Die Pflichtlektüre für Freunde quelloffener Software
 |
|
|
|
|
|
Hello aus Hannover! 👋
Es ist wieder Freitag und ihr habt vermutlich sehnsüchtig auf eine neue Ausgabe eures Open Source Spotlights gewartet. Wegen Störungen im Betriebsablauf hat es diesmal etwas länger gedauert. 🫣 Sorry dafür und danke für eure Geduld. Diese Woche habe ich für euch eine Software im Gepäck, die für euch selbst vielleicht gar nicht so nützlich ist, aber Menschen in anderen Regionen helfen kann. 🌍 Spotlight darauf, wie Open Source Grenzen überwindet. 🔦 | | | |
|
|
|
Heute im Spotlight
|
| ● | Internetzensur umgehen: Psiphon und Conduit |
| ● | Interview mit Keith McManamen von Psiphon | | | | | | |
|
|
|
|
|
Internetzensur umgehen: Psiphon und Conduit | | | |
| Hierzulande können wir uns eines grundsätzlich uneingeschränkten Zugangs zum Internet erfreuen, von etwas Geplänkel im DNS abgesehen. In diversen Ländern sieht das aber anders aus; bekanntes Beispiel ist die Great Firewall of China. Anfang des Jahres war der Iran in den Medien, nicht nur wegen der Proteste im Land, sondern auch wegen der lang anhaltenden und kompletten Internetsperre. Ich selbst konnte gut zwei Wochen meine Verwandten nicht erreichen, weder per Messenger noch via Festnetz. | | | |
|
|
| In der Analyse von Cloudfare, OONI oder hier bei NetBlocks sieht man die iranische Internetsperre sehr deutlich. (Bild: NetBlocks / Mastodon) | | | |
Freunde und Bekannte fragten mich da, wie sie helfen können, etwa mit Snowflake, was Tor-Bridges1 vermittelt. Wenn das Internet komplett abgeklemmt ist, dann können wir von außen wenig machen. Im Iran nutzten manche verbotenerweise das satellitengestützte Starlink, was nicht nur extrem teuer ist (2.000 US-Dollar für ein Terminal), sondern auch äußerst gefährlich. Es gibt auch Berichte, dass Delta Chat zumindest für die Kommunikation innerhalb des Landes genutzt wurde. Delta Chat hatten wir ja vor einiger Zeit im Spotlight vorgestellt, ein sicherer Messenger, welcher auf der E-Mail-Infrastruktur aufbaut.
Jetzt sind die Internetsperren zwar gelockert, aber im Iran bedeutet das weiterhin kein freies Internet. Also helfen sich die Leute wieder aus mit den „Filter-Shekan“, Filter-brechern. Eine Software, die vielfach zum Einsatz kommt, ist Psiphon. Ich würde es salopp umschreiben als VPN-Software, die auf die Umgehung von Internetzensur spezialisiert ist. Die Nutzerinnen und Nutzer verbinden sich mit dem Psiphon-Netz, werden zu Knotenpunkten außerhalb der beschränkten Region weitergeleitet und haben von dort Zugriff auf das freie Internet. | | | |
|
|
| Screenshots der Psiphon Android-App. (Bild: Keywan Tonekaboni / heise medien) | | | |
Freunde und Bekannte fragten mich da, wie sie helfen können, etwa mit Snowflake, was Tor-Bridges1 vermittelt. Wenn das Internet komplett abgeklemmt ist, dann können wir von außen wenig machen. Im Iran nutzten manche verbotenerweise das satellitengestützte Starlink, was nicht nur extrem teuer ist (2.000 US-Dollar für ein Terminal), sondern auch äußerst gefährlich. Es gibt auch Berichte, dass Delta Chat zumindest für die Kommunikation innerhalb des Landes2 genutzt wurde. Delta Chat hatten wir ja vor einiger Zeit im Spotlight vorgestellt, ein sicherer Messenger, welcher auf der E-Mail-Infrastruktur aufbaut.
Jetzt sind die Internetsperren zwar gelockert, aber im Iran bedeutet das weiterhin kein freies Internet. Also helfen sich die Leute wieder aus, mit den „Filter-Shekan“, Filter-Brecher. Eine Software, die vielfach zum Einsatz kommt, ist Psiphon. Ich würde es salopp umschreiben als VPN-Software, die auf die Umgehung von Internetzensur spezialisiert ist. Die Nutzerinnen und Nutzer verbinden sich mit dem Psiphon-Netz, werden zu Knotenpunkten außerhalb der beschränkten Region weitergeleitet und haben von dort Zugriff auf das freie Internet. | | | |
|
| |
| |
|
| |
|
|
|
| Im Iran sind viele uns bekannte VPN blockiert und natürlich versucht der Staat dort auch den Zugang zum Tor-Netzwerk und Psiphon zu blockieren. Ähnlich wie Snowflake für Tor, kommt bei Psiphon nun Conduit zum Einsatz. Diese Software können User in freien Ländern auf ihren Geräten laufen lassen. Diese dienen dann als Vermittlungsstelle zwischen Psiphon-Usern und dem Psiphon-Netzwerk. Die Idee dahinter: Der IP-Bereich der Zugangspunkte ins Psiphon-Netzwerk (oder Tor) lässt sich relativ einfach blockieren, aber nicht unzählige individuelle IP-Adressen von Millionen Privatanwendern. Die Daten laufen verschlüsselt durch das Conduit-Relay. Weder ihr könnt hineinschauen, welche Seiten die Psiphon-Nutzer aufrufen, noch gehen letztere von eurem Gerät oder Anschluss direkt ins Internet. | | | |
|
|
| Die Conduit-App ist sehr simpler aufgebaut und läuft im Hintergrund. (Bild: Keywan Tonekaboni / heise medien) | | | |
Spotlight-Steckbrief
|
| ● | Entwickler:innen: Psiphon Inc. |
| ● | Plattform: Android, macOS, Windows, Linux | |
Die Conduit-App gibt es für Android, macOS und Windows, sowie für Linux als Kommandozeilen-Client3. Ich habe die Android-App und den CLI-Client ausprobiert. Außerdem gibt es auch eine Docker-Compose-Datei, falls ihr es auf eurem (Home-)Server laufen lassen wollt. Ich bin mir aber unschlüssig, ob es sinnvoll ist, dafür eine Kiste bei Hetzner & Co. zu nutzen. Ein Kontakt im Iran sagte mir, der von Hetzner genutzte IP-Bereich sei blockiert. Überprüfen kann ich das nicht, aber vielleicht habt ihr ja im Homelab noch ein paar Rechenzyklen und etwas Bandbreite frei. Wie viel ihr von eurer Internetverbindung dem Conduit-Tunnel respektive dem Psiphon-Netz bereitstellen wollt, könnt ihr übrigens einstellen. Sowohl die Anzahl maximaler Verbindungen als auch die Bandbreite pro Peer. | | | |
Interview mit Keith McManamen von Psiphon | | | |
Zu den Hintergründen über Psiphon und Conduit habe ich mit Keith McManamen, Director Data & Insights, bei Psiphon gesprochen.
c’t: Kannst du etwas zum Hintergrund von Psiphon erzählen und wie seid ihr dazu gekommen, Software zu entwickeln?
Keith McManamen: Psiphon startete 2006 am Citizen Lab der Universität Toronto, das sich mit der interdisziplinären Forschung an der Schnittstelle von Technologie und Menschenrechten befasst – einschließlich digitaler Sicherheit, Internetzensur, Datenschutz und Überwachung. Die Gründer, darunter Mike Hull, sahen Online-Zensur als wachsendes Problem, für das es nur wenige einfach zu nutzende Umgehungsmöglichkeiten gab. Psiphon 1.0 etablierte ein vertrauensbasiertes P2P-Netzwerk, das es Menschen in unzensierten Ländern ermöglichte, auf ihrem Heimcomputer einen Proxy zu betreiben für Freunde und Familie in zensierten Netzwerken. Dabei standen Benutzerfreundlichkeit, Vertrauensbeziehungen und minimale Risiken für die Endnutzer im Vordergrund. 2008 entstand Psiphon 2 als Nachfolger – ein verwaltetes Netzwerk von Web-Proxys, das sich als skalierbarer erwies als der vorherige Peer-to-Peer-Ansatz. Anschließend wurde ab 2011/2012 Psiphon 3 für Windows und Android entwickelt, gefolgt von P3 für iOS im Jahr 2017. Heute unterstützt das Psiphon-Netzwerk über 30 Millionen einzelne Nutzer weltweit.
c’t: Welches Problem löst Conduit?
McManamen: Conduit ist eine Sammlung von P2P-WebRTC-Protokollen, die als 2-Hop-Proxy in das Psiphon-Netzwerk funktionieren. Psiphon-Clients, die nach einer Verbindung suchen, können sich mit einer verfügbaren Conduit-Station verbinden, die den Datenverkehr an unser Netzwerk und letztendlich an einen Psiphon-Server weiterleitet. Conduit fügt unserem Netzwerk eine äußerst entscheidende Schicht an Zensurresistenz hinzu, wenn starke Filterung stattfindet. Freiwillige können ihre IPs beisteuern, um Nutzern zu helfen, sich über alternative Wege mit Psiphon zu verbinden.
Aus der Perspektive eines Zensurumgehungs-Tools ist eine der häufigsten Methoden, mit denen Zensoren versuchen, Psiphon-Verkehr zu stören, das systematische Auflisten von Servern und das gleichzeitige Sperren dieser IP-Adressen. Bei sehr aggressiver Zensur kann ein Gegner versuchen, ganze Hosting-Anbieter oder sogar ganze CDNs zu blockieren. Obwohl das nicht besonders ausgeklügelt ist, können solche Angriffe Nutzer vorübergehend frustrieren, da sie möglicherweise viele Server durchprobieren müssen, bis einer funktioniert. Die Wirkung von Conduit in Bezug auf die vergrößerte Netzwerkoberfläche: Zehntausende Server multipliziert mit über einer halben Million gleichzeitig aktiver Conduit-Stationen – alles, um sicherzustellen, dass unser Netzwerk auch in Momenten extremer Sperrungen für Nutzer in Not verfügbar bleibt. | | | |
|
|
|
|
c’t: Was war eure Motivation, Conduit zu starten?
McManamen: Die ursprüngliche Idee für Conduit entstand während der großen Internet-Abschaltung im Iran im November 2019, die ein Meilenstein in der Entwicklung des National Information Network (NIN) war (Anm. der Red.: NIN ist das nationale iranische „Internet“ bzw. Intranet). Der Iran führte eine einwöchige, absichtliche Trennung seiner großen Netzwerke vom internationalen Datenverkehr durch. Trotz des angeblich „totalen" Blackouts sahen wir, dass verbundene Psiphon-Nutzer im Iran während der Abschaltung immer noch durchschnittlich 25.000 einzelne Nutzer pro Tag erreichten, da sekundäre Gateways mit internationalem Transit und ausgewählten Ports verfügbar blieben und verschiedene Unternehmens- und Rechenzentrumsnetzwerke weiterhin Konnektivität hatten. Wir bemerkten, dass einige Iraner Knotenpunkte in Rechenzentren einrichteten, die es ihnen ermöglichten, von ihren mobilen Geräten zum Rechenzentrumsnetzwerk als Relay zu proxyen und so über dieses Setup vom Mobilgerät aus auf das internationale Internet zuzugreifen. Das führte uns dazu, eine Technologie zu entwickeln, die die natürlichen Designeigenschaften des NIN nutzen konnte (dichte Vernetzung, geringe interne Zensur) und die erhebliche Psiphon-Nutzerbasis, die wir im Iran hatten, mobilisieren konnte, um ein Netzwerk aufzubauen, das auch bei gemischter Konnektivität oder Teil-Abschaltungen eine gewisse Widerstandsfähigkeit bewahren kann.
c’t: Wie kann sich ein Psiphon-Client in einer zensierten Region verbinden und eine Peer-to-Peer-Verbindung anfordern?
McManamen: Verschiedene Conduit-Broker sind an strategischen Standorten weltweit verfügbar. Sie laufen auf hochresilienter Infrastruktur und sind über hochresiliente Protokolle erreichbar. Aktive Conduit-Stationen kommunizieren kontinuierlich mit den Brokern, sodass der Broker bei jeder Anfrage eines Psiphon-Clients nach einer Conduit-Verbindung diese mit der besten verfügbaren Übereinstimmung abgleicht und die P2P-Verbindung aushandelt.
c’t: Was macht Conduit und Psiphon anders als etwa Tor, Tor-Bridges und Snowflake?
McManamen: Tatsächlich teilen Snowflake und Conduit eine ähnliche Architektur: Freiwillige betreiben kleine Proxys, die Nutzern in zensierten Ländern helfen, sich mit dem offenen Internet zu verbinden. Wir haben das Design von Snowflake natürlich studiert und uns davon inspirieren lassen. Wir sehen Snowflake als einen Tor-spezifischen Pluggable Transport, der auf Einfachheit und Integration in das Tor-Ökosystem ausgelegt ist. Conduit ist als Zensurumgehungs-Proxy mit stärkerem Fokus auf moderne Zensurtechniken und reale Netzwerkbedingungen konzipiert.
Was die technischen Unterschiede betrifft, nenne ich kurz einige: Bei Snowflake wird der Datenverkehr nach dem Aufbau der WebRTC-Peer-to-Peer-Verbindung immer über WebSockets an Tor-Bridges weitergeleitet, wodurch dieser zweite Hop eng an Tors Transportmodell gekoppelt ist. Conduit beseitigt diese Einschränkung, indem der zweite Hop jedes Psiphon-Tunnel-Protokoll oder allgemeiner jeden TCP- oder UDP-Transport verwenden kann. Das bietet volle Protokollflexibilität und ermöglicht Backend-Entwicklungen ohne Neuverteilung oder Aktualisierung der In-Proxys. Die Protokolle zwischen dem Conduit-Proxy und Psiphons Servern sind austauschbar, und theoretisch könnte sogar das Netzwerk ausgetauscht werden.
Eine der anderen großen Design-Verbesserungen betrifft NAT-Traversal. Snowflake verlässt sich ausschließlich auf WebRTC ICE (Interactive Connectivity Establishment5) für NAT-Traversal, aber das scheitert in vielen gängigen Szenarien, besonders wenn Clients hinter mobilem CGNAT und Proxys hinter restriktiven Heimroutern sind. Conduit verbessert dies, indem es aktiv Port-Mapping auf Router-Ebene durchführt (mit UPnP-IGD, NAT-PMP und PCP) als Ergänzung zu WebRTC ICE. Wenn Port-Mapping verfügbar ist, bewirbt Conduit öffentlich erreichbare Kandidaten direkt, was die Wahrscheinlichkeit erfolgreicher Verbindungen deutlich erhöht. Dieses Design ermöglicht auch zukünftige Szenarien, in denen ICE vollständig umgangen werden kann zugunsten verschleierter Nicht-WebRTC-Transporte.
Eine weitere große Verbesserung bei Conduit ist die Resistenz gegen Erkennung. Zensoren können Zensurumgehungs-Tools identifizieren, indem sie absichtlich eine kleine Anzahl von Netzwerkpaketen verwerfen und beobachten, wie die Verbindung darauf reagiert. Diese Frame-Dropping-Angriffe nutzen Unterschiede in der Reaktion von Anwendungen auf teilweisen Paketverlust aus. Snowflakes Abhängigkeit von zuverlässigen Datenkanälen führt dazu, dass Verbindungen langsamer werden oder scheitern, wenn auch nur ein kleiner Teil der Pakete verloren geht. Das erzeugt ein Verhalten, das vom normalen Medienverkehr abweicht. Conduit hilft, diesen Angriff abzuschwächen, indem es Datenverkehr über WebRTC-Medienkanäle leitet, die bei Paketverlust weiter funktionieren, sodass Verbindungen sanft degradieren, statt komplett zu scheitern. Das macht es für Zensoren erheblich schwieriger, Conduit-Verkehr durch verlustbasiertes Probing zu identifizieren. Die Verwendung von sowohl WebRTC-Medienkanälen als auch Datenkanälen ermöglicht es dem Datenverkehr, sich mehr wie ein echter Video- oder Audioanruf zu verhalten. Medienkanäle sind darauf ausgelegt, Paketverlust, Jitter und Neuordnung zu tolerieren – was die Erkennbarkeit deutlich reduziert und die Resistenz gegen DPI-basierte Erkennung verbessert.
Zusammen bedeuten diese Aktualisierungen, dass mehr Conduit-Verbindungen erfolgreich sind und diese Verbindungen widerstandsfähiger gegen Blockaden sind.
c’t: Was sind eure nächsten Schritte mit Conduit und Psiphon?
McManamen: Die Ereignisse der letzten Wochen im Iran haben die Bedeutung der Erweiterung des Conduit-Netzwerks auf globaler Ebene unterstrichen, und es war ermutigend, diese Welle der Unterstützung aus allen Ecken der Welt zu sehen. Während sich das entfaltete, sahen wir auch mehrere Entwickler, die zusammenarbeiteten, um Code zu unserem Open-Source-Projekt für Conduit beizutragen und Verbesserungen vorzunehmen, was in der Veröffentlichung der CLI/Linux-Version von Conduit gipfelte, die auf Hochkapazitäts-Servern eingesetzt werden kann. Es ist ein erstaunliches Zeugnis für die Standhaftigkeit der iranischen Tech-Community, zu sehen, wie diese Open-Source-Beiträge zum Leben erweckt werden. | | | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Immer informiert: Folge dem Thema "Open Source" auf heise online | | | |
|
|
|
|
Wir freuen uns auf dein Feedback | | | |
| Fragen, Kritik oder Lob? Schreib uns eine Nachricht oder bewerte diesen Newsletter in unserem Survey | | | |
| | |
Wir lesen uns,
dein Team vom Open Source Spotlight | | | |
|
|
|
|
|
|
Newsletter
|
c't D.digital
|
Das Briefing zur Digitalisierung in Deutschland – seien Sie Teil der Debatte!
|
| | | | | |
|
|
Newsletter
|
c't Tech-Check
|
Neue Hardware, neue Tools – was sich lohnt und was nicht.
|
| | | | | |
|
|
Newsletter
|
c't exklusiv
|
Immer auf dem Stand der Technik bleiben - kompakt und persönlich. Jeden zweiten Donnerstag.
|
| | | | | |
|
|
Newsletter
|
c't 3003 Hype
|
Was ist gerade Hype - und was steckt dahinter? Jeden Donnerstag
|
| | | | | |
|
|
|
c't immer dabei - jetzt die App herunterladen | | | |
| | |
|
|
|
| Bleib mit uns auf dem Laufenden | | | | |
|
|
|
Impressum
Heise Medien GmbH & Co. KG, Karl-Wiechert-Allee 10, 30625 Hannover
Registergericht Hannover HRA 26709, Persönlich haftende Gesellschafterin:
Heise Medien Geschäftsführung GmbH, Registergericht Hannover HRB 60405
Geschäftsführer: Ansgar Heise, Beate Gerold
Telefon: +49 (0)511 5352 - 0
E-Mail: Infoservice@heise.de
Du bist unter folgender Adresse eingetragen: open@newsletter.ct.de - 31521272.
Hier kannst du dich von künftigen Zusendungen unseres Newsletters abmelden. Solltest du eine Abmeldung in Betracht ziehen, möchten wir dich bitten, uns vorab in unserem Survey zu erläutern, warum du dich zur Abmeldung entschieden hast, damit wir unser Newsletter-Angebot weiter verbessern können.
Kontakt | Impressum | Datenschutz | | | |
|
|
| | | |
