Iran und Russland gegen Messengerdienst Telegram
Von Erich Möchel
Nach Russland hat auch der Iran den verschlüsselten Messengerdienst Telegram am Montag offiziell gesperrt. Das hatte sich bereits seit Monaten abgezeichnet, zumal Telegram mit etwa 40 Millionen Benutzern im Iran eine führende Rolle bei Kommunikationsapps innehatte. Offenbar hatte die iranische Führung nur den Start des eigenen Messengerdienstes „Soroush“ vergangene Woche abgewartet, um Telegram-Benutzer zum Wechsel zu zwingen.
Auch Europol und das FBI hatten von verschlüsselten Services ursprünglich ganz Ähnliches gefordert wie die Zensoren in Teheran von Telegram, nämlich die Hinterlegung „Goldener Schlüssel“ für Strafverfolger
Ein ähnliches Chaos, wie es seit der Sperre von Telegram vor drei Wochen in Russland herrscht, ist im Iran nicht zu erwarten. Da Telegram und auch seine russischen Nutzer auf Cloud-Services von Google oder Amazon auswichen, wurden Millionen von IP-Adressen dieser Clouds gesperrt. Die offizielle Begründung in Russland und im Iran - „Kampf gegen den Terrorismus“ - deckt sich mit den Forderungen von Europol, die in der EU allerdings bis jetzt nicht umgesetzt wurden.
Dyn Oracle
Erst verschwand der lokale Zwischenspeicher
Zensur und Manipulation sind tief in der Netzwerkarchitektur des „Sauberen Internets“ im Iran verankert. Und so sieht die Netzwerkarchitektur im Iran aus
Die Aktion gegen Telegram im Iran hat bereits am 26. April begonnen und bewirkte da schon eine schlagartige Verlangsamung des Datenverkehrs mit der Plattform. Telegram hatte erst Mitte 2017 im Iran einen lokalen Cache installiert. Das ist eine Batterie von lokalen Zwischenspeichern, auch „Content Delivery Network“ genannt, um den Datenaustausch nicht nur mit Telegram-Benutzern im Iran, sondern auch in der Türkei und Indonesien zu beschleunigen.
Am 26. April um fünf Uhr morgens verschwand dieser Knoten aus dem Netz, woraufhin die Performance von Telegram in allen drei Staaten in die Knie ging. Der reguläre, langsamere Verkehrsweg in den Iran blieb für Telegram bis Montag weiter offen. Davor und parallel dazu wurden alle iranischen Institutionen angewiesen, sämtliche Aktivitäten über Telegram umgehend einzustellen. Der Dienst war nämlich bei Regierungsstellen, Funktionären des Regimes und iranischen Politikern ähnlich beliebt wie in der breiten Öffentlichkeit. Seit Herbst hatte das iranische Regime von Telegram verlangt, sämtliche Server für iranische Benutzer auch physisch im Iran anzusiedeln.
Hurricane Electric
Iranische App „Soroush“ mit zwei Hintertüren
Mit Telegram wurde während der Demonstrationen im Jänner der letzte westlichen Https-Kommunikationskanäle temporär abgedreht und dann wieder temporär geöffnet.
Zeitgleich erfolgte der Launch des Messengers Soroush, der bereits bei Google Play erhältlich ist. Angepriesen wird Soroush als „sicher und verlässlich“, alle Kommunikation werde Ende-zu-Ende verschlüsselt. Zudem wird in der Kurzbeschreibung auf ein spezielles Feature namens „Parental Guidance“ hingewiesen. Die Smartphone-App hat also gleich zwei Hintertüren eingebaut - eine ghenerelle, staatliche und eine private für Eltern bzw. Vorgesetzte zur Kontrolle und Zensur. Dementsprechend gemischt sind auch die Reaktionen der App-Benutzer, die das Programm schlicht als „Spyware“ bezeichnen, was bei Soroush auch tatsächlich gegeben ist. Über die App kommen nämlich auch Warnungen an die Benutzer herein, wenn „unislamische“ Inhalte wie Filme oder Musikstücke aus den USA konsumiert und weitergegeben werden.
Da das iranische Internet während der letzten Jahre systematisch zu einem Intranet mit nur einem zentralen Knoten umgebaut wurde, sind dort keine großen Auswirkungen auf das Geschäftsleben zu erwarten. Die Mehrzahl der internationalen Anbindungen des Iran wurde bereits bei den Aufständen von 2009 gekappt, nach ihrer Wiederherstellung wurden sie dann über den Hauptknoten im iranischen Kommunikationsministerium geroutet. Dort wird vor allem der Verkehr nach außen zentral überwacht, geblockt und gesperrt.
Soroush
Chaos nach Sperren in Russland
Während des Aufstands 2009 wurde des gesamte Land umgeroutet, binnen Tagesfrist war die Anbindung des Iran an das Internet radikal umgestellt.
Ganz anders verhält es sich in Russland, denn dort entspricht die Netzwerkarchitektur, wenigstens bis jetzt noch, weitgehend dem westlichen Modell mit verschiedenen Providern und redundanten Anbindungen an internationale Carrier. Dementsprechend chaotisch verliefen auch die ersten Wochen nach der Sperre, denn Telegram benützte die Cloud-Services von Google und Amazon, um die russischen Zensoren auszutricksen. Viele Benutzer des verschlüsselten Messengerdienstes in Russland stiegen auf verschlüsselte VPN-Verbindungen um, die großteils ebenfalls über die großen Cloud-Services liefen.
In Folge wurden alle dabei verwendeten IP-Adressen von der russischen Zensurbehörde Roskomnazdor gesperrt. Binnen kürzester Zeit kamen fast 20 Millionen IP-Adressen zumeist von Google oder Amazon zusammen, über die in Russland nichts mehr ging. Dementsprechend weitreichend waren Auswirkungen dieser „Brute Force“-Sperren auf IP-Basis: Russische Softwarentwickler, exportorientierte Firmen und Medien, die Cloud-Infrastrukturen von Amazon oder Google nutzten, waren plötzlich ebenfalls gesperrt. Sogar der Suchmaschinenriese Yandex war eine Zeitlang schwer bis gar nicht zugänglich. Telegram war hingegen noch wochenlang in Russland erreichbar und ist das - mit großen Einschränkungen - immer noch.
Amazon und Google knickten vor Zensoren ein
Um russische und iranische Zensoren auszutricksen benützten Telegram, aber auch der beliebte und sichere Signal-Messenger eine Technik namens Domain-Fronting, die Amazon und Google bis jetzt zugelassen hatten. Ein von Zensur bedrohter Service kann damit andere, unverfängliche Internetadressen benutzen, die dann auf seine eigentliche Domain weiterrouten.
Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Verbindungen via TOR-Netz willkommen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Im Falle Russlands wurden dabei zumeist die Cloud-Services von Google und Amazon benutzt, auf denen die Ersatzadressen gehostet wurden. Weil deswegen soviele IP-Adressen dieser Firmen gesperrt worden waren, stellten Google und Amazon während der letzten Tage ihre Services um. Domain-Fronting wurde damit weitgehend unmöglich gemacht. Die Benutzer verschlüsselter Services im Iran, in Russland und anderen diktatorischen Regimes aber wurden mit ihren Zensoren alleingelassen.
Publiziert am 02.05.2018