10 Jahre Thailand 

Entries tagged [it-security]

How to Block TikTok

by Nudels


Posted on Freitag April 30, 2021 at 10:43PM in Technik - Administration


TikTok - Unsere hypnotisierten Kinder


.... die modifizierte Version :-)


Seit einiger Zeit laufen unsere Kinder wie hypnotisiert durch die
Gegend. Ich denke ich schau mal nach, was sie von Eiscreme und anderen
Leckereien oder Spielen abhält. Das Phänomen heißt TikTok. Ich möchte
herausfinden, was unsere Kinder so in den Bann zieht.
Hier findest Du eine treffliche Beschreibung dieser Internet-App: Wikipedia TikTok


Wenn wundert es, dass unsere Kinder, die älter als 13 Jahre alt sind ebenfalls ihre Kreativität in der TikTok-App auf die Probe stellen wollen.


TikTok im Test


Die TikTok-App zu installieren und einzurichten ist kinderleicht,
denn sie ist ja auch für Kinder gemacht. Der einfachste Weg, sich einen
legalen Account zu beschaffen ist eine Registrierung über Line, Facbook
oder Google.  In einer Ausgabe der New York Times
lese ich, dass nach Aussagen ehemaliger TikTok-Mitarbeiter ein gutes
Drittel der mehr als 800 MillionenTikTok-User unter 14-Jahren alt sind,
viele von ihnen auch jünger als 13. Das sind also ungefähr 275 Millionen Kinder, die dort unterwegs sind.


Die Bedienung der App ist dann auch kinderleicht. Ich kann
Videos von meinem Smartphone hochladen oder direkt aus der App filmen.

Man muss wissen, dass TikTok seinen Usern ein
Advertisement-Tool und ein Geschenke-Tool zur Seite stellt. Sie können
mit ihren Beiträgen Geld verdienen. An beiden Tools verdient TikTok
kräftig mit. In dieser Recherche vom Spiegel kann man sich genauer über das Geschenke-Tool informieren. Der Millardär Zhang Yiming ist hiermit zum 4. reichsten Mann Chinas aufgestiegen.       



TiKTok und Datenschutz

Datenschutz
scheint für Chinesen ein Begriff aus einem anderen Universum zu sein.
Der größte Teil des Medien-Contents und auch Profil-Inhalte laufen im
Klartext durch das Internet, das heißt, man kann ihn mit etwas
Sachverstand mitlesen, oder anschauen, wenn es Bilder oder Videos sind.
Was man hierzu braucht, ist ein Verständnis dafür, wie TCP/IP und UDP
funktionieren und erweiterte Kenntnisse in der Programmiersprache C. Das
Verfahren heißt ARP-Spoofing und gehört zur Kategorie Man-In-the-Middle-Attack.
Man kann damit sogar soweit gehen, dass man eine Sitzung vollständig
übernehmen kann und Inhalte des Users ergänzen, löschen oder ändern
kann. Weitere Details hierzu unterdrücke ich jetzt, da ich niemanden zum
unerlaubten Handeln verleiten möchte. ARP-Spoofing funktioniert
übrigens auch in SSL/TLS-gesicherten Verbindungen, ist dann aber ein wenig aufwendiger. Aber auch ohne diese Kenntnisse kann jeder, der einen
Medienserver von TikTok gefunden hat, alle Videos und Stream-Mitschnitte
herunterladen. TikTok ist eine Datenkrake und man muss nicht glauben,
dass es von Life-Chats keine Mitschnitte gibt. Zum Download von Medien
reicht der Browser. Die Ergebnisse muss man dann allerdings überarbeiten
und in ein Wiedergabeformat umwandeln. Das klappt mit dem kostenlosen
Tool ffmpeg sehr gut. Zum finden dieser Server eignet sich das kostenlose Tool wireshark hervorragend.
Auch hierzu unterdrücke ich die Details aus gutem Grunde. Unterm Strich
ist alles in TikTok öffentlich. Eine wirkliche Private Sphere gibt es in Tiktok nicht, auch nicht für Accounts und Online-Chats. Das sollte jeder Wissen. Jeder kann alles sehen.

TikTok blockieren.

Mein
bestelltes Equipment steht seit einem Monat beim Zoll in Bangkok und
mein Internet-Router bietet nur eine sehr sparsame Version von IP-Tables
an. Ein Update nach meinen Wünschen wäre zu zeitaufwendig. Ich brauche
also eine DNS-Variante.
Es  kursieren im Netz eine Vielzahl von
Musterlösungen, die mit wenigen DNS Records erfolgreich TikTok
verbannen, sogar mit Beispielbildern. Ich bin mit diesen Musterlösungen
gescheitert. Der Grund dafür folgt im nächsten Absatz.

TikTok
läuft zum größten Teil in einem Content Delivery Netwerk. Dieses merkt
man schnell wenn man nach den Domains recherchiert. Ich finde insgesamt
3598 Name Server Einträge, die sich in Domains und Cname Records
aufteilen. Das heißt also, dass das intelligente Request Routing System
einer CDN fast immer einen anderen Weg finden wird. Ein Teil der Server
laufen bei Akamai Technologies  in Seatle oder San Jose California ,
andere in Peking bei der CNISP Group.

OpenDNS bietet für einen
freien Account aber nur 25 Einträge an. Einträge in Regex-Form sind
nicht möglich und auch nicht geplant. OpenDNS heißt übrigens jetzt
Umbrella und ist somit Bestandteil von Cisco. Den kostenlosen Account
gibt es aber immer noch, und zwar hier: OpenDNS
Wie
kann man jetzt vorgehen um die 25 Einträge sinnvoll zu verteilen? Es
bleibt leider nur der empirische Ansatz, was bedeuted: Mehrtägiges
variieren und beobachten, was häufig angefordert wurde und was Schluss
endlich blockiert wurde. Eine grobe Vorauswahl lässt sich aus den Namen
der Domains und CNs herausfiltern, denn sie sind funktional schon
eindeutig benannt. Zum Verständnis: Eine Domaine und ein CName sind
nicht das Gleiche, sie zeigen aber auf das Gleiche. Das Problem ist,
wenn man sie nicht richtig kombiniert, hebelt möglicherweise der
minderwertige CName Record den Domain-Eintrag aus. Der letzte Eintrag zählt. Das bedeutet: Es
gehen dir eine Vielzahl von Sub-Domains durch die Lappen.
Meine Schluss endlich erfolgreiche Blockliste sieht so aus:


  • abtest-va-tiktok.byteoversea.com

  • all.webcast-core-lb-hl.l.bytedns.net

  • aweme-core.b.bytedns.net

  • bytedance.com

  • byteoversea.com

  • byteoversea.net

  • livelycdn.com

  • log.tiktokv.com

  • m.tiktok.com

  • mon-va.tiktokv.com

  • mon.tiktokv.com

  • p16-tiktokcdn-com.akamaized.net

  • tiktok.com

  • tiktokcdn.com

  • tiktokcdn.liveplay.myqcloud.com

  • tiktokv.com

  • v.tiktok.com

  • vm.tiktok.com

  • vt.tiktok.com

  • webcast.tiktokv.com

  • webcast.tiktokv.com.edgekey.net

  • webcast16-normal-c-useast1a.tiktokv.com






Es werden 104 DNS-Einträge blockiert




Sie enthält das notwendigste, um TikTok-Home, TikTok-Suche und
das Online-Tool zu blockieren. Mit diesen 22 Einträgen ist es mir
immerhin gelungen, 104 Domains, Cname Records und Sub-Domains von TikTok
zu blockieren, und das nur bei einer Anfrage. Damit ist allerdings bei
Weitem noch nicht alles geblockt und es ist nicht auszuschließen, dass
das CDN-System weitere, oder andere Wege findet.



So viel zum erfolgreichen blockieren von TikTok. Wenn es bei
Euch nicht klappt, kann ich nur darauf hinweisen, dass es nicht so
einfach ist. Die Detailbeschreibungen zur Router- und DNS-Konfiguration
habe ich mir deshalb erspart, da es hierzu tons of staff bereits im Internet gibt, z.B.: Hier. Sie sind alle gut und richtig, nur die Blocklisten waren bei mir nicht zufriedenstellend.




Die Arbeit hat sich gelohnt. TikTok ist in unserem Netz (10 Personen, davon 5 Kinder) vorerst nicht mehr erreichbar.



Niemand braucht das wirklich. Schau hin was Deine Kinder tun.



Danke für die Aufmerksamkeit



Nils Wehrmann




Update


ungefähr 14 Stunden später werde ich nach Bytedance in
China geroutet. Das dürfte eigentlich nicht sein, denn die Bedingung
für eine Abwendung: Block Tiktok in the USA war: Keine Replikation ins Ausland.
Es wäre jetzt einen Versuch wert zu prüfen, ob neue Inhalte aus dem
Akamai CDN auch bei Bytedance zu finden sind :-) . Die folgenden 3
Einträge verhindern aber auch das. Damit ist die Free-Version von
Umbrella erschöpft. Und eine alternative Blocklist zum Wechseln wird
erforderlich. Ich arbeite dran.



  • p16-va-tiktok.ibyteimg.com

  • byteicdn.com

  • dm.bytedance.com


Update 31.März.2021


Unsere Kinder sind mit Google und Co
groß geworden und sie haben natürlich gemerkt, was ich gemacht habe.
Sie finden schnell einen hilfreichen Tip und richten sich auf ihrem
Smartphone einen privaten Nameserver ein.
Damit meine Massnahme weiter greifen kann, gibt es jetzt nur noch eine Möglichkeit. Mein spärliches Router iptables muss konfiguriert werden.
Damit man dieses tun kann, sind zunächst 2 Dinge notwendig: Eine Telnetanwendung, z.B.: Putty und ein Root-Zugang für den Router. Ersteres findet man hier: Putty,
Zweiters ist etwas schwieriger, denn der Internetprovider mag es nicht,
wenn man in seinen Netzwerkeinstellungen arbeitet. Wenn man es nicht
selber bewerkstelligen kann, sich einen Zugang zu erarbeiten, muss man
das Internet bemühen. Du musst die Spreu vom Weizen trennen und ein
wenig probieren. Das root-Passwort ist natürlich nicht das Gleiche
wie das admin-Passwort für die Web-oberfläche. Wer einen Totolink-Router
besitzt kann diesen Zugang benutzen: root : cs2012

Kommen wir zur Einrichtung von iptables:


Erste Möglichkeit:

Wir schmeissen alle Pakete, die
DNS-Anfragen enthalten (port 53 und port 853) und nicht die Destination
openDNS enthalten einfach weg. Die Folge ist, dass das Smartphon mit den
privaten DNS-Einträgen gar kein Internet mehr hat.

Zunächst alle DNS-Anfragen für openDNS erlauben. (Wenn einer dieser Zustände erreicht ist, gilt die Regel als bearbeitet)

iptables -t filter -A FORWARD -d 208.67.222.222 -p udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -d 208.67.222.222 -p tcp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -d 208.67.220.220 -p udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -d 208.67.220.220 -p tcp --dport 53 -j ACCEPT

Port 853 brauchen wir hier nicht zu beachten, da openDNS meines wissens kein DNS über TLS anbietet.
Wenn die ersten 4 Regeln unbearbeitet bleiben, schmeissen wir alle Pakete mit den ports 53 und 853 einfach weg.

iptables -t filter -A FORWARD -p udp --dport 53 -j DROP
iptables -t filter -A FORWARD -p tcp --dport 53 -j DROP
iptables -t filter -A FORWARD -p udp --dport 853 -j DROP
iptables -t filter -A FORWARD -p tcp --dport 853 -j DROP


Zweite Möglichkeit:


Wir ändern die Pakete, die an port 53 und 853 gebunden sind und
nicht an openDNS gerichtet sind auf openDNS. Das Verhalten des
Smartphones ist wie vorher: Internet ja, aber kein TikTok.


Hierzu gehen wir in die nat-Tabelle. Es reicht eine DNS-Adresse:
(br-lan ist das Interface zum Internet)

iptables
-t nat -A PREROUTING -i br-lan -p udp ! --source 208.67.222.222 !
--destination 208.67.222.222 --dport 53 -j DNAT --to 208.67.222.222
iptables
-t nat -A PREROUTING -i br-lan -p tcp ! --source 208.67.222.222 !
--destination 208.67.222.222 --dport 53 -j DNAT --to 208.67.222.222
iptables
-t nat -A PREROUTING -i br-lan -p tcp ! --source 208.67.222.222 !
--destination 208.67.222.222 --dport 853 -j DNAT --to 208.67.222.222
iptables -t nat -A POSTROUTING -j MASQUERADE

Da
openDNS meines Wissens kein DNS über TLS anbietet sollten die Anfragen
über port 853 auf tcp port 53 fallen. Wenn das nicht so ist, würden sie
einfach verworfen.