen Nutzern als Internet Provider Zugang zu irgendwelchen gesperrten Webseiten ermöglicht, dann kann das die Social Credits negativ beeinflussen.

00:46:08: Und generell ist es so durch die Registrierungspflicht von Geräten in China und auch die Registrierungspflicht, wenn du deinen Internet Kaffee besuchst, dass sie bei jedem Bürger und jeder Bürgerin, die seit den frühen zweitausendern komplett auch digital erfasst sind in digitalen Melderegistern, dass alle Internetaktivitäten erfasst werden können.

00:46:27: Wir haben in einer der Quellen ein Diagramm gesehen, das auf Straßenebene genau zeigt, wo Leute, also oder Zellebene, also Mobilfunk-Zellebene genau zeigt, wo Leute unterwegs sind, wer das ist und was sie gerade im Internet machen und ob das Einwohner sind oder ob das Fremde sind, auch das sieht man in China, und das ist dann so Teil dieses Golden Shield Projekt.

00:46:49: Der Fang Bin Ching ist man nicht fertig mit seiner Karriere, der wurde dann später Chef Forscher, also Chief Scientist eines Unternehmens, namens G-Edge Information Technology Corporation, das viele Experten aus diesem Meserteam angeworben hat oder übernommen hat oder also die haben dann da später gearbeitet.

00:47:10: Und genau diese G-Edge ist es die gemeinsam mit Mesa das Opfer, ein Anführungszeichen des Leaks war, auf das wir uns teilweise stützen und die GfW-Technologie im Ausland verkauft und da in Betrieb nimmt.

00:47:26: Dazu aber später mehr, denn jetzt wollen wir uns erstmal das ganze Ding ein bisschen technisch angucken.

00:47:31: Was kann das eigentlich, was ist das und was hast du rausgefunden, Sylvester?

00:47:37: Genau, also ich wollte erstmal anfangen mit, wo ist das?

00:47:41: Weil wir haben vorhin das schon ein bisschen angeschnitten, die Firewall sitzt in der Tat am Rand des chinesischen Internets, sie sitzt an großen Internet-Exchanges, also nicht irgendwie beim ISP oder so, offenbar an drei großen Internet-Exchanges, die halt so relevant sind, dass man da mehr oder weniger die ganzen Traffic, die er aus China rausgeht oder nach China reingeht, erfassen kann.

00:48:09: Und in der chinesischer Traffic Interessiert die die Firewall nicht.

00:48:13: Also es gibt natürlich andere Mechanismen unterhalb dieses Golden Shields, das du erwähnt hast, mit dem irgendwie China auch guckt, was im Inlandsinternet eigentlich so passiert und was davon passieren darf und was nicht.

00:48:25: Aber das, was wir uns jetzt hier eben anschauen und das, was man landläufig halt das Great Firewall auf China bezeichnet, ist wirklich sozusagen eine klassische Firewall, die sitzt an der Grenze und guckt, was reingeht, was rausgeht und was auf der einen, also was nur auf der einen oder nur auf der anderen Seite passiert, interessiert sie nicht.

00:48:41: So war das zumindest sehr lang.

00:48:43: Es gibt neuerdings wohl so Dezentralisierungsbewegungen, also dass auch China seine Internet-Sensur... sozusagen durch weitere Rigundale Firewalls ausbauen will, da wirst du uns nachher noch ein bisschen was dazu erzählen, aber die klassische Great Firewall of China sitzt eben sozusagen am außenrand.

00:49:04: Und dann wollte ich noch erwähnen, weil ich es lustig fand, dass es natürlich auch, wie hierzulande so, also natürlich kann auch ein ISP irgendwas machen in China und was sich irgendeine Seite blockieren oder halt bei irgendeiner Seite eine Warnung ausspielen oder so.

00:49:19: Ich habe der Dokumentation gefunden, dass es ISPs so Fraud-Warnungen ausspielen.

00:49:25: Wenn man auf irgendeine Seite geht, die sagen so, die Seite könnte Fischi sein.

00:49:30: Das Interessante ist, dass zumindest nach diesem Forschungspaper, die haben da kein System drin gefunden.

00:49:35: Also diese Fraud-Warnungen, die kamen A nicht konsistent.

00:49:39: Also wenn man die selbe Seite mehrfach aufgerufen hat, kamen nicht immer eine Fraud-Warnung.

00:49:42: Und B waren es halt auch häufig Seiten, die mit Fraud nichts zu tun hatten.

00:49:46: Und den Schluss, den die dann rausgezogen haben, also diese Fraud-Warnung hat nämlich auch gesagt, hey, du kannst dir der folgenden Masten helfen, hier gibt es eine Anti-Fraud-App von der chinesischen Regierung, liebe Bürger, installiere die doch mal.

00:49:56: Dass das letztendlich halt einfach eine Werbung-Kampagne war.

00:49:59: Die haben Render-Bürger welche Seiten so eine Fraud-Warnung, also mit so einer Fraud-Warnung vorgeschaltet, damit mehr Leute sich diese App installieren.

00:50:07: ist eine Vermutung.

00:50:08: Aber solche Maßnahmen gibt es eben auch, aber das ist halt nicht, was man als Great Firewall auf China bezeichnen würde, sondern das sind halt irgendwas, was irgendeinen ISP macht und der ISP nebenan oder der ISP in einer anderen Region oder so, macht es vielleicht nicht oder macht es anders oder wie auch immer.

00:50:24: Was kann jetzt diese Firewall?

00:50:26: Also die kann natürlich zum einen das, was halt Firewalls typischerweise machen, IPs blockieren.

00:50:31: Einfach Pakete, die an eine IP gehen oder von einer IP kommen.

00:50:36: Wegschmeißen.

00:50:37: Das ist aber eher so die Ultima Ratio, weil das halt sehr viel Kollateralschaden verursacht.

00:50:46: Also insbesondere Content Delivery Networks haben halt den Effekt, dass wahnsinnig viele Inhalte für wahnsinnig viele verschiedene Dinge, zulässige Dinge von derselben IP kommt.

00:50:55: Wenn man da IP Filter, also nur aufgrund der IP halt einfach Dinge wegschmeißt, dann richtet man sehr viel Kollateralschaden an.

00:51:03: und das ist ja eh sowas, was sich durchzieht durch die chinesische firewall.

00:51:07: die könnten natürlich internet einfach abkoppeln vom rest der welt aber der wirtschaftliche schaden ist ihnen offensichtlich deutlich zu groß.

00:51:14: das heißt die machen laufen so einen balancieren auf.

00:51:17: naja wie schaffen wir sozusagen so viel wie möglich von dem was wir zensieren wollen auch wirklich zu zensieren und gleichzeitig so viel von dem was durchgehen muss also ausreichend viel davon auch durchgehen zu lassen damit es halt nicht irgendwie zu vielen Insbesondere Firmen in China finanziert auf die Füße fällt.

00:51:37: Und vermutlich auch, damit nicht die Leute die Bevölkerung einfach zu sehr angefressen wird von dem, was gerade alles nicht geht.

00:51:45: Deswegen ist so ein IP-Blocking eher so der letzte Mechanismus, zu dem sie greift.

00:51:53: Was die Firewall auch kann, ist nach Domains filtern, was schon ein sehr viel feinerer Mechanismus ist.

00:51:59: Und zwar einerseits im DNS-Traffic, also man muss ja zu dem Domain herausfinden, welche IP-Andresse man dafür kontaktieren musste.

00:52:06: Und dann aber auch im TLS-Traffic.

00:52:09: Klassischer TLS ist zwar verschlüsselt, aber enthält in den anfänglichen, nicht verschlüsselten Headern die Serpeneame-Indication, das ist so eine Extension.

00:52:19: Da steht drin, weil hinter einer IP-Adresse sich sehr viele Hosts verbergen können, für welchen Host es gedacht ist.

00:52:26: Und das ist üblicherweise unverschlüsselt.

00:52:29: Und darauf kann die chinesische Firewall filtern.

00:52:32: Darauf kann sie sogar mit Wildcards filtern.

00:52:34: Also die können sich offensichtlich Filterregeln bauen, so nach dem Motto, hier alles unterhalb dieser Subdomain oder so schmeißt du weg oder alle Domains, die irgendwie im folgenden Begriff enthalten, schmeißt du weg oder so.

00:52:50: Die Firewall kann in HTTP und auch in anderen unverschlüsselten Traffic einfach nach Keywords suchen.

00:52:58: Ich komme nachher noch ein bisschen mehr dazu, was genau sie da macht.

00:53:02: Sie kann auch einfach versuchen den, also einen Traffic-Arten zu erkennen, also zum Beispiel VPN-Verbindungen zuzuordnen, dass es sich hier um eine, also wenn man da halt sieht, da geht es relativ breitbandig, es verschlüsselt es irgendwie über die Leitung, dass man da halt anhand verschiedener Realistiken sagt, so ja, das ist vermutlich eine VPN-Verbindung oder vielleicht auch eine Verbindung von einem fortschrittlichen Antizensurtool.

00:53:27: und dann diese Verbindung eben unterbrechen.

00:53:31: und Christopher hat hier ein paar Beispiele rausgesucht, da wird er nochmal so sieht, was für Domains in China zum Beispiel geblockt sind, das ist angelaminusmerkel.de, das ist weniger überraschend ccc.de, das ist sowas wie Falun Gong.de, was natürlich auch weniger überraschend ist, das ist zum Beispiel addicted to coffee.de, ich weiß nicht wie du da drauf gekommen bist, ich habe mal geguckt, die ist gerade ohne Inhalt, ja.

00:53:56: Die Liste, da gibt's eine auf GitHub, ein Projekt namens Gfw-List und die machen so eine Liste, die ist in diesem Format, das unter anderem auch hier so Piehole und so, ich glaube auch, das ist dieses alte Proxy Format von Mozilla.

00:54:15: Ich glaube, das ist für Gegenmaßnahmen gedacht, dass du weißt, wenn diese Domänen aufrufen willst, musst du über einen VPN oder einen Proxy gehen, weil die in der Gfw gesperrt sind, damit du gar nicht erst ausversehen.

00:54:25: Die Klartext aufruft.

00:54:28: Da hab ich die her, die ist offensichtlich unvollständig.

00:54:31: Also da stand z.B.

00:54:32: heise.de nicht drin.

00:54:34: Aber diese seltsam spezifischen Domains und Subdomains fand ich ganz witzig.

00:54:39: Und anderen mit Typos wie prosibm.de ohne IE.

00:54:44: Das war ganz interessant.

00:54:46: Auch diese AddictedToCoffee.de.

00:54:48: Das war so ein Outlier.

00:54:49: Ich hab keine Ahnung, was da mal drauf war.

00:54:51: Ich guck mal parallel, wenn du weitererzählst.

00:54:54: Wenn man da noch was findet.

00:54:57: Kannst aber machen.

00:54:58: Aber das ist auch überhaupt nicht untypisch.

00:54:59: Ich erzähle nachher noch ein bisschen mehr dazu.

00:55:01: Wahnsinnig viele Domains, die die Firewall filtert, sind schon gar nicht mehr online.

00:55:08: Also gut, die haben offenbar auch keinen Grund, die Filter rauszunehmen.

00:55:13: Und was du dir auch noch aufgeschrieben hast, mit Ortly Specific, dass sie Panama Papers.süddeutsche.de filtert.

00:55:19: Das ist auch was, was man in letzter Zeit sieht, die Great Firewall wird besser, darin sehr spezifisch zu filtern und Overblocking zu vermeiden.

00:55:29: Wobei mich jetzt wundern würde, wenn die Süddeutsche als solche irgendwie auch geblockt.

00:55:36: Aber das kann natürlich gut sein, dass man da sicherheitshalber bei sowas dann nochmal eine spezielle Filterregel dazuschmeißt.

00:55:44: Es gibt Projekte, die eben nicht nur versuchen rauszufinden, welche Domains sind blockiert, sondern die dann auch über randomisierte Veränderungen dieser Domains versuchen zu mapen, was genau ist hier echt die Filterregel, die angewendet wird?

00:55:56: Also wo sitzt die Wildcard oder nicht und so?

00:55:59: Und dann kann man da reverse ingenieren.

00:56:02: sozusagen auf welchem auf welcher Ebene und wie viel Overblocking da vielleicht dazu kommt.

00:56:07: Das war früher nämlich sehr stark.

00:56:08: Also früher haben sie zum Beispiel auf Weil, also Sternchen Torprojekt.org.

00:56:13: geblockt.

00:56:15: Natürlich, also das Tor-Netzwerk ist was, was potenziell sich dazu eignet, die Firewalls zu unterlaufen.

00:56:20: Das findet man in China nicht gut.

00:56:22: Aber so wie diese Waldkarte halt definiert war, haben sie zum Beispiel auch Mentorprojekt.org oder Ventilatorprojekt.org.

00:56:30: geblockt und die waren vermutlich relativ harmlos.

00:56:34: Das ist nicht mehr so, die sind sehr viel besser geworden in diesen Filterregeln, also Torprojekt.org, da ist halt jetzt einfach noch ein Punkt dabei, also dass halt die Domain mit all ihren Subdomains blockiert wird, aber eigentlich andere Domains, die halt auf Torprojekt enden nicht.

00:56:51: Das ist scheinbar auch was, was die Aktuelle Great Firewall of China sehr stark unterscheidet von diesen neuen provincialen Firewalls, die wir gleich noch ein bisschen kommen, die teilweise da wirklich mit einem ganz großen Kescher unterwegs sind.

00:57:07: Also in Henan hat die zum Beispiel mal auf .com.au blockiert.

00:57:11: Also einfach jede kommerzielle australische Webseite ausgeschmissen.

00:57:15: Diese lokale Provinzfirewall.

00:57:18: Nicht die Great Firewall of China.

00:57:20: Die hat früher auch viel overblockt, macht es aber seit einigen Jahren sehr viel feiner.

00:57:25: Ich habe im Parallel die Bayback-Machine geflöht und finde keinen Grund, warum diese seltsame, tickte Tokofido-DOMAIN geblockt hätte sein sollen.

00:57:34: Das war früher mal die persönliche Webseite von einem UI-UX-Designer aus dem Rheinland oder so, der halt irgendwie Icon zu machen und Grafiken macht.

00:57:42: Und ich habe nichts gefunden, was daraufhin deutet, dass er am Umsturz gegen die chinesische Regierung gearbeitet hat.

00:57:47: Aber

00:57:47: wer weiß?

00:57:49: Oder vielleicht hat er einfach einen Icon gemacht für eine Exil-Budderbeer oder für Budderbeer oder keine Ahnung.

00:57:57: Also warum Sachen blockiert sind, das ist natürlich was, was man so technisch nicht erruieren kann, wenn es nicht irgendwie am Inhalt offensichtlich wird.

00:58:08: Über die verschiedenen Teile, also über die verschiedenen Filter der GfW hinweg.

00:58:14: Werden da wirklich Millionen FQDNs, also volle Qualified Domain Names blockiert.

00:58:20: Das bedeutet insbesondere, dass es halt auch die ganzen kleinen Fische erwischt und das ist der Anspruch.

00:58:27: Ich sehe es hier auch aus dem Paper, also über achtundneunzig Prozent der von diesem Paper sozusagen als blockiert gefundenen Domains.

00:58:38: haben ein Popularity-Rank von mehr als hunderttausend gehabt.

00:58:41: Also die auf einer Liste von der beliebtesten Seiten weltweit waren die auf dem Platz hunderttausend und eins oder halt weiter hinten.

00:58:48: Das heißt, es ist nicht nur so, dass da halt irgendwelche großen bekannten Nachrichtenseiten von der Firewall geblockt werden oder die Wikipedia oder so, die werden auch natürlich geblockt.

00:58:57: Aber halt, also es ist keine Seite ist so klein, dass man irgendwie sagt, das steht nicht dafür oder wir haben die Ressourcen nicht oder so.

00:59:04: Und was eben auch sehr üblich ist, ist das wahnsinnig viel halt irgendwann diesen filter rein rutscht und dann in diesem filter drin bleibt auch wenn die seite gar nicht mehr existiert oder nicht mehr den gleichen content hat oder so.

00:59:14: also aus dem selben paper oder ander paper ich habe mich nur das zitat ausgesucht aber halt von einer millionen zensierten Domains, die sie halt untersucht, also die sie als zensiert entdeckt haben, wollten sie dann gucken, wie können wir die klassifizieren?

00:59:30: und haben halt nur bei ungefähr achtzig tausend, das machen können wir nur ungefähr achtzig tausend überhaupt noch Content gezeigt haben.

00:59:36: Der Rest war halt leer oder da war die Domain auch schon gar nicht mehr registriert, aber die Filterregel war halt doch in der Firewall drin.

00:59:46: Und der letzte Punkt, den ich hier noch anbringen will, ist, dass diese Filter sich mit der Zeit verändern.

00:59:51: Die Great Firewall ist relativ stabil.

00:59:54: Also da sind die meisten Sachen mindestens so drei Monate drin oder halt länger.

00:59:58: Aber es gibt natürlich immer wieder Ausnahmen und Einzelfälle, die auch sehr viel kürzer G-Block oder wieder Endblock werden.

01:00:07: Deswegen bringt es halt auch wenig, sich irgendwie, wenn wir jetzt eigentlich eine EVM in China hätten, da mal drauf zu gucken oder so, wenn man das richtig machen will.

01:00:15: braucht man mehrere VMs in verschiedenen Locations in China und muss dann da Langzeitstudien fahren.

01:00:24: zur Blockierung von Inhalten in China, also auch inländischer Inhalte, wenn sich zum Beispiel jemand in Social Networks regime kritisch äußert, da gibt es tatsächlich auch Zahlen, wie schnell das blockiert wird und ich glaube in dreißig Prozent der Fälle innerhalb von einer halben Stunde durch die sogenannten Big Mamas, das sind also quasi Sensoren, die in den Foren und Social Networks rumlaufen und dann Inhalte blockieren bis auf Like Ebene runter, also auch Likes werden katalogisiert und.

01:00:51: können blockiert oder zensiert werden.

01:00:53: Und das geht dann also relativ flott, wie das bei Webseiten ist.

01:00:56: Das weiß ich nicht genau, wie schnell das geht, bis die dann im Filter landen.

01:01:00: Da könnte man mal ein lustiges Experiment machen mit irgendeiner Domain und dann da regimekritische Inhalte veröffentlichen und gucken, wie schnell es geht, bis die GFW das dann wegfiltert und das DNS Poisoning macht.

01:01:12: Wie gesagt, über diese indendischen Filter, die haben wir hier ausgespart, aber da gibt es natürlich auch einen sehr Sprachlich und linguistisch interessant ist gerade so ein Ausspiel zwischen den chinesischen Bürgern, die sich halt über Dinge reden wollen, über die sie nicht reden sollen.

01:01:29: Und diesen Big Mamas, wie du sie genannt hast, also das ist ein seit Jahrzehnten andauerndes Spiel von sich laufend verändernden Euphemismen, wie man halt über Dinge redet und dog whistles halt, wo dann... Die Gesprächsteilnehmer wissen, was eigentlich gemeint ist, obwohl wörtlich was anderes dasteht.

01:01:47: und idealerweise halt die Big Mamas nicht.

01:01:50: Und natürlich lernen die auch und dann verändern sich wieder die Euphemismen und so.

01:01:54: Also das ist linguistisch sehr interessant, aber nicht unseberid.

01:02:00: Es gibt, hab ich schon gesagt, einige, also wenn man das richtig machen will, dann muss man da groß angelegte Breiten- und Links-Studien machen.

01:02:08: Das gibt's auch.

01:02:10: Wir tun ein paar davon in die Show-Notes.

01:02:12: Es gibt zum Beispiel Gfweb-CA, die versuchen diesen HTTPS-Filter zu mapen.

01:02:19: Es gibt gfwatch.org, die versuchen den DNS-Filter zu mapen und so.

01:02:24: Also wer sich das so ein bisschen angucken will und auch, also das sind auch... Das sind einige von diesen Papers dabei, die ich hier für diese Episode gelesen habe.

01:02:31: Also die Papers sozusagen gehören zu diesem Projekt dazu.

01:02:35: Da kann man A. gucken, was ist denn so gefiltert.

01:02:38: Man kann sich den Datensatz runterladen.

01:02:39: Man kann auch eine kleine Suche auf der Webseite.

01:02:42: Und man kann sich auch anschauen, wenn uns ein im Detail dasiert, wie die eigentlich, also mit welcher Methodik die versuchen, diese Firewall zu mapen.

01:02:51: Das erwähne ich vielleicht mal kurz.

01:02:53: Also was man im Prinzip halt macht ist, man hat Vantage Points in China, Vantage Points outside von China und dann schickt man zwischen diesen beiden Servern einfach ein Paket, ein DNS-Paket oder ein HTTPS-Paket, was man testen will, mit den verschiedenen Testbegriffen und guckt halt, ob das durchkommt und guckt auch, ob danach noch was kommt und so und beobachtet hat einfach so was passiert.

01:03:16: Und das ist auch ein ganz relevanter Punkt.

01:03:18: Man kann das sozusagen von draußen nach drinnen machen und von drinnen nach draußen.

01:03:22: Ich komme nachher noch dazu, aber im Prinzip ist ja sozusagen offen in welche Richtung die Firewall anschlägt oder nicht.

01:03:30: Es gibt noch einen letzten Punkt, den ich anbringen wollte, zu anderen technischen Sachen, die sozusagen, die vermutlich co-located mit der Great Firewall sind, die aber halt so logisch nicht zur Firewall dazugehören.

01:03:45: Das ist zum Beispiel China's Great Cannon.

01:03:48: Das ist ein System, das in unverschlüsselten HTTP-Traffic Injections vornehmen kann.

01:03:54: Also es kann einfach, wenn man die HTTP-Seite abruft, da Skripte einschleusen und deswegen ist es auch sinnvoll, also technisch sinnvoll, dass die an der gleichen Stelle sitzen wie die Firewall, weil das muss eben auch an diesen Knotenbogen gehen, wo der ganze Traffic drüber geht, der ein interessiert.

01:04:12: Und dann kann man natürlich alles mögliche machen, man kann der Downloads manipulieren und so, aber die Great Canon ist speziell, dass man da ja was gibt einschleust und dann den Browser des Nutzers, also im Regelfall des chinesischen Bürgers, zu einer Art temporären DDoS Agent macht, der feuert dann einfach Begriffe, also der feuert dann einfach Pakete auf eine bestimmte Zielseite ab.

01:04:34: und weil eben diese Great Canon das an dem chinesischen Knotenpunkt macht, kann die sehr schnell wahnsinnig viele Browser-Kleins sozusagen in ihr Netzwerk einfach aufnehmen dynamisch und damit Webseiten aus dem Netz kegeln.

01:04:49: Und das ist natürlich auch ein Zensurmechanismus.

01:04:52: Ein Zensurmechanismus, der China sogar erlaubt Dinge, die nicht, also Dinge international zu zensieren, weil sie einfach die Quelldomain aus dem Netz kegeln, indem sie fluten.

01:05:03: Aber das ist halt technisch was anderes als die Firewall und das Ding, wo die es nur am Rand erwähnt haben.

01:05:08: Das gibt es, wenn euch das interessiert, Google, China's Great Canon.

01:05:12: hat aber mit der Firewall so nichts zu tun.

01:05:17: So, jetzt noch mal die kleine Warnung, wenn ich jetzt erzähle, was genau kann die Firewall und was macht sie nicht oder was kann sie noch nicht, das sind halt sozusagen Momentaufnahmen, ich hab versucht mich auf aktuelle Sachen, also maximal zwei Jahre alt zu konzentrieren.

01:05:35: Viel davon, also gerade die DNS Filter, die sind auch schon seit längerer Zeit einfach so, wie sie sind.

01:05:41: Aber anderes kann sich halt auch mittlerweile schon wieder geändert haben, das ist ein Moving Target.

01:05:46: Ich fange mal an, beim einfachsten und am weitesten ausgerollten System, das das Ding hat, nämlich den DNS Filterung, das ist technisch ja sehr einfach, DNS zu filtern, weil es in der Regel unverschlüsselt über UDP läuft.

01:05:59: Das heißt, Die World Firewall guckt einfach, was man für eine DNS-Anfrage stellt, dann antwortet sie selber auf die diese DNS-Anfrage mit einer gefägten IP.

01:06:11: Die wahre Antwort, die schluckt sie nicht mal, die kommt auch, aber die kommt halt später, weil die wahre Antwort, wenn ich mich an irgendeine nicht kinesischen DNS-Serverwände, halt weiter, also einen weiteren Weg zurücklegen muss, als die Antwort, die von der Firewall kommt und der Kleinen nutzt im Regel von einfach die erste DNS-Antwort, die eingeht.

01:06:29: Ein kleines Beispiel, um das zu illustrieren, also www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.heise.de lebt auf der IP-Adresse, www.

01:06:50: Wenn ihr das aber aus China aufruft dann bekommt ihr zurück die IP Adresse ein sieben drei Punkt zwei drei sechs Punkt zwei eins zwei Punkt vier zwei also ne völlig andere IP Adresse die zu einer Menge von ungefähr tausend fünfhundert IP Adressen gehört die.

01:07:05: Als Fake Antwort zurückgegeben werden.

01:07:07: die sitzt tatsächlich in den USA bei einem Hoster namens dream host und hat mit uns meines Wissen nach überhaupt nichts zu tun.

01:07:15: wir nutzen auch meines Wissen keine internationalen also.

01:07:19: Geoloadbalancing-Geschichten, um Heise.de von verschiedenen Knoten auszuliefern oder sowas.

01:07:27: Auch kein Enikaas-DNS.

01:07:28: Und das ist, bei was passiert, wenn ja, WWW Heise.de aus China aufruft.

01:07:33: Ja, ich wäre auch gar nicht sicher, sozusagen, ob dieser traffic an diese API-Adresse dann aus China überhaupt rauskommt oder ob einversackende diese Thausendfünfhundert, die wissen wir, dass wir sie als Fake-Antworten liefern, die schmeißen wir einfach weg.

01:07:44: Die

01:07:44: werden sie wahrscheinlich einfach nicht geroutet werden.

01:07:46: Genau.

01:07:48: Naja, jedenfalls dieses DNS, dieser DNS Filter ist halt sehr effektiv, weil DNS halt leider unverschlüsselt und so leicht felschbar ist.

01:07:56: Und er ist halt auch für Nutzer relativ leicht zum Gehen, indem man zum Beispiel DNS oder HTTPS oder sowas einsetzt.

01:08:08: Dann sagt die Firewall aber nicht einfach eine gut schade drum, sondern die versuchen natürlich auch TCP und HTTP.

01:08:16: Ich komme gleich zum HTTPS-Traffic, aber ich schaue jetzt erst mal auf TCP und HTTPS-Traffic.

01:08:22: Ach so, ein Aspekt noch, diese DNS-Sachen kommen normalerweise über PORT-Dreien-Fünfzig.

01:08:27: Das ist doch bei der FIRE wohl so, die guckt einfach nur auf PORT-Dreien-Fünfzig und fälscht halt die DNS-Pakete, wenn der Filter ansteckt.

01:08:34: Bei TCP ist es anders, TCP hat auch Standardsport, aber da ist es insbesondere für Umgebungsmaßnahmen üblicher, halt einfach auf andere Ports auszuweichen.

01:08:43: und deswegen ... beobachtet die firewall tcp traffic einfach auf allen ports und sie macht es ich habe das jetzt hier stateful aber lossy genannt ist ganz lustig das heißt sie beobachtet den tcp handshake also sön sön agg agg und wartet dann auf zum beispiel den htp datenstrom.

01:09:05: wenn wenn es um den htp traffic geht In der hat dann den host header und der hat den fahrt und der kann sie nach keywords eben suchen und filtern und so und dann entscheidet sie ob diese verbindung zugelassen wird oder nicht.

01:09:17: Sie.

01:09:18: Guckt aber nicht ob der handshake vollständig ist also.

01:09:22: Sie interessiert sich nur für das zünd und dann für das pushack vom.

01:09:28: Von derselben Stelle, insbesondere die Gegenrichtung des Zönak und so, das ist ihr egal.

01:09:33: Und das ist ihr nicht, also das ist einerseits einfacher, weil sie da nicht so viel Statement ziehen muss, aber das hat vermutlich einen anderen ganz relevanten Punkt.

01:09:42: TCP hatte die schöne Eigenschaft, dass Pakete nicht den gleichen Weg nehmen müssen.

01:09:48: Und das heißt halt, dass sozusagen der Handshake in die eine Richtung und in die andere Richtung nicht an den gleichen Stellen der Firewall vorbeikommen muss.

01:09:56: Und anstatt da irgendwie relativ viel Proporzvertreibung, das zu synchronisieren, gibt es sicher halt einfach mit so einem, wenn sie sozusagen ausreichend großen Teil von diesem Handshake sieht, dann geht sie davon aus, dass der schon erfolgreich stattgefunden hat.

01:10:10: guckt halt dann, ob sie das filtert oder nicht.

01:10:13: Das heißt, sie nimmt da ein Statement und sie hat ein Auge auf den TCP-Handshake, aber sie ist auch damit zufrieden, wenn der nicht vollständig von ihr erfasst wird.

01:10:22: Sei es, weil der nicht vollständig durchgeführt wurde, oder sei es, weil halt die Gegenrichtung über eine andere Route, also anders geroutet wurde, und das kann nicht an der gleichen Stelle der Firefall vorbeikommen.

01:10:31: Also wenn sie zu dem Schluss kommt, hier ist eine TCP-Verbindung, die weg soll, dann schickt sie ein bis drei TCP Reset-Pakete.

01:10:40: Also TCP war wahrscheinlich falsch gesagt.

01:10:43: Also TCP-Pakete haben ein Reset-Fleck.

01:10:45: Das ist normalerweise null.

01:10:46: Wenn das eins ist, dann bedeutet das für den Empfänger, macht die Verbindung sofort zu.

01:10:53: Und die Firewall schickt es einfach an den Kleinen der Verbindung unter, also beide Seiten in der TCP-Verbindung können.

01:11:01: sozusagen veranlassen, dass die Verbindung zugemacht wird.

01:11:04: Die Firewall schickt einfach an beide Seiten so einen TCP-Pagent mit dem Reset-Fleck und macht damit effektiv die Verbindung zu.

01:11:13: Danach blockiert sie Verbindungen inzwischen diesem Klein und diesem Server für eine Weile grundsätzlich.

01:11:22: Also auch, wenn der selbe Klein und der selbe Server versuchen sofort wieder auf dem gleichen Port eine TCP-Verbindung auszuhandeln.

01:11:30: Ohne dass da irgendein Keyword drin ist, der eigentlich vom Filter erfasst wird, wie die Firewall trotzdem drauf.

01:11:37: Das nennt sich Residual Sanctionship.

01:11:41: Das ist normalerweise so Zeiträume von ungefähr neunzig Sekunden, wo sozusagen jeder weiter Verbindungsversuch auch unterbrochen wird.

01:11:48: Und das hat eine Reihe von Effekten, aber eine davon ist halt, es ist relativ schwierig.

01:11:54: zu testen, was die Firewall eigentlich blockiert und was nicht, weil wenn man einmal blockiert worden ist und dann mit dem gleichen kleinen Server den nächsten Test fahren wollen würde, dann würde das auch blockiert, völlig unabhängig von dem Keyword, einfach nur weil dieses Residual Essentials da noch drin hängt.

01:12:08: Also die Firewall enthält auch Maßnahmen, die sozusagen verhindern sollen, dass man da irgendwie einfach systematisch durchprobiert, wie man rauskommt oder so.

01:12:18: Jetzt könnt ihr euch vermutlich fragen was red ich hier die ganze Zeit von dns und http?

01:12:24: wer nimmt denn das noch her?

01:12:25: na wir sind doch längst im zeitalter von verschlüsselten verbindungen angekommen und das stimmt nur bedingt weil also ich habe ich habe vor vor zwei jahren was wohl noch so habe ich ein paper gefunden dass die in kina irgendwie.

01:12:42: Da heißt sich Prozent der Verbindungen waren HTTP ohne S oder so oder ich weiß nicht genau was die Zahl war.

01:12:47: ich habe es gestern noch mal geguckt Cloudflare misst aktuell ungefähr sechzehnt Prozent HTTP ohne S Traffic in China.

01:12:54: Das ist sehr viel mehr.

01:12:55: global sind es zwei Prozent.

01:12:57: also das ist auch nicht speziell China allgemein.

01:13:00: Staaten die sehr umfänglich Internet Zensur betreiben haben halt wenige Teresse daran dass die da Verstüßlung so um die Präsent etabliert weil das macht die Zensur schwieriger.

01:13:12: Und insofern ist es nicht so, dass bei DNS es sowieso noch viel schlimmer ist.

01:13:17: Also DNS Traffic ist ja immer noch global in der Mehrheit unverschlüsselt.

01:13:22: Aber auch bei HTTPS ist es nichts was die Firewall halt noch kann, weil vor zwanzig Jahren was relevant oder so.

01:13:28: Sondern es filtert immer noch gut über die sechzehn Prozent des Traffics weg.

01:13:35: Nichtsdestotrotz ist es natürlich nicht so, dass man einfach an der Firewall vorbeikommt, indem man HTTPS nutzt.

01:13:41: Ich habe es eingangs schon erwähnt, dass gibt diese Server Name Indication Extension, in der halt ein HTTPS-Paket noch im unverschlüsselten Header transportiert, für welchen Hose es gedacht ist.

01:13:55: Da guckt die Firewall drauf, da setzt ihre Filter drauf an und blockiert dementsprechend.

01:14:02: Und das war übrigens ein Game-Changer damals für HTTPS, der dazu führte, dass man nicht für jede HTTPS-Webseite eine eigene IP-Adresse brauchte auf dem Web-Server, sondern dass alles wie auch die normalen HTTPS und verschlüsselten Webseiten über denselben Web-Server abweiern konnte und war, glaube ich, einer der ersten Punkte, wo sich HTTPS im Web schneller anfing durchzusetzen, weil die technischen Bedingungen deutlich besser wurden.

01:14:31: Ja, also SNE ist an sich eine feine Sache.

01:14:35: Es ist halt ein bisschen unschön, dass das nicht auch verschlüsselt wird, sodass man danach eben fehltern kann.

01:14:41: Das ist übrigens auch was, was sehr viele Unternehmen ganz gerne machen, um so zu gucken, wo die Leute denn so hinsurfen oder so, die sich deswegen auch gar nicht froh sind, dass es Bestrebungen gibt, das zu verbessern.

01:14:52: Das gibt's nämlich.

01:14:52: Es gibt einmal iSNI, also encrypted SNI, was eine Methode war, um diese SNI-Sache zu verschlüsseln, die nicht standardisiert worden ist, die aber durchaus sich praktisch eingesetzt worden ist.

01:15:07: Browser hatten das implementiert und so.

01:15:10: Und Kinas Lösung dieses Problems, dass es da jetzt eventuell HTTPS-Traffic gibt, wo sie nicht mehr den Host sehen, an denen das soll, war, sie blockieren einfach HTTPS-Traffic grundsätzlich, wenn er ISNI verwendet.

01:15:23: Und nachdem das auch nie so groß geworden ist, ist das ein Mechanismus, den Sie offensichtlich ohne zu viel Kollateralschaden fahren können.

01:15:32: Ich habe gerade gesagt, IS&IS ist nicht standardisiert worden, das liegt daran, weil ein verbesserter Nachfolger standardisiert worden ist, ECH oder auch Encrypted Hello oder Encrypted Client Hello.

01:15:46: Angeblich blockiert die Firewall Encrypted Client Hello Traffic noch nicht.

01:15:53: Das könnte damit zusammenhängen, dass der halt noch echt selten ist.

01:15:57: Ich glaube, der Standard ist immer noch nicht verabschiedet.

01:15:59: Ich bin nicht ganz sicher.

01:16:01: Er ist jedenfalls in den Endzügen.

01:16:04: De facto ist es halt so, Browser haben das eingebaut, aber serverseitig schaut es echt mau aus.

01:16:09: Von den großen CDNs unterstützt, glaube ich, nur Cloudflare in Crypto Client, hallo.

01:16:14: Und ich habe auch auf die Schnelle nicht rausgefunden, ob Cloudflare das auch in China tut, weil Cloudflare wie viele andere Internetgiganten China ein bisschen speziell behandelt, da haben sie auch ein bisschen Dokumentation zu ihren chinesischen Angeboten.

01:16:28: Und was passiert, wenn man mit Cloudflare, Encrypted Client, Hallo aus China heraus oder in China machen will?

01:16:36: Weiß ich nicht, habe ich auf die Schnelle nicht gefunden.

01:16:39: De facto ist es einfach auch global, momentan noch so wenig verbreitet, dass es für China kein relevantes Problem ist.

01:16:46: Was angeblich auch durchkommt, ist um mit SNI, also Traffic, der einfach keine SNI Extension trägt.

01:16:54: Das ist dann natürlich verschlüsselter Traffic, wo hinter einer IP-Adresse auch nur genau ein Host mit einer Domain stehen kann, weil SNI dient ja genau dazu, sozusagen hinter einer IP-Adresse mehrere Haus betreiben zu können.

01:17:08: Insofern ist es nichts, was gut skaliert, aber es ist angeblich was, was momentan die Firewall passieren kann.

01:17:16: Ich habe zwei interessante Aspekten, nachdem ich jetzt ein bisschen über die DNS HTTPS und HTTPS Filter geredet habe.

01:17:22: Und zwar diese Domain, also die filtern alle auf Domains.

01:17:24: Diese Filterlisten sind aber nicht identisch.

01:17:26: Die haben einen großen Overlap.

01:17:28: Die haben aber auch sehr große Unterschiede und insbesondere sind sie sehr unterschiedlich groß.

01:17:33: Die DNS Filterliste ist bei weitem die umfänglichste.

01:17:36: Dann die HTTPS Filterliste und dann die HTTPS Filterliste.

01:17:40: Das könnte einerseits am Alter liegen, also dieser DNS-Filtermechanismus ist einfach auch schon sehr viel älter und sehr viel länger in der Firewall implementiert als zum Beispiel der HTTPS-Filtermechanismus.

01:17:51: Es könnte aber auch, also vielleicht nicht oder, sondern vielleicht auch und, damit zusammenhängen, dass man die Performance staffeln will.

01:17:58: Also wenn ich eine Verbindung wegkriege, indem ich sie einfach schon auf... der DNS-Anfrage-Ebene blockiere, dann kostet mich das sehr wenige Ressourcen, da hau ich halt ein UDP-Pakete raus und das war's.

01:18:09: Wenn ich anfangen muss, das TCP-Header von diesem HTTPS auseinander zu bröseln, um da irgendwie rauszufinden, was da für ein SNI drin steht, dann muss ich mehr Ressourcen aufwenden.

01:18:21: Das heißt, es ist plausibel, sozusagen, dass ich... die größten Filtersachen in dem DNS-Ting habe und dann nur die Sachen, die da vielleicht durchkommen und die aber so wichtig sind, dass ich nicht will, dass sie durchkommen, dann auf HTTPS-Ebene zum Beispiel rausfilter.

01:18:36: Also das war der eine Punkt, die filtern alle auf Domains, aber nicht mit den gleichen Filterlisten.

01:18:41: Und das andere ist, dass die Great Firewall of China scheinbar nicht voll, also sie ist weitgehend symmetrisch, aber nicht vollständig.

01:18:50: Man dachte früher, wenn ich Von einem Extern, also von dem Server außerhalb von China, ein zum Beispiel, sag ich mal, TCP-Paket mit einem Filtertriggerwort nach China reinschicke, dann wird es blockiert, genauso wie wenn ich sie in die andere Richtung schicke.

01:19:05: Dann könnten wir sie erstmal fragen, warum.

01:19:06: Also sollte China nicht, überhaupt nicht interessieren, was die Leute in China von draußen anfragen.

01:19:12: Es gab dann die Idee, dass das einfach eine Performance Frage ist, dass es einfacher sozusagen sich nicht für die Richtung zu interessieren und sowas konzertlich zu blockieren.

01:19:20: Es scheint anders zu sein, weil sich rausgestellt hat, die Firewall, das ist eine relativ neue Erkenntnis, kann asymmetisch blockieren.

01:19:28: Es gibt ungefähr, also so eine Studie hat ungefähr ein tausend Domains gefunden, die, wenn man sie per HTTPS anfragt, nur die Firewall Trigger, wenn man aus China raus anfragt, nicht wenn man von draußen nach China rein anfragt.

01:19:44: Und die werden auch nicht über diesen TCP-Reset-Mechanismus blockiert, den ich einfach erwähnt habe, also wo einfach die Firewall dann halt so ein Reset-Paket rausschickt.

01:19:54: Der umgehbar ist, da komme ich nachher dazu, sondern über den Packet Drop.

01:19:58: Also da werden einfach die Pakete weggeworfen.

01:20:01: Die haben auch eine längere Residual Sensorship, also die halten dann jede Verbindung zwischen diesem kleinen und diesem Server für über drei Hundert Sekunden zu.

01:20:10: Und letztlich zeigt sich halt, na ja, die Firewall kann, also unidirektional filtern.

01:20:15: Sie tut es meistens nicht.

01:20:17: Sie filtert meistens einfach symmetisch.

01:20:19: Möglicherweise, weil das eine Performance Frage ist.

01:20:21: Es ist einfach einfacher sozusagen und nur in irgendwelchen speziellen Ausnahmefällen, woher das wichtig ist, möchte man irgendwie unidirektional filtern oder vielleicht auch eine Frage von neuerer Hardware, die sie auswollt.

01:20:30: Wer weiß, ich spekuliere gerade.

01:20:33: Warum sie überhaupt symmetisch filtern, neben der Performance Aspekt, gibt die... den Punkt, dass sie so halt auch als Geoblocke agieren kann.

01:20:42: Also wenn ich irgendwelche chinesischen Seiten habe, von denen ich einfach nicht will, dass die von außerhalb Chinas erreichbar sind und ich habe eh schon der Firewall an der Edge, dann ist es ja schön, wenn ich da halt einfach einen Filterwort hinterlegen kann und dann kann kein Traffic, der diese Seite betrifft, rein oder raus, aber alle Chinesen, die eben in China sind, können diese Seite ganz normal anzuröffen.

01:21:03: Und Geoblocking, da gibt es natürlich auch Anwendungen dafür.

01:21:08: So, jetzt haben wir ganz viel über DNS und HTTPS und HTTPS geredet, was es mit VPN-Verbindungen hernimmt.

01:21:14: Die versucht die Firewall zu Fingerprinten, indem sie halt guckt, naja, was ist das für Schlüsselung?

01:21:19: Habe ich da irgendwelche Cleartext-Header, die ich erkennen kann und dann eben weg zu blocken?

01:21:26: Sie versuchen Gegenstellen zu enumerieren, also einfach rauszufinden, na gut, ich mach mir zum Beispiel einen Account bei großen VPN-Anbietern und mach halt VPN-Verbindungen und schau wo die hingehen.

01:21:37: in Bezug auf Tor oder so, gibt es auch expliziten Tor, gibt es ja so Bridges und so, dann kann man versuchen diese Bridges, da kann man sich immer wieder so ein paar geben lassen, damit man halt irgendwie auskommt aus dem Land, da kann sich natürlich auch China immer wieder ein paar geben lassen und versucht sozusagen einfach mit der Zeit einfach alle zu kennen.

01:21:55: Grundsätzlich werden VPN-Verbindungen unterbrochen, indem die Verbindung, erst die Pakete verborgen werden.

01:22:03: Und was die Firewall aber auch kann, Das Nächste ist, dass sie einfacher gucken kann, dann habe ich hier irgendwie breitbandigen Verkehr, der verschlüsselt ist und so und dann lässt sie den oft für eine Weile zu und blockiert ihn dann.

01:22:18: Das ist vielleicht auch was, was dem Vater der Weile wollte, dass sie eine Weile zuguckt und dann drauf haut, was halt auch den Effekt hat, dass die für das VPN nicht sonderlich benutzbar ist.

01:22:31: Was sie auch machen kann ganz interessant ist zu sagen gut ich verwerfe das nicht.

01:22:35: ich bin vielleicht auch nicht hundertprozentig sicher ob das sozusagen ist die nicht verwerfen will weil ich sehe halt hier breit bei den verbindungen.

01:22:42: aber ist es jetzt zulässig oder nicht dass sie.

01:22:46: künstlichen packet los hervorruft?

01:22:47: also sie verwirft einfach eine gewisse und jetzt eben so ein bisschen in diesem randomisierten teil anzahl pakete.

01:22:54: das verschlechtert einfach die verbindungsqualität ganz enorm oder halt auch nur so ein bisschen je nachdem wie ich will.

01:23:00: da kann ich sozusagen sehr graduell druck auf nutze aufbauen um das die von irgendeinem system weggehen was mir nicht so recht ist ohne das halt direkt zu blockieren weil es funktioniert er noch es leckt nur und nervt.

01:23:13: Zum Beispiel Zoom ist davon, glaube ich, Hoffnungslobby inzwischen auch irgendwie auf der Blocklist, entweder in China oder in Russland, aber das ist mir bei den Recherchen untergekommen.

01:23:22: Und da ist so auch noch eine spannende Anmerkung in den Notizen.

01:23:26: Das hat ja auch noch einen anderen Nebeneffekt.

01:23:28: Genau, weil wenn ich dann feststellt, so naja, Zoom geht schon irgendwie, aber die Videoqualität von denen ist Mao und die ist halt so Mao, weil die Firewalder regelmäßig Pakete rausschmeißt.

01:23:40: Dann kann ich mich ja nach einer Alternative umsehen und dann werde ich feststellen, dass Alterniven der heimischen Wirtschaft ganz hervorragend funktionieren, weil die natürlich von solchen Problemen nicht betroffen sind.

01:23:49: Also wenn ich dann in mein Meeting über irgendeinen in der chinesischen Dienst abwickel, dann wird der halt nicht blockiert.

01:23:56: Da geht es durchaus die Vermutung, ich habe auch also... die plausibilisierte Vermutung, dass es sozusagen nicht nur ein Nebeneffekt ist, der chinesische Internetunternehmen freut, sondern dass es auch ein Effekt ist, der absichtlich eingesetzt wird von der Regierung, um Heimische Services zu fördern und ausländische Services halt irgendwie schlechter dastehen zu lassen.

01:24:24: Jetzt gibt es noch eine normale VPN-Verbindung.

01:24:27: ist sozusagen ja sicher in dem Sinne von, dass ich da nicht reingucken kann, aber sie ist halt sehr deutlich erkennbar.

01:24:35: Es gibt fortschädlichere Systeme, die laufen unter anderem unter dem Begriff, den ich ganz gut fand, fully eclipted to convention protocols.

01:24:44: Der geht es also darum, dass sind Protokolle, die haben keinen Klartextanteil mehr.

01:24:49: Da ist kein lesbarer Heter, die sind von Anfang an verschlüsselt.

01:24:53: Das funktioniert, in dem also da muss ich im Regelfall Out of Band irgendwie in ein Geheimnis austauschen oder so, also Klein und Server müssen sich irgendwie einig sein, wie das verschlüsselt ist, weil ansonsten brauche ich eben irgendwelche Meterinformationen, die mir dann eine Schlüsselaushandlung ermöglicht oder so.

01:25:09: Aber wenn ich das eben machen kann, dann habe ich da sozusagen nur den Datenstrom, der und das wird manchmal gesagt looks like nothing, aber das stimmt natürlich nicht.

01:25:17: Der sieht nicht aus wie nix, der sieht aus wie super ist Zahlen.

01:25:21: Und das hat den positiven Effekt, dass man den nicht direkt Finger printen kann.

01:25:25: Also da kann ich nicht als Firewood-Betreiber sagen, naja, wenn irgendwie an Beit Nummer drei das steht und an Beit Nummer fünf jenes steht, dann blockier das mal, weil das ist halt einfach zufälliger Traffic, der ist Polymorph.

01:25:38: Aber natürlich ist es schon so, dass ich versuchen kann zu sehen, sehe ich hier Traffic, der irgendwie zufällig aussieht, komme ich gleich noch dazu.

01:25:49: Was aber die Firewall erst mal macht, ist bei solchen Folien, Krypto, Circumension-Protokolls, oder was China macht, die einfach selber hernehmen, so wie ich es gerade bei Thor schon gesagt habe, und einfach versuchen, Gegenstellen zu innumerieren.

01:26:01: Und dann einfach zu sagen, das ist eine Gegenstelle von diesem Protokoll, das ist ein Server von ihrem Protokoll, blockiere ich, blockiere ich, blockiere ich.

01:26:07: Was die Firewall auch macht, das sieht man auch schon seit Jahren, wenn sie verdächtigen Traffic wahrnimmt, den durchzulassen und wenn sie sagt, naja gut, das könnte hier irgendwie Thor-Traffic sein.

01:26:18: Dann kriegt ihr die Torgegenstelle eine Weile später, nicht eine festen Abstand, sondern halt irgendwie zufällig, neue Verbindungen da rein, die offenbar die Firewall selber stellt.

01:26:29: Und der Witz ist halt, was soll denn so eine öffentliche Torstelle jetzt machen?

01:26:33: Wenn dann ein Scheinband in klein ist, der versucht sich zu kontaktieren, dann muss sie da herangehen.

01:26:38: Aber wenn der Klein halt die Firewall ist, dann lernt die Firewall in dem Moment, ach guck an.

01:26:43: Dieser Traffic, der irgendwie verdächtig erschien, das war Tor Traffic, weil ich habe hier gerade versucht mit dieser Gegenstelle Tor zu sprechen und es funktioniert.

01:26:51: Und dann wird halt auch dieser Server blockiert für dahinten.

01:26:54: Das nennt sich Active Probing, dass ich also nicht nur passiv auf den Verkehr gucke, sondern einfach auch selber versucht Verbindung dahin aufzubauen und zu gucken, ob ich mit irgendeinem Umgehungspotokoll oder VPN-Protokoll rauskomme.

01:27:06: Und wenn der Gegenstelle antwortet, dann weiß ich, ach ja wunderbar, kann ich blockieren.

01:27:11: Auch da Gegen gibt's Maßnahmen, die nicht später kommen will.

01:27:15: Deswegen geht die GfW neuerdings auch zu Heuristiken über.

01:27:18: Die versuchen genau diesen Random-Teil zu erkennen.

01:27:20: Also es ist ganz faszinierend, was man da halt auch einfach so empirisch raus ermitteln kann, indem man wild einfach pseudo-zufälligen Traffic über die Firewall schiebt und guckt, wann er blockiert wird und wann nicht.

01:27:33: Ist jetzt so, wenn man da Traffic drüber schiebt, der zufällig ist.

01:27:38: Und der, wo das Verhältnis von Einsen im Bitstrom zu dem Gesamtumfang des Bitstroms, kleiner als drei Komma vier ist oder größer als vier Komma sechs, oder wenn die ersten sechs Beit lesbare Askezeichen sind, oder wenn fünfzig Prozent oder mehr der Beids lesbare Askezeichen sind, oder wenn ich irgendwo eine Sequenz von mindestens zwanzig Beids habe, die lesbare Askezeichen sind, Dann lasse ich den traffic durch sonst nicht.

01:28:13: sonst ist er also weil bei dieser bei diesem Verhältnis von von einsen zu also auf eins gesetzten bits zur gesamtzahl der bits der witz ist natürlich eine Wirklich also zufällig aus.

01:28:24: in der verbindung wird da im mittel fifty fifty haben und das ist genau der bereich der eben nicht zugelassen wird.

01:28:29: also wenn das zu viele einsen sind oder zu viele nullen dann lasse ich es durch.

01:28:33: aber wenn die ungefähr auf fifty fifty unterwegs ist also da wo einem zufällig aussehn der datenstrom sein soll damit er eben zufällig aussieht dann wird er blockiert oder halt.

01:28:43: wenn ich feststelle da sind viele aski sachen drin dann lass ich es auch durch weil ich davon ausgehen das ist irgendwie.

01:28:49: da ist was was ich normal finger printen kann da sind ja aski zeichen die kann ich irgendwie vermutlich erfassen.

01:28:55: interessant ist auch noch dass dieser mechanismus der sehr neu Der hat auch eine weitere Ausnahmeregel, wenn er, wenn so ein TLS oder ein HTTP fingerprint anschlägt, also da gibt es halt auch irgendwie so, kann man gucken, naja das sieht hier aus wie der Anfang von der TLS-Verbindung.

01:29:14: Das ist vermutlich eine Performance-Optimierung, weil natürlich diese Berechnung und also gucken finde ich irgendwie eine Sequenz von ausreichend vielen ASCII-Zeichen oder stimmt das Verhältnis von einzelnen Nullen irgendwie.

01:29:25: so dass es also ist also fast zufällig aussehen und so das frisst halt ressourcen.

01:29:31: vermutlich ist es so dass sie das nur machen wollen wenn sie müssen das heißt wenn sie sehen naja gut das ist normaler tls oder htp traffic dann lassen wir den durch.

01:29:37: wenn es aussieht dass er irgendwie so klartext drin ist dann lassen wir den durch.

01:29:41: und nur wenn es wirklich aussieht wie so ein umgebungsprotokoll das halt voll verschlüsselt ist dann greifen wir ein und zwar beziehungsweise nicht stimmt gar nicht.

01:29:51: also ja was sie dann machen ist Und jetzt sind wir wieder bei probabilistisch in einem Viertel der Fälle die Verbindung wegzuschmeißen.

01:30:03: Da ist auch nicht so ganz klar, ist es eine Performance Optimierung, dass man halt die Hardware nicht hat, um das in allen Fällen zu machen, oder ist es, man hat da Beifang drin und man versucht sozusagen nicht zu viele false positives zu produzieren, weil es ist natürlich so, die haben scheinbar, also das hat halt auch so ein Forschungsprojekt dann halt einfach Erruiert, indem sie wahnsinnig viele Verbindungen getestet haben, die eben nicht sind.

01:30:29: Das System, so wie es ist, es hat noch eine Reihe weiterer Einschränkungen.

01:30:36: Ja, ich gehe da jetzt darüber.

01:30:37: Also es geht z.B.

01:30:37: auch, es interessiert sich nicht für UDP.

01:30:40: Ach so, doch, das ist interessant.

01:30:42: Dass dieses System, guckt wirklich auf den ganzen TCP-Handshake, also nicht nur auf dieses, na ja, wenn ich ausreichend viele Teile von diesem Handshake sehe, dann passt es schon, sondern das ist voll stateful.

01:30:51: Das guckt auch nur ein klein zur Serverrichtung und so.

01:30:55: Und löscht auch sozusagen nur die Pakete in kleinen Server Richtung.

01:30:58: Also das ist offensichtlich ein neuerer Mechanismus, der da zugeschaltet worden ist.

01:31:02: Und der hat wohl so eine false positive Rate von Null, sechs Prozent.

01:31:07: Und jetzt ist es halt so, wenn ich in ein großes Land bin wie China, wo wahnsinnig viel Traffic anfällt und wo ich in den Fällen ist, wenn ich kleine Anzahl fortschrittliche Internet-Nutzer hab, die versuchen, meine Zensur zu unterwandern mit solchen, also mit solchen fully encrypted Protocols.

01:31:22: Dann ist halt auch Null Komma Sechs Prozent ne Fehlerrate, die ziemlich hoch ist.

01:31:26: Da werde ich wahnsinnig viel Overblocking dabei haben.

01:31:29: Einfach nur, weil ich halt so viel mehr normalen, harmlosen Traffic habe.

01:31:33: Anstatt Traffic, der wirklich versucht, so fortschrittlich die Feuerwohl zu unterlaufen.

01:31:38: Dessen gibt es die Idee, dass dieses One and Four der Blockadehaut auch einfach ist, um dieses Overblocking zu reduzieren.

01:31:47: Aber das ist halt, also man sieht da so ein bisschen, dass es offenbar, soweit ich gefunden habe, der Neues, der Mechanismus, dass da halt mit was im Aufwand da agiert wird und dass diese Sachen halt geschaffelt werden.

01:32:00: Also man versucht von ganz billigen DNS-Filtern über diese HTTPS Sachen bis zu so fortschrittlichen... Wohl in Crypto Protocols alles zu erfassen, aber halt nicht alles mit dem gleichen Mechanismus, der dann irgendwie durchglüht oder so, sondern halt in so Etagen und dann möglichst die Performance im Reinen zu erhalten.

01:32:21: Jetzt kommen wir noch so zum Schluss, so wie kann ich mich gegen all diese Sachen wehren, weil genauso wie die Firewall immer besser wird, alles Mögliche zu blockieren und zu entdecken und zu filtern, werden halt die Gegenspiele immer besser darin.

01:32:34: dass diese maßnahme zu unterlaufen ist.

01:32:36: es auch solche so christopher hat mulwat angefangen so ein großer vpn anbieter.

01:32:40: das ist wenig gehaltvoll aber die haben gesagt manche mal geht es manchmal geht es nicht.

01:32:43: das ist halt auch so typisches ding was man an der feier wo sie je nachdem was vielleicht die person da gerade vorher gemacht hat oder ob das ein server ist den die feier wohl halt schon innumeriert hat oder halt nicht oder so oder ob das ist was wo sie gerade sozusagen eine weile zuguckt und sagt wenn es zu breitbandig wird dann schmeiß ich es weg oder so.

01:32:59: na also das ist halt manchmal geht es manchmal geht es nicht.

01:33:04: Grundsätzlich habe ich als Anbieter die Möglichkeit, eben dieses Enumerieren zu verhindern, in dem ich meine Gegenstellen geheim halte.

01:33:11: Das kann ich zum Beispiel machen, indem ich Domain Fronting betreibe.

01:33:14: Das heißt, ich rede vordergründig mit einem Content Delivery-Netzwerk, also irgendwas von Amazon oder eben Cloudflare oder sonst was, irgend so ein Monstrum, wo China sagt, na ja gut, ich will nicht jeden HTTPS-Traffic zu diesem Riesen-CDN blockieren.

01:33:28: Und manche CDNs erlauben Domain Fronting, das bedeutet, ich schick da.

01:33:32: in ein Paket hin, dann wird beim CDN die Verschlüsselung terminiert, dann guckt die und das ist eigentlich gedacht um sozusagen intern zu routen, solltest jetzt eigentlich an irgendeine AWS Cloud oder soll das irgendwie an den Amazon Shop?

01:33:47: oder keine Ahnung was?

01:33:48: wo soll das hin?

01:33:50: Manche CDNs tolerieren das, aber wenn da einfach ein ganz anderer External Haus drin ist und dann haut das CDN diese Verbindung wieder raus, an das wahre Ziel, was weiß ich, Mein Tor-Bridge oder so.

01:34:03: Und es gibt halt CDNs, die dieses Domain-Fronting tolerieren.

01:34:06: Und das ist ein Problem für solche Zensurmechanismen, weil die sehen nur, die traffic jetzt zum CDN hingeht und haben die Wahl, das ganze CDN zu blockieren oder es halt zuzulassen.

01:34:18: Andersseits... laufen die CDNs, also eben die Gefahr, dass sie dann sozusagen in Haft genommen werden und dann halt komplett blockiert werden.

01:34:25: Das heißt, die meisten sehen dieses Domain-Fronting eigentlich gar nicht gern.

01:34:28: Deswegen ist es aber auch immer so ein bisschen Tanz auf Messerschneide.

01:34:31: Eine andere Möglichkeit ist, zu versuchen, einfach die Gegenstellen nicht direkt irgendwo zu publizieren.

01:34:37: Es gibt so ein Anti-Zensur-Tool, das nennt sich Psyphone.

01:34:40: Die machen das zum Beispiel, wenn man sich das installiert, dann hat es ein paar Server, die kann das kontaktieren.

01:34:46: Die kann natürlich auch China, also sich das Ding runterladen und gucken, welche Server stehen da drin.

01:34:50: Deswegen kann man, also die ändern sich regelmäßig, aber genauso regelmäßig kann China nachziehen.

01:34:55: Aber über diese embedded Server kann ich dann halt zu weiteren, kriege ich weitere Server kommuniziert und es gibt dann auch noch obfusscated Server, wo Nutzer dieses System sozusagen eine Reputation aufbohren müssen.

01:35:05: Also die müssen dieses System produktiv im Einsatz haben und je länger sie das halt nutzen, wie ein normaler Nutzer, Umso höher ist ihr Scoring und umso eher kriegen sie dann auch Zugriff auf weitere Server.

01:35:19: und so ein Mechanismus wie so ein Active Probing, der halt nun mal kurz da anfragt, der baut diese Reputation nicht auf.

01:35:26: Das heißt, man müsste als Firewall-Betreiber dahin gehen und irgendwie große Farmen von Kleins betreiben und so, da kann man sie auch wieder wehren, aber das ist ein wohl vernünftig funktionierender Mechanismus.

01:35:37: dass man halt geheim hält, die Gegenstellen es eigentlich so gibt und nur Längernutzer dabei sind, umso mehr Gegenstellen verrät man ihnen.

01:35:47: Was es auch gibt, sind Probe-Resistant-Designs.

01:35:50: Das heißt, das sind Systeme, die auf eine Anfrage, wenn die zum Beispiel nicht mit dem passenden Passwort kommt, einfach gar nicht antworten oder mit irgendein anderes Protokoll reden.

01:36:02: Also, dass ich... Größer war das, glaube ich, rausgesucht.

01:36:05: Das System heißt Abtrogen, wenn ich mich richtig erinnere.

01:36:09: Das ist halt auch so ein System, das verschlüsselten Traffic produziert.

01:36:13: Der Witz ist, wenn man, dass diesen verschlüsselten Traffic über HTTPS schickt.

01:36:18: Und wenn jetzt da eine Active Probe ankommt und auch sagt, hey, ich versuche mal mit dir zu reden, an die aber nicht das korrekte Passwort innen drin mitliefert, dann antwortet der einfach normale HTTPS Server.

01:36:29: Und es sieht aus, es hätte dann Nutzer irgendeine... ein Videocall oder so gemacht mit einem harmlosen Service oder so.

01:36:36: Also man muss dann immer noch irgendwie auf Videocall oder so verweisen, um sozusagen die Bandbreite, die die Firewall da beobachtet hat, zu plausibilisieren.

01:36:44: Aber indem man sozusagen vordergründig ein Protokoll spricht und nur wenn das geheime Passwort mitgeschickt wird, dann das eigentliche Antizensurprotokoll spricht, kann man es auch versuchen, so einen Active-Probing zu vermeiden.

01:36:58: Was man auch machen kann, ist einfach so auszusehen.

01:37:01: Das hat es mit ActiveProbe nichts zu tun, aber um die Filter zu unterwandern, so auszusehen wie an der traffic.

01:37:06: Tor macht es zum Beispiel, es gibt Plugable Transports wie Snowflake, die sehen halt aus wie WebRTC, es gibt WebTunnel, das sieht aus wie HTTPS Verbindungen, damit zumindest halt die normalen Filter nicht auf Anschlagen gegen ActiveProbes ist, wahrscheinlich nicht funktionabel.

01:37:23: Was auch ganz lustig ist, ist, ich habe... erzählt, dass die Firewall oft nicht die Pakete droppt, sondern eine Verbindung einfach zumacht, indem sie an beide Seiten so einen TCP Reset daraus schickt.

01:37:36: Das kann ich versuchen zu erkennen, zum Beispiel an der Laufzeit und zu sagen, haha, das ist ja gar kein TCP Reset, der wirklich von meiner Gegenstelle kommt, das ist einer, der von der Firewall kommt und wie genug hier ist.

01:37:46: Und dann läuft meine Verbindung einfach weiter.

01:37:49: Das ist eine ganz geschickte Mechanismus.

01:37:56: Das ist eine der Gründe, warum die Firewall das ein Kleintun-Server schickt.

01:37:59: Weil das natürlich leider nichts ist, was einfach nur der Kleint machen kann.

01:38:02: Weil es gibt dann ein separates TCP Reset-Paket an den Server raus und wenn das normale Web-Server ist, dann reagiert er halt drauf und macht die Verbindung zu.

01:38:10: Dann habe ich als Klein nichts gewonnen.

01:38:11: Aber bei der Verbindung, wo ich beide Endpunkte kontrolliere, kann ich eben dieses TCP Reset-Paket, das von der Firewall kommt, versuchen zu erkennen und dann einfach ignorieren.

01:38:20: Und das ist halt auch der Grund, warum die Firewall dann in solchen Fällen, also VPN-Spreche oder so, nicht mit solchen TCP Resets blockiert, sondern indem sie einfach die Pakete verwirft.

01:38:30: Was ich auch machen kann, ist den Spieß umzudrehen, das fand ich auch süß.

01:38:35: Und zwar selber einfach Resets verschicken mit einer Time to Live-Templif, die so bemessen ist, dass dieses Paket zwar die Firewall erreicht, aber nicht die Gegenstelle, weil die TTL abläuft, bevor das Paket zugestellt werden kann.

01:38:51: Und dann denkt die Firewall... Oh, die Verbindung ist zu, da muss ich mich nicht mehr darum kümmern.

01:38:55: Die Verbindung ist aber ja nicht zu, weil dieses Resetpaket die Gegenstelle nicht erreicht hat.

01:39:01: Es ist eigentlich interessant, dass es funktioniert.

01:39:03: Warum sollte die Firewall überhaupt auf das Resetpaket reagieren?

01:39:07: Und ich einfach sagen, das interessiert mich nicht.

01:39:09: Ich gucke hier weiter, ob diese Verbindung weiterläuft.

01:39:11: Und es liegt vermutlich daran, dass diese Firewall, ja haben wir schon besprochen, intern aus verschiedenen Mechanismen besteht, die eben auch so hierarchisch sind, also wenn der eine nicht greift, dann greift der nächste oder so.

01:39:21: Und die wohl untereinander sich auch mit TCP Resets koordinieren.

01:39:25: Also das ist so der Punkt, wo dann sozusagen nachgeordnete Performance intensiver Mechanismus weiß, ach, muss ich mich nicht darum kümmern, weil da ist ja schon ein Reset rausgegangen.

01:39:34: Das heißt, die Firewall nutzt selber Resets.

01:39:37: Und muss deswegen halt auf Resets reagieren und hat deswegen das Problem, dass wenn der Nutzer ein geschickt, bemessenes Schick, dann reagiert sie eventuell auch drauf, obwohl es die Gegenstände nicht erreicht und die Verbindung weiterläuft.

01:39:51: Was ich auch machen kann, was schon aktuell sehr produktiver Weg ist, mit diesem Protokollen kreativ umgehen.

01:40:00: Also ich kann zum Beispiel früher war so, dass ich die TCP-Pakete segmentieren konnte und die Great Firewall hat die nicht ... also TCP Reassembly heißt es hat die nicht wieder zusammengebaut in der richtigen Reihenfolge.

01:40:12: Und wenn ich dann zwischen den SNI auf zwei Pakete gesplittet habe, dann hat die den halt nicht zusammengesetzt, dann hat der Filter nicht angeschlagen.

01:40:18: Das ist nicht mehr so, sie macht es mittlerweile, das ist wahrscheinlich auch einfach eine Performance-Frage.

01:40:23: Aber halt nur bis zu einem gewissen Grad, also ... wir gab es zum Beispiel auch wieder Erfolge ... Erfolgs-Meldungen, wenn ich das siebenfach zerbrüsele, dann bin ich scheinbar den Punkt, wo es der Firewall zu Ressourcen intensiv wird, das wieder zusammen zu löten.

01:40:39: Und ich komme damit durch.

01:40:41: Was ich auch machen kann, ist auf TLS-Ebene zu fragmentieren, wusste ich gar nicht, dass das geht.

01:40:47: Und TLS Reassembly macht die Firewall aktuell wohl gar nicht.

01:40:52: Also das ist auch eine Möglichkeit, um irgendwie die... Keyword Filter zu unterlaufen.

01:40:57: Ich kann auch einfach anderweitig Schabernack treiben, indem ich sozusagen diese Protokolle nicht ganz schandelkonform verwende, da irgendwelche unerwarteten Pakete oder unerwarteten Formatierungen oder unerwarteten Zeichen einbauen und hoffe sozusagen, dass die Firewall aus dem Tritt kommt.

01:41:11: Das hat den ganz lustigen Effekt, dass das funktioniert und es funktioniert halt genau dann, wenn die Firewall selber sich näher an die entsprechenden einstelligen Standards hält.

01:41:22: Als klein und server also mein klein und server fünfe gerade sein lassen und sagen es ist mir egal dass der jetzt gerade ein komisches paket dabei war oder so.

01:41:29: ich rege ich ignoriert es einfach oder so und die firewall aber sagt so nee das ist hier nicht erlaubt das ist eine ungültige verbindung hau ich zu oder so.

01:41:36: also einfach nur was ihr selber halt in tcp stack hernehmen muss.

01:41:40: Dann dann komme ich damit durch das.

01:41:43: Hat man früher wohl viel einfach händisch ausprobierten, mittlerweile gibt es da Systeme dafür.

01:41:49: Ich habe jetzt minimie nur einen Namen aufgeschrieben, das nennt sich Geneva.

01:41:52: Das ist ein genetischer Algorithmus, also das ist ein System, das evolutionär, Zerbröselungen, kreative Standardverletzungen von diesen Protokollen sich ausdenkt, gegen die Firewall schmeißen kann und gucken kann, was geht davon durch.

01:42:09: Die Geneva und Konsorten sind sehr gut darin.

01:42:13: solche circumvention strategies zu finden, also solche strategien um die firewall zu unterlaufen.

01:42:20: Die brauchen aber halt ein klares signal, ob was gerade blockiert wird oder nicht.

01:42:25: Das ist einer der Punkte, wo dieses residual censorship wieder zum problem wird, weil wenn ich als klares signal werde, ui, das hier hat auch nicht funktioniert und das lag aber gar nicht daran, dass die firewall getrickert hat, sondern dass ich immer noch in diesem fenster drin bin, nach der innerhalb dessen sie einfach alles blockiert.

01:42:42: dann kann ich nicht gut ausprobieren, weil ich dann immer wieder, muss ich wieder, neunzehn Sekunden warten, bis ich die nächsten Versuch starte.

01:42:48: Und das andere ist natürlich, wenn die Firewall sagt, na gut, ich blockier hier nicht, ich drossel nur, was ist ich, ein Drittel aller Pakete geht flöten, dann ist das halt auch kein klares Signal, was so ein lernender Algorithmus irgendwie auswerten kann, um zu sagen, das ist eine funktionierende Strategie oder nicht.

01:43:03: Nichtsdestotrotz sind diese Systeme scheinbar aktuell recht gut darin, Mechanismen zu finden, um die Firewall zu unterlaufen.

01:43:12: Und was man machen kann, um dieses letzte System anzugehen, wo diesen vollverschlüsselten Traffic, wo den Firewall einfach guckt, sieht es ausreichend, also sieht es aus wie echt zufälliges Zeug, dann blockiere ich es, indem ich da halt Gegensteuer.

01:43:30: Ich kann zum Beispiel einfach meine initialen Pakete einfach halt fest irgendwie variieren.

01:43:38: sodass ich da ausreichend so viele einsten oder so viele nullen halt dann drin habe, dass es nicht in diesem Filter fällt.

01:43:44: Ich kann das aber auch und es ist relativ einfach dann für die Fireball da wieder drauf zu reagieren und sagen sehr gut, wenn passiert das Verhältnis an oder so.

01:43:54: Was ich aber auch machen kann, ist das dynamisch zu machen.

01:43:56: Also ich kann irgendwie gucken, na gut.

01:43:57: Ich habe jetzt hier mein Protokollverschlüssel.

01:43:59: Das erste Paket hat irgendwie so und so viel Eins und so und so viel Nullen.

01:44:02: Jetzt habe ich hier ein Padding.

01:44:04: Dieses Padding völlig halt passend mit Nullen oder Einsen auf, bis es ausreichend aussieht, wie irgendwie was, was überhaupt nicht mehr random ist.

01:44:12: Wenn ich dann hinten nur das Padding hätte, dann könnte ich die Firewall natürlich da einfach drauf triggern.

01:44:16: Das heißt, was der Mechanismus dann macht, ist dieses Padding.

01:44:20: in den Rest des Datenstroms rein zu schaffeln, sodass halt diese Überlast von eins oder überlast von nullen vorhanden ist, aber eben nicht als geordnetes Muster, auf das die Firewall dann wieder auslösen könnte.

01:44:31: Das ist halt meines Wissens sozusagen gerade die aktuelle Ausbaustufe, also wie man gegen den modernsten Anti-Zirconvention Filter der Firewall dann doch wieder gegensteuert.

01:44:42: Dieses System, also diese Systeme, viel davon, insbesondere auch diese heuristischen Tricker, die ich jetzt gerade zuletzt erzählt habe.

01:44:49: werden eingesetzt.

01:44:50: von es gibt ein haufen projekte die mehr wegen des ziel haben staatliche firewalls und insbesondere halt die chinesische firewall zu unterwandern.

01:44:59: Trojan haben wir gerade schon erwähnt.

01:45:00: es gibt shadow socks.

01:45:01: es gibt project v oder project five weiß ich also v outline lantern das psi fanden haben wir auch schon erwähnt.

01:45:09: es gibt conjure was scheinbar ist nämlich das muss es den tohr Also an dem Tor dran basteln, den sie hernehmen.

01:45:17: Wir tun die Links in die Show Notes, wenn euch das interessiert.

01:45:21: Der Witz ist halt sozusagen, all diese Systeme wenden viele von diesen Gegenmaßnahmen, die ich gerade erwähnt habe an, wenn nicht alle, weil man das auch machen muss.

01:45:31: Also ich kann ja nicht irgendwie... Sobald ich sage, naja, gut, ich mach nur das eine, wird die Firewall hat auf die reagieren.

01:45:38: Die befinden sich in dem ständigen Wettrüsten und sozusagen jeden Umgehungsmechanismus, den ich mal entdeckt habe, den muss ich auch irgendwie beibehalten können, um halt damit dann auch wieder weiterzukommen, wenn irgendwas anderes, also wenn die Firewall wieder anders reagiert.

01:45:53: Das heißt, es ist halt nicht so, dass man sagen kann, naja, aktuell funktioniert einfach folgende Technik gegen die Chinese Firewall oder so.

01:45:59: Sondern es hängt davon ab, okay, um welchen Traffic geht es?

01:46:02: In welche Richtung ist es?

01:46:04: Je nachdem kommen unterschiedliche Filtermechanismen zum Einsatz, teilweise auch unterschiedliche Ausbaustufen der Firewall und dementsprechend und gegen die kann man dann wieder je nachdem unterschiedliche Gegenmaßnahmen ergreifen.

01:46:19: Und wenn man das wirklich irgendwie in diese Situation ist, dann muss man sich halt so ein Projekt suchen, das sich zur Aufgabe gemacht hat sozusagen.

01:46:28: laufender Schritt zu halten und laufend neue Gegenmaßnahmen zu deployen und laufend irgendwie zu reagieren, wenn ihr Protokoll doch wieder irgendwie erkannt wird, das Protokoll dann entsprechend anzupassen, dass es nicht mehr erkannt wird und so.

01:46:39: Das ist, wird auch von den Beteiligten als, also fortwährendes Katzenausspiel beschrieben.

01:46:49: Ja, mich würde interessieren, ob das in der breiten Bevölkerung in China wegen der technischen Komplexität häufig verwendet wird.

01:46:59: Also, wenn man es gesellschaftlich oder digital gesellschaftlich sich anschaut und sich jetzt mal anguckt, weiß ich nicht.

01:47:06: Meine Oma will irgendeine Fall-on-Gong-Webseite aufrufen aus China heraus.

01:47:12: Würde die sich einarbeiten, führt das zu einer höheren Digitalkompetenz und Bastelfreudigkeit bei Chinesen und Chinesen oder ergibt sich die Absolut breite Masse dem Schicksal und sagt ja da komme ich halt nicht ran ist halt so.

01:47:26: das würde mich mal interessieren denn wir sehen ja jetzt an anderen Stellen zum Beispiel in.

01:47:32: Auch wieder in Großbritannien ich glaube aber auch in Australien gibt es ja jetzt alle möglichen lustigen Altersfilter und so was das.

01:47:39: zum beispiel der verbot von erwachsenen webseiten sehr schlagartig zu einer zunahme des traficks führt weil die leute auch die sich sonst mit sowas nicht befassen wollen dann sagen okay jetzt ist für mich der punkt erreicht.

01:47:49: jetzt muss ich da auch mal was tun und mich würde tatsächlich interessieren aber das werden wir dich beantworten können wie in.

01:47:56: In China die Leute damit umgehen, ob sie also nicht nur Sprachregelungen finden und Wege Sachen zu sagen und diese Sachen zu sagen, sondern ob sie auch eine größere Menge an Leuten gibt, die sich diese technischen Möglichkeiten tatsächlich zu Nutzen macht oder ob das möglicherweise eher überwiegend westliche Ideen und Projekte sind, die in der breiten Menge, also die vielleicht nur von dissidenten Aktivisten, Journalisten und solchen.

01:48:25: Gruppen eingesetzt werden.

01:48:27: Ja, also ein bisschen was kann ich dazu schon sagen.

01:48:31: Diese Projekte haben teilweise relativ beeindruckende Nutzerzahlen, aber China hat halt auch eine relativ beeindruckende Bevölkerungszahl.

01:48:41: Also das geht so ein bisschen damit einher.

01:48:43: Ein anderer Spekt ist, dass das natürlich nicht erlaubt ist, die Feuerwohl zu umgehen, aber es ist wohl relativ unüblich, dass es da tatsächlich zu Drangsalierungsmaßnahmen kommt.

01:48:57: Es gab von der Weile mal was, wo gegen VPN-Nutzer vorgegangen wurde und es war aber wohl unüblich.

01:49:05: Also normalerweise ist die Reaktion sozusagen darauf, dass man versucht halt technisch diese Sachen zu unterbinden, was den Chinesen wohl für mich zumindest überraschend viel Experimentierspielraum erlaubt, dass sie halt ausprobieren und nicht fürchten müssen.

01:49:22: für den ersten kleinen Versuch sofort in eine Knast zu wandern.

01:49:26: Und dann halt mal so einen VPN oder so.

01:49:28: Also es geht auch da wieder um, benutze ich jetzt halt irgendeinen StandardVPN, die sich halt irgendwie noch keine Lizenz von China haben oder so.

01:49:37: Oder benutze ich hier vielleicht eine Maßnahme, die explizit versucht, fortgeschritten, nämlich an den Mechanismen der Firewall zu umgehen und so.

01:49:45: Und je nachdem, wie das dann reagiert.

01:49:46: Also ich glaube, dass diese Maßnahmen oder für mich waren diese Maßnahmen sozusagen überraschend.

01:49:53: verbreitet.

01:49:55: Es ist halt auch so, das fand ich auch ganz interessant, wenn man sich anguckt, was wird eigentlich blockiert von der Firewall, ist, ich glaube, also Punkt eins war Gambling oder so, ich weiß es nicht, Punkt zwei war dann Adult Content oder so, also da war eine ganze Menge Zeug, wo halt auch diverse westliche Regionen hingehen würden, so ja, ja, das würden wir auch gern blocken.

01:50:19: Das heißt, ich würde annehmen, dass auch in China relativ erfolgreich damit argumentiert wird, es geht hier nicht um irgendwie Zensur im Sinne von, ihr dürft hier irgendwas nicht wissen.

01:50:28: Es geht davon, wir wollen euch vor dem ganzen Schmutz schützen.

01:50:31: Den zensieren wir raus.

01:50:32: Und es ist insofern nicht mal gelogen, als dass wahnsinnig viel von dem, was rauszensiert wird, halt wirklich vermutlich Dinge sind, die die Mehrheit der chinesischen Bevölkerung gut pornografiert, interessiert wahrscheinlich die Mehrheit schon, aber sie wird es nicht einräumen oder so, keine Ahnung wie.

01:50:48: Wo es nicht so einfach ist, glaube ich, sozusagen einen öffentlichen Entrüstung dahinter zu versammeln, dass sowas blockiert wird.

01:50:57: Und dass halt auch dann ein Haufen Nachrichtenseiten oder so, die nicht genehm sind, darunterfallen, ist halt, wenn man sich einfach die blockierten Domains mengenmäßig ansieht, ein kleiner Teil.

01:51:07: Und insofern ist das natürlich auch ein relativ geschicktes Argument, dass die chinesische Regierung anbringen kann, sozusagen sehr am Moment.

01:51:16: Es geht hier darum, sozusagen den ganzen Rots, der im Internet zur Verfügung, also halt abrufbar ist, irgendwie rauszuhalten, die Fliegen, die da reinkommen und dann, dass dann zuvielerweise so eine Fliege halt auch irgendwie ein Nachricht medium war und von der Klatsche mit erwischt wird, das toleriert die Bevölkerung vielleicht eher, wenn man auf hundert andere Fliegen verweisen können, wo sich alle einig sind, das wollen wir hier gar nicht haben.

01:51:34: Die eine Hälfte der Fliegen war nackt, die andere Hälfte der Fliegen hatte Karten in Händen.

01:51:38: Das sind natürlich auch Fliegen, die man nicht mehr unbedingt haben will.

01:51:42: Und was auch eine Eigenart in China wohl ist, ich weiß nicht, ob es das in Russland auch gibt, aber ich habe mal gelesen, dass es eine unheimliche Viralität von Gerüchten gibt in chinesischen Messengerdiensten vor allem, also dass sich da Ich glaube, da ging es auch zum Beispiel mal um einen Skandal mit manipuliertem Milchpulver, wo irgendwie Katmium im Milchpulver war und dann als Seutlinge gestorben sind.

01:52:07: Und sowas hat sich so stark und so schnell verbreitet und dann natürlich auch zu Unmut gegenüber der jeweiligen Provinzregierung geführt, dass solche Sachen dann auch immer mal wieder direkt dann an den Social Networks oder in diesen Messengerdiensten gesperrt werden, weil diese Gerüchte, die dann... in Abwesenheit offizieller Nachrichten zu Sachen, die die Gesellschaft sehr stark beeinflussen und berühren, kursieren, oft eben sich unheimlich verselbstständigen.

01:52:33: Also ich weiß dann diese Milchpulver-Geschichten, das gibt es ja heute noch, dass Milchpulver im Rossmann oder in anderen Drogeriemärkten oder Supermärkten rationiert wird, weil eben Leute das nach China verschicken von hier aus.

01:52:47: Und das westliche Milchpulver immer noch ein Extrem.

01:52:50: Guten Rufat und das was in China domestisch angeboten wird aber auch die chinesische Version zum Beispiel der Produkte von Nestlé oder so als unsicher gilt.

01:52:59: und das finde ich.

01:53:01: ich finde also viele Sachen in diesen Gebieten und Ländern die keine offene Nachrichtenlage haben, wo viele Nachrichten sensiert werden und Nachrichten unterdrückt werden, die aber trotzdem gesellschaftlich relevant sind und die für viele Leute wichtig sind.

01:53:17: Von Vogelgrippe bis Milchpulver oder irgendwelche großen Unfälle.

01:53:21: Damals, als das eines der Fernsehgebäude in Peking das Staatsländers gebrannt hat, so ein Prestige Hochhausprojekt, dann wurden halt auch Berichte darüber sensiert, obwohl man in ganz Peking diese Rauchsäule sehen konnte.

01:53:36: Das ist ein großes Haus und ich bin da gewesen, abgebrannt, da sah man halt dieses Stahlskelett noch.

01:53:42: Das ist ganz spannend.

01:53:43: Und diese Lage, dass du das Nachrichten und gesellschaftlich relevante Ereignisse, vielleicht auch Konflikte innerhalb der Bevölkerung zensiert und unterdrückt werden, gibt es ja nicht nur in China.

01:54:01: China hat aber mit viel Arbeit, auch viel Geld und vielen Ressourcen und viel... ausprobieren denke ich eine technische infrastruktur geschaffen die sich durchaus auch als export artikel.

01:54:18: Und das haben sie dann auch gemacht.

01:54:20: sie haben angefangen diese technologie zu exportieren.

01:54:23: und was da passiert ist beziehungsweise was wir wissen dank dieses leaks von schietsch wo diese firewalls gelandet sind und wie man sich das auch wirklich vorstellen muss das wollte ich jetzt gleich noch erzählen.

01:54:37: Ich wollte nur den Spruch anbringen, wenn du was gut kannst, dann mach's nicht umsonst.

01:54:41: Das hat sich China wahrscheinlich auch gedacht.

01:54:44: Jetzt haben wir dieses ganze System hier schon zusammengeschraubt.

01:54:46: Jetzt können wir auch was verdienen.

01:54:49: Genau, und ich denke, da können wir nicht drauf eingehen, das habe ich auch in der Tiefe nicht recherchiert, aber tatsächlich gibt es ja zwischen dem, wir haben jetzt das bei uns im Land funktionierend und wir können das so in Kisten verpacken, dass wir es woanders nochmal neu aufbauen können, gibt es ja auch noch einen weiteren Prozess, dass du es modularisieren musst, du musst es möglicherweise noch ein bisschen.

01:55:08: lexibler machen damit auch die belange anderer länder da rein konfiguriert werden können.

01:55:13: das ist ja tatsächlich eine produktentwicklung die auch noch mal jemand machen muss.

01:55:16: in diesem falle war das diese firma die das produkt firewall.

01:55:23: die heißen anders die heißen tsg so tian security gateway.

01:55:29: jetzt muss ich mal gerade nachgucken Tiangu Secure Gateway heißen die Dinger und da gibt es auch eine Produkt-Webseite dazu, bei ghnetworks.com.

01:55:43: Da kann man sich dann also, könnte man, wenn TNS basierter Adblocker oder Melbert Blocker das jetzt hier gerade blocken würde, aber da kann man sich dann Informationen drüber runterladen.

01:55:56: Was das so kann, also das ist relativ in die Open, aber was nicht so in die Open war, war wohin das Ganze verkauft wurde.

01:56:03: Die GfW, das hattest du ja auch gerade schon gesagt, ist in Mainland China aktiv.

01:56:09: Es gibt schon mehrere Provinzen mit eigenen Instanzen und die haben da angepasste Regelsätze, also besonders hervorheben muss man wahrscheinlich Xinjiang, die Provinz in der diese unterdrückte Volksgruppe der Uighuren lebt.

01:56:26: Und da sind teilweise Sachen verboten, die im Rest des Landes erlaubt sind, und zwar sowohl ausländische Webseiten und Dienste als auch inländische, also bestimmte Klauspeicher, die aber in China sind, ich glaube von QQ oder einem der anderen chinesischen Konzerne, die können in China in der Provinz nicht verwendet werden, aber im Rest des Landes schon.

01:56:46: sodass eben auch die Filterregeln dort nicht repräsentativ sind für die gesamte GfW.

01:56:51: Auch die Provinz Hennan, hattest du glaube ich gerade schon erwähnt, die betreibt auch schon eine eigene GfW-Instanz und es scheint generell so eine gewisse Dezentralisierungsbewegung für die GfW zu geben, die den Provinzen mehr Freiheiten einräumt, aber so wie ich das verstehe, nur in eine Richtung die Filter zu verstärken.

01:57:10: Die der allgemeinen Parteilinie so eine als baseline folgen und dann aber auch noch aus oben drauf zu setzen aber nicht so sehr sie zu schwächen.

01:57:18: Nee weil das wohl also auch technisch wohl einfach so ausgestaltet ist das halt zusätzlich zur gefi auch noch eine province firewall dazu kommt und die kann natürlich nur halt auch noch Sachen rausnehmen die die andere firewall passiert haben.

01:57:31: aber die kann sozusagen nicht die andere firewall Dinge passieren lassen oder so.

01:57:36: Es gibt diese Abschaltungen oder Abschwächungen, die gab es zum Beispiel zur Olympiade, und da wurde dann gesagt, so in den und den Hotels sind westliche Gäste, da wird die Gfw mal auf den und den Internet port, für den für die WLAN-Router deaktiviert oder abgeschwächt, dass bestimmte Sachen dann durchkommen, damit die Kollegen von Reuters auch tatsächlich Reuters.com erreichen, obwohl das was geblocktes, weil sonst kann man ja keine Sportberichte schreiben.

01:58:01: Und in den Sonderwirtschafts-Zonen Hongkong und Macau gibt es gar keine GSW, so wie ich das verstanden habe.

01:58:07: Die sind also von dem Ganzen ausgenommen.

01:58:10: GH ist in diesem Fall aber eben nicht nur der Technologiebetreiber oder Anbieter im Inland, sondern ist auch so ein Komplett-Dienstleister für den Export dieser Technologie, die hinter der Great Firewall steht, ins Ausland.

01:58:28: Wir müssen hier wahrscheinlich auch wieder ein bisschen in den Konjunktiv gehen, mutmaßlich, denn wir wissen nicht hundertprozent genau, dass das was die exportieren, auch das ist, was im Inland eingesetzt wird.

01:58:37: Aber wenn man sich das Personaltableau von GH mal so anschaut und wer da auch an der Gründung beteiligt war, dann scheint es doch schon ein wenig unwahrscheinlich, dass komplett andere Technologie im Inland eingesetzt wird, die dann auch als Auslands exportiert.

01:58:54: Nee, und ich meine, das ist auch, also was in diesem League jetzt rausgekommen ist, was diese GH-Technologie kann, deckt sich halt sehr gut mit dem, was sozusagen Blackbox-mäßig reverse-engineered ist, was die Great Firewall kann.

01:59:10: Also es wäre natürlich möglich, dass sozusagen GH das einfach nachgebaut hat und ihr Zeug de facto nicht irgendwie in der Firewall im Einsatz ist, aber Funktional scheint es sehr nah beieinander zu sein und, vermutlich plausibel, dass es auch deren Hardware ist, aber selbst wenn nicht, dann ist es halt sozusagen die Firewall Hardware von der Mann, wenn du.

01:59:34: Genau.

01:59:34: Die GH geht also hin und verkauft diese Technik in ein Land.

01:59:42: Und ersetzt dort die vorhandene Zensur Technologie oder baut eine komplett neue auf aber in den Fällen die bekannt sind ist eine vorhandene.

01:59:53: Nationale Fireball wie auch immer mal das Nende Zensur Internet Zensur Automat ersetzt worden und die machen das komplett.

02:00:00: also die bauen nicht nur die Appliances würden wir jetzt sagen wenn wir so in dem Security Hardware Sprech sind sondern die fahren auch dahin setzen das auf.

02:00:11: Tunen das ganze an die lokalen Gegebenheiten.

02:00:14: also was muss gefiltert werden?

02:00:15: welche dienste sind uns besonders wichtig welche nicht?

02:00:17: so sehr also.

02:00:19: Sicherlich wird in in Ländern wie wie Pakistan nochmal ganz anders auf Inhalte die dem Koran widersprechen geschaut werden zum Beispiel.

02:00:30: Und das erledigen die Kollegen von alles als Dienstleistung und die Techniker fahren dann da auch ins Land.

02:00:38: und bauen den Kram in Rechenzentren ein, und zwar in Zusammenarbeit mit den lokalen ISPs.

02:00:45: Und diese Zusammenarbeit ist eine Zusammenarbeit bei der eine der Parteien eine Pistole auf der Brust hat oder am Kopf, denn die sind in der Regel ja von ihrer Regierung oder den jeweiligen Machthabern wie in Myanmar, der Militär runter zur Zusammenarbeit gezwungen.

02:00:58: Aber sie wissen auch in jedem Fall davon.

02:01:01: Da fährt jemand hin und sagt hier beim nationalen ISP in Pakistan, Wir kommen jetzt, wir brauchen zwei Rechnerschränke, die müssen die und die Leitungen haben und wir müssen direkt an eure, an eure Edge-Gatebase.

02:01:14: Da kann der lokale ISP also sehr schlecht abstreiten, dass er weiß, dass diese Technologie eingebaut wird.

02:01:19: Das geschieht nicht heimlich, sondern da müssen die jeweiligen staatlichen Telekommunikationskonzerne aber auch privaten ISPs mitspielen und dazu werden sie dann in der Regel von der jeweiligen Exekutive vergattert oder der Judikative.

02:01:33: Es gibt dann auch die Kommand und Kontroll Infrastruktur also das nationale Zentrum, wo das ganze kontrolliert wird, da gibt es dann schöne Dashboards und da kann man dann auch sicherlich nochmal Filter Feintuning betreiben oder an manchen Stellen die Filter ein bisschen ausweiten und auch mal auswerten.

02:01:51: Was ist denn da so passiert, kriegt dann auch bestimmt hübsche Zahlen für irgendwelche Parteiberichte oder sowas und selbst den Betrieb macht G Edge als Managed Service, das heißt auch die.

02:02:01: Die Techniker der jeweiligen Regierung in dem Exportland müssen sich nicht darum kümmern das ganze zu betreiben, zu updaten, defekte Hardware auszutauschen und die die Verbindung zu den Netzen der ISPs zu managen, sondern das passiert alles remote durch Techniker aus China als Managed Service.

02:02:18: Also wie ein moderner Managed Security Provider oder Managed Security Service Provider auch bei uns agieren würde, wenn er seine Security Appliances an einen Firmenkunden verkauft.

02:02:31: Da gab's in den Report auch eine Stelle, die ich nicht, also Interesse oder nicht, nicht Interesse, also halt bezeichnend fand sozusagen, mit was für einem Qualitätsprodukt das eigentlich ist oder so, na?

02:02:45: Diese GH-Systeme haben scheinbar die Möglichkeit, dass ein GH-Mitarbeiter in China bei sich einen Wlan aufspannend, dessen Traffic dann in dessen jeweilige Ziel also in die kundenland geleitet wird und dort dann durch die feierwohl geht damit er sozusagen wenn der regel für den kunden anliegt oder so auch live gucken kann.

02:03:08: funktioniert der filter jetzt wie beabsichtigt?

02:03:10: also der hat dann sozusagen bei sich ein kleines wehladen das ein eine exklave dieses gefilterten internets in dem kundenland ist und kann gucken.

02:03:19: passt es oder passt es nicht?

02:03:21: also muss ich schon sagen technisch saubere sache

02:03:25: spart auch deutlich reise kosten.

02:03:27: vielleicht stammt das feature aus der coronazeit als das mit dem reisen sowieso schwierig war.

02:03:32: was auch ein punkt ist ist das diese gh Mitarbeiter nicht nur auf das dieses Netzwerk in den jeweiligen Landzugriff haben, sondern auch auf die Nutzerdaten, die gesammelt werden.

02:03:44: Das ist natürlich so, wenn man sich im Raum der DSGVO bewegt, eher so ein bisschen problematisch, aber vermutlich für diese, für die Nutzer in den Ländern, in denen diese Technologie deploy wird, eher das geringere Problem.

02:03:56: Aber tatsächlich haben die Mitarbeiter von GS standen wohl auch sehr weiterechen Zugriff und damit Auch die chinesische Regierung.

02:04:02: das heißt wer so den g-edge tsk kauft also diese filter technologie kauft.

02:04:08: Um seine eigene bevölkerung zu zensieren der verkauft im grunde deren daten nach china oder verschenkt nach china glaube ich kann man auch so sagen der ist denn das macht.

02:04:19: also ich wollte sagen er wird vermutlich auch mühe haben da.

02:04:23: Im großen stil irgendwie.

02:04:26: mit Filtern gegen China zu agieren oder so.

02:04:29: Zumindest ist das grundsätzliche Risiko halt da.

02:04:32: Man hat dann selber eine nationale Firewall, aber China hat die halt auch.

02:04:37: Also das ist generell natürlich aber auch bei allen dieser Plains Produkte das Risiko.

02:04:49: Wir sind schon deutlich über zwei Stunden.

02:04:51: Entschuldigung, ich höre auch, ich hätte schon so viel.

02:04:54: Es ist gerade heute wieder ein schöner Bug rausgekommen bei Forty-Web der Web Application Firewall von Forty.

02:05:02: Der ist in seiner technischen Ausprägung aus dem Jahr aber.

02:05:07: Wer sind denn jetzt eigentlich diese Länder?

02:05:08: Ich habe ja hier so dreimal rumgeschwurbelt, aber es gibt im Wesentlichen drei Länder.

02:05:13: Das erste ist Kazakhstan, das zweite ist Äthiopien.

02:05:16: Das dritte, Entschuldigung, vier, das dritte ist Pakistan und das vierte ist Myanmar.

02:05:21: Die unterscheiden sich in der technologischen oder technischen Ausprägung in Nuancen.

02:05:26: In Kazakhstan ist es so, die kooperieren seit zwei Tausend neunzehn mit GH und seit zwei Tausend zwanzig gibt es deren Zensurinfrastruktur in dem Land.

02:05:36: Sie waren der erste externe Kunde von GH, der außerhalb von China ist.

02:05:39: Deswegen ist das schon ein bisschen spannend, was auch spannend ist.

02:05:43: Eigentlich hätte man angenommen, dass wegen der Nähe zu Russland, also der ideologischen Nähe, aber natürlich auch der gemeinsamen Grenze, Kasachstan sich eher auf das russische Produkt namens SORM zur Zensur und Internet-Sperren in Russland, kommen wir bestimmt auch nochmal irgendwann, dass sie das einsetzen würde, aber tatsächlich haben sie sich dann doch für die chinesische Lösung entschieden.

02:06:03: Und was auch interessant ist, ist, dass die Dokumentation Stadt auf kasachisch also in die landessprache durch die gh mitarbeiter ins russisch übersetzt wurde das natürlich in kasachstan auch gesprochen wird.

02:06:15: das könnte dafür darauf hindeuten dass man sich verspricht auch in weiteren staaten der gus in den markt zu kommen also beispielsweise in belarus oder eben in russland selber wo es seit zwei tausend fünfzehn eine kooperation gibt.

02:06:29: da komme ich gleich nochmal ganz kurz drauf.

02:06:31: also das ist der erste kunde gewesen kasachstan.

02:06:33: der zweite ist etiopien.

02:06:36: Den war wichtig soziale Unruhen zu unterdrücken vor allem der Bürgerkrieg in der Tigray Tigray Region.

02:06:46: Und die diese vielen Bevölkerungsgruppen in Äthiopien die sich ja teilweise sehr stark bekriegen da dann teilweise vom Internet zu trennen aber eben auch durch die passenden Zensur und Filtermaßnahmen Informationen zu unterdrücken die zu weiteren sozialen Unruhen in Äthiopien führen können.

02:07:02: Dann gibt es Pakistan.

02:07:04: von über Pakistan weiß man wieder.

02:07:06: Ein bisschen mehr die haben censur internet censur seit zweitausend mindestens zwei tausend dreizehn.

02:07:14: Und damals war das jetzt nicht die fiese koronistische technologie sondern da wurde gute westliche technologie verwendet.

02:07:21: da gab es dann eine firma namens netzweeper aus kanada die da ordentlich dran.

02:07:26: mitverdient haben an dieser sensor technologie.

02:07:29: wir wollen das fällt nicht nur den chinesen überlassen sondern wir möchten gerne investen auch an sensor mitverdienen.

02:07:35: das gebietet der kapitalismus.

02:07:37: ach moment da fällt mir auch gerade noch eine andere kleine anekdote ein.

02:07:40: ich weiß wir sind wir sind wir haben wir essen zeitig aber das muss ich erzählen.

02:07:45: das weil ich das einfach das finde ich so dass das zeigt so diese diese.

02:07:51: Die mangelnde moral der westlicher konzerne.

02:07:55: Das Dizenzmanagement, dass diese G-Edge-Produkte auch haben, da musst du halt eine gültige Dizenz vorweisen können.

02:08:02: Und das wird technisch geregelt über ein DRM-System oder ein Dizenzmanagement-System.

02:08:08: Das kommt von einer Firma namens Sentinel-HASP.

02:08:11: Und Sentinel gehört zur französischen Thales-Gruppe.

02:08:14: Ist also jetzt nicht irgendeine chinesische Putze, sondern gehört zu einem französischen Konzern.

02:08:20: Und die sind von IntersecLab, die diesen Report, den wir euch auch in die Shownauts gepackt haben, über die GFW und ihren Export geschrieben haben, meine Hauptquelle für diesen Abschnitt des Podcasts konfrontiert worden und haben Folgendes geantwortet.

02:08:33: Wir können bestätigen, dass GH Networks ein Kunde unseres Unternehmens ist.

02:08:37: Zumindest das schon mal.

02:08:39: Das Talesprodukt Sentinel ist ein Software-Lizenzierungssystem, das entwickelt wurde, um die Monetarisierung von Software über verschiedene Geschäftsmodelle zu ermöglichen.

02:08:47: Ja, no shit, Captain Obvious.

02:08:49: Das hätte ich nicht gedacht, dass ein Desensierungssystem das macht.

02:08:52: Die GH-Networks-Software ist jedoch nicht auf Sentinel angewiesen, um zu funktionieren.

02:08:59: Auch hier keine Überraschung, stating wie ob wir es.

02:09:01: Somit trägt Sentinel nicht zur Leistung und zum Funktionieren von GH-Networks-Software bei und hat nichts mit der Überwachungsfunktion des Produkts von GH-Networks zu tun.

02:09:12: Technically correct, die beste Art von correct.

02:09:15: Es ist natürlich eine absolute Binse und total in die Tasche gelogen.

02:09:19: Man weiß also durch diese Technikalität, dass man ja nicht den Netzwerksdeck geliefert hat, sondern nur das Lizenzmanagement System, sämtliche Verantwortung von sich.

02:09:27: Und das ist, finde ich, wirklich arm.

02:09:30: Ja, ich würde Ihnen nicht mal dieses Technikally Correct zugestehen, weil, also wenn ich den Lizenzierungsmechanismus stelle, dann trage ich natürlich zu funktionieren dieses Produkt bei, sonst würde sich das ja nicht finanzieren.

02:09:44: Deswegen schreiben sie auch Software und nicht Produkt.

02:09:46: Das ist natürlich mein nächster Punkt.

02:09:48: Sie tragen nicht zum Funktionieren der Software bei, weil die auch ohne funktionieren würde, aber das Produkt als Exportartikel.

02:09:54: Das funktioniert nur, wenn du in der Lage bist, Raufkopien zu verhindern.

02:09:58: und genau das enabled Tali Software hier.

02:10:01: Und als Wehres der... Ich will schon fast sagen, erbärmlichen Moralfreiheit, nicht schon genug, schreiben Sie dann auch noch Ihren Boiler Update-Nachsatz.

02:10:14: Die Thalesgruppe folgt strengen Richtlinien, um das Risiko schwerwiegender Verletzungen der Menschenrechte und Grundfreiheiten zu verhindern, die durch den Missbrauch ihrer Produkte und Dienstleistungen entstehen werden.

02:10:24: Dann sollte man da den Worten aber auch für Leichtaten folgen lassen und diese Geschäftsbeziehung hinterfragen.

02:10:31: Ist jetzt ja auch nicht so, dass Sie nicht in China auch irgendwie Systems Management sind.

02:10:34: Software hätten.

02:10:35: also machen wir uns nix vor.

02:10:37: aber das finde ich schon nenn exkurs wo wir auch sagen müssen deswegen halten wir uns hier ja auch mit ethischen betrachtung zu der gfb und zu gh so ein bisschen zurück.

02:10:46: im westen ist es halt nix besser.

02:10:48: und wenn man damit geld verdienen kann dann macht man das auch.

02:10:50: und selbst wenn man sensor technologie dann in aller welt unterstützt denn.

02:10:56: Das ist in pakistan passiert.

02:10:57: die haben zwei tausend achtzehnte neuausschreibung gemacht hat wieder ein kanadier gewonnen die firma sandwein.

02:11:03: Und es hat dann das ganze Thema übernommen.

02:11:08: Und in Pakistan ist es so, dass es nicht so regionale Datacenter gibt oder viele verteilte Locationen, sondern es gibt drei Locations, von denen eine an der Ankunft der Unterseekabel in Karachi ist oder Landkabel, weiß ich jetzt gerade nicht genau, eine, die einfach das Hauptdatacenter ist, wo die Filtertechnologie und die Zensurtechnologie deployet ist und ein Backup RZ.

02:11:31: Und damit ist das also extrem zentralisiert in Pakistan.

02:11:35: Und was auch ganz witzig ist, ist, die haben wohl die alte Hardware einfach weiterverwendet, die da rumstand von Zentralen noch, weiß ich nicht, ob die gekauft war oder ob der Leasing-Vertrag dann ausgelaufen ist und die das rausgekauft haben, aber die haben wohl einfach die alte Hardware verwendet.

02:11:47: Und das gab dann so ein bisschen Performance-Problem.

02:11:49: Das ist auch ein bisschen drollig.

02:11:52: Hätten Sie eine Huawei, hat wir genommen oder so?

02:11:55: Ja, ich misse ja nicht so, dass man den China nicht auch genug Computer baut.

02:11:59: Die hätten ja auch ein paar noch mit irgendwie rüber schiffen können.

02:12:01: Aber gut, der letzte bekannte Kunde ist Myanmar.

02:12:07: Da gibt's so ab Ende drei und zwanzig Anfang vierundzwanzig diese Zusammenarbeit mit G edge.

02:12:11: und da ist es so.

02:12:12: du hattest gerade gesagt in China hat man nicht unbedingt Konsequenzen zu.

02:12:17: Befürchten wenn man mal so ein bisschen rumprobiert das wird nicht sofort harsch sanktioniert.

02:12:23: das scheint an bestimmten Punkten und für bestimmte Technologien in Myanmar anders zu sein.

02:12:28: Da kann es wohl passieren dass man wirklich von der Militär runter verhaftet wird oder bei einer Personenkontrolle das Handy rausholen muss und dann geschaut wird.

02:12:35: ob VPN Clients installiert sind und das kann dann dazu führen, dass man dafür wirklich eingebuchtet wird.

02:12:40: Zumindest stand das so in dem Report und da ist also einer der Schwerpunkte tatsächlich die Verhinderung.

02:12:45: von VPN-Nutzung.

02:12:47: Myanmar hat sich jetzt auch in der letzten Zeit einen Namen dadurch gemacht, dass sie ja diese großen Scamp-Compounds haben.

02:12:52: Also an der Grenze zu Thailand sind große, eingezäunte Komplexe, die aussehen wie Festungen mit Stacheldraht drum herum und bewaffneten Wachen, wo Leute alle möglichen Betrugsmaschen machen.

02:13:03: Telefonbetrug, Krypto-Betrug, alle solche Geschichten.

02:13:06: Das waren teilweise fast Klafte.

02:13:09: Teil auch Chinesen, aber teilweise eben auch Freiwillige, die sich da zum Geldverdienen hinbegeben haben.

02:13:13: Und die Militärunter hat jetzt ein paar von den Dingern in die Luft gejagt und das hat dazu geführt, dass Leute nach Thailand rüber geflüchtet sind, aber teilweise wohl auch jetzt einfach in anderen von diesen Scam-Centern, die wohl vom organisierten Verbrechen teilweise mit Billigung korrupter Militäroffiziere betrieben wurden, arbeiten.

02:13:34: Ich hoffe, ich habe diese vier Nebensätze jetzt richtig zugemacht.

02:13:43: Ja, ich bin nicht ganz sicher, ich werde es mir gleich nochmal hören.

02:13:46: Myanmar hat insgesamt wohl dreißig Rechenzentren, in denen diese Technologie deployt ist, in sechs Städten quer über Myanmar.

02:13:54: Und ist, wie gesagt, der letzte bekannte Kunde in der Liste.

02:13:58: Und dann gibt es noch den mysteriösen Kunden A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A-A.

02:14:07: begonnen wurde, diese Kooperation.

02:14:10: Man weiß aber nicht so genau, wer das ist.

02:14:12: Das ist noch im Unklaren, ob das überhaupt ein Kunde ist, aber der fand sich wohl in diesem League, aber es gibt keine weiteren Details darüber.

02:14:21: Ein paar Details, aber auch nur sehr sparsame gibt es über die Zusammenarbeit mit Russland, also da der Roskommunizor, der eigentlich weiß für die indendische Internetsensor oder die Regulierung des Internets zuständig ist.

02:14:35: Es gab zweitausendfünfzehnten Ende des Jahres ein Treffen zwischen Russland und China, wo es auch um Internet Sicherheit ging oder vorrangig um Internet Sicherheit ging.

02:14:43: Einer der Teilnehmer ist uns bekannt, über den haben wir gerade schon gesprochen, der heißt nämlich Fang Bin Xing, also der Vater der GFW und ich vermute, der ist nicht zum Zeitziehen nach Moskau gefahren, sondern hatte da auch ein bisschen was zu erzählen.

02:14:57: und dass sich Russland da am großen Bruder China ein Stück weit orientiert, scheint schon... plausibel zu sein, aber ob sie jetzt diese Technologie eingekauft haben, übernehmen oder ob sie einfach nur sich ein bisschen inspirieren lassen und so eine Art Consulting-Beziehung da existiert, ist unklar.

02:15:15: Klar ist aber, dass ebenso wie China, dass Russland sehr stark darauf aus ist, unabhängig vom westlichen Internetkonzern zu werden, vom westlichen Internet überhaupt zu werden und in die Lage kommen möchte, dass russische Internet als Ru-Net notfalls auch komplett.

02:15:32: vom global gerouteten Internet abzukoppeln.

02:15:35: Dafür braucht man natürlich das komplette Ökosystem aller Dienste von Messaging über E-Mail bis zu CDNs und Load Balancing.

02:15:43: Und das hat nicht nur die üblichen ideologischen Gründe, Konfrontation mit dem besten und großen, sondern natürlich auch wirtschaftliche, die bei uns auch existieren.

02:15:51: Bei uns heißt das Ganze dann digitale Souveränität.

02:15:53: Das ist ja eine etwas andere... Spielart des Ganzen.

02:15:59: aber auch die EU ist ja bemüht und sicherlich auch beraten sich ein bisschen unabhängig von US-Techkonzernen zu machen.

02:16:08: Aber das ist eine andere Geschichte und soll von wem anderswo anders erzählt werden.

02:16:12: Das sind die bekannten Exportbeziehungen zwischen GH-Networks für die GFW und anderen Staaten.

02:16:20: Da werden sicherlich noch einige dazukommen, denn ich glaube, man muss sagen, dass das Vermutlich ein technologisch sehr fortgeschrittenes Produkt ist das für Staaten natürlich inslusive mit dieser Service Leistung, dass es komplett dir dahingestellt und aufgebaut wird und auch betrieben wird.

02:16:37: Sehr attraktives Gesamtpaket ist, wenn man es sich leisten kann und will und die notwendigen Scheine in der Tasche hat, denn das macht sie jetzt nicht kostenlos.

02:16:49: Ja, ist jetzt insgesamt schon sehr deprimierend eigentlich.

02:16:57: Ich wundere mich eigentlich gerade so ein bisschen.

02:16:59: Das Internet als globaler Raum war ja eigentlich weird, dass es so lange existiert hat.

02:17:07: Insofern nicht verwunderlich, dass die Staaten jetzt versuchen, ihre sozusagen lokale Hoheit da zu erlangen.

02:17:14: Aber ich meine, das ist China, das macht die schon lange Bekannte.

02:17:18: Das Russland da am Bezonenhalt ist auch schon lange bekannt, aber wenn man das jetzt, also wenn in China halt anfängt, Produkt zu verticken.

02:17:28: Dann werden halt sehr viele andere Staaten das auch machen, die vorher das Know-how nicht gehabt hätten.

02:17:36: Und also hoffen wir mal, dass uns überhaupt zu was wie ein globales Internet erhalten bleibt und wir nicht irgendwie in zehn oder zwanzig Jahren halt auf so einen Flickenteppich gucken, wo nur die Fireball Außengrenzen sozusagen aufeinanderstoßen und die halt ihre jeweiligen national approveden Filterregeln anwenden.

02:17:59: Ja, vielleicht gibt es dann auch einen Internetvisum und wenn ich mir Sachen aus Russland angucken will, muss ich erst ein Internetvisum beantragen.

02:18:06: Ja, ich meine,

02:18:08: im Prinzip ist ja genau das, was GH-technisch schon kann, wenn so ein GH-Mitarbeiter in China die Filterregeln von... Von Krasachstan oder so angewendet kriegt auf seinen WLAN, um da mal zu testen.

02:18:21: Das technisch werde ich sehr sicher machbar, dass wenn du dann halt in so einem Land bist, dein Handy irgendwie sozusagen die Filterregeln deines Landes so mit sich herumträgt und auf den Traffic angewendet kriegt und so, das sind totale Horrorvorstellungen.

02:18:37: Aber das ist es leider nichts, wo ich das Bauchgefühl hätte, das lässt sich technisch nicht realisieren.

02:18:47: werden es sehen.

02:18:48: Im Moment fühlte sich aber tatsächlich so an, dass diese Fragmentierung und auch die immer wieder aufflammende Diskussion um solche Sachen wie Schwächung von Verschlüsselungsalgorithmen, damit die Regierung nur natürlich wegen der Kinder und der Schwerverbrecher in Schätz reingucken kann, dass das viel von dem in wenigen Jahren zurückrollt, für das nicht nur die Internet... Bewegung, sondern auch die ganzen Bürgerrechtsbewegungen jahrzehntelang gekämpft haben.

02:19:19: Und das ist diese Fragmentierung auf die eine oder andere Art, dass die schon stärker werden wird.

02:19:23: Das Problem ist, wir haben hier in der EU momentan aus meiner Sicht noch einen erheblichen Rückstand selbst gegenüber Russland und der chinesischen Internetinfrastruktur, was die Dienste angeht.

02:19:39: Wir haben keinen europäischen messenger dienst zum beispiel.

02:19:42: china hat einen wir haben kein eigenes soziales netzwerk.

02:19:46: china hat eins russland hat eins und das wird uns irgendwann ein bisschen in die hinterm weiß.

02:19:52: und da kann man tatsächlich wenn man da nach china oder russland kann man schon ein paar sachen lernen.

02:19:57: aber was wir eben nicht können ist unsere bürger dazu zwingen den europäischen messenger zu nutzen.

02:20:03: das ist auch gut so

02:20:05: Ja, und ich also so, das würde ich gar nicht so, ich meine, wir haben Matrix, apropos Messenger, wir haben Mastodon.

02:20:12: Das sind natürlich beides federierte Systeme, was halt ideologisch eben auch sehr gut.

02:20:16: zu diesem, ich kann niemanden zu nix zwingen, passt, ne?

02:20:21: Und die aber durchaus das Potenzial hätten sozusagen, ne?

02:20:25: Also wenn du halt irgendwie plötzlich WhatsApp, Telegram und signal dich mehr hin, damit kannst, dann wirst du mit Matrix schon zurande kommen, ne?

02:20:34: Also, vielleicht ich versuch gerade sozusagen einen positiven Spin hier reinzukriegen.

02:20:41: Ich glaube, wir sind jetzt nicht politisch vielleicht, aber gesellschaftlich in Europa gar nicht so schlecht unterwegs.

02:20:49: Wir haben coole Produkte, die oft zumindest in, also insbesondere in diesen ideologischen Sachen besser sind als die Konkurrenz.

02:20:59: Und jetzt kann man halt noch hoffen, also wie gesagt, DNS lässt sich ja verschlüsseln.

02:21:06: Encrypted Client Hello ist technisch da, ich weiß nicht ob es der Standort durch ist oder nicht, aber es wurscht, es muss sich halt gescheit verbreiten.

02:21:15: Und man kann schon hoffen, dass diese Sachen schon noch zulegen, so wie halt auch HTTPS praktisch Ubi Kriteria geworden ist.

02:21:23: Und je mehr sich das Wort verbreitet, umso teurer und lästiger ist es halt so eine Firewall Infrastruktur zu betreiben und nachzuziehen.

02:21:31: Und umso schmerzhafter ist es, weil alles Mögliche an Beifang irgendwie mit rausgehauen wird, wenn man nichts durchlassen will.

02:21:38: Und umso schwieriger ist es halt gegenüber der eigenen Bevölkerung, das irgendwie durchzusetzen.

02:21:44: Insofern, ich glaube, man muss einfach versuchen, es weiter und mehr so aufwendig und teuer wie möglich zu machen, diesen Flickenteppich irgendwie aufrechtzuerhalten und dann halt hoffen, dass in ausreichend vielen Staaten der unmute Bevölkerung ausreichend groß ist, dass die sagen, das können wir nicht machen.

02:22:06: Gut, Prinzip Hoffnung.

02:22:08: Genau.

02:22:08: Damit weiß ich jetzt ordentlich mehr, was wir da jetzt aus sagen sollen.

02:22:13: Wenn

02:22:13: ihr auch Hoffnung habt, dann.

02:22:19: Die stirbt ja bekanntlich zuletzt.

02:22:22: Damit kommen wir zum Ende für heute.

02:22:25: Schickt uns gerne euer Feedback an passwortminuspodcastatheise.de und schreibt uns auch mal was euch im Internet und am Internet im Moment Hoffnungsvoll stimmt.

02:22:35: Vielleicht ist das Mastodon, vielleicht ist das aber auch was ganz anderes ein cooles Projekt, das für Kommunikationsfreiheit sorgt.

02:22:41: Bis zum nächsten Mal und denkt dran.

02:22:44: Dieser Podcast ist das einzige Passwort, das ihr teilen solltet.

02:22:47: Ciao, ciao.

02:22:49: Tschüss.