AMSTERDAM - Door veranderingen in de Chinese firewall voor het filteren van internetverkeer, wordt ook verkeer uit de rest wereld geblokkeerd. De wijzigingen gaan zover dat zelfs internationaal verkeer naar China wordt getrokken en in de gaten kan worden gehouden.

Dat blijkt nadat internetgebruikers in Chili en Amerika klaagden dat zij websites als Facebook en Twitter opeens niet meer konden benaderen. Het Nederlandse beveiligingsbedrijf Fox IT en diverse beheerders wereldwijd deden onderzoek en komen tot de slotsom dat het Chinese internetfilter de problemen veroorzaakt.

Foute adressen

"Internet is een wereldwijd netwerk, waardoor computers overal vandaan betrokken kunnen zijn bij het bezoek van een lokale website", legt Bert Hubert van Fox IT aan NU.nl uit. Wanneer iemand een website opzoekt moet de domeinnaam eerst door een zogenoemde DNS-server worden vertaald naar een numeriek 'ip-adres'. Die informatie kan in principe overal vandaan komen. "Dat bleek ook het geval, want bij gebruikers werd een onzinadres voor Facebook teruggeven."

"Meestal gebeurt dit niet, omdat het verkeer door DNS-servers in de buurt worden afgehandeld, maar incidenteel komt het voor", weet Hubert. Wat opviel is dat bij zoekacties die door Chinese computers worden afgehandeld soms verkeerde internetadressen worden teruggegeven. Het gevolg is dan dat het lijkt dat een website niet meer te bereiken is.

Fox IT waarschuwt ervoor dat het nu misschien een fout betreft, maar dat via dezelfde truc het mogelijk is om e-mailverkeer van niet-Chinezen af te luisteren. "Het is dus theoretisch mogelijk dat een mailtje tussen slagerijvandervalk.nl en restaurantvanderbosch.nl wordt omgeleid, afgeluisterd of gemanipuleerd", stelt Hubert. "Hoe onvoorstelbaar het bovenstaande ook klinkt, dit is wat er in Chili en in Californië is waargenomen."

Nieuwe technologie

Op dit moment is het moeilijk tegen misbruik te wapenen. Het protocol dat nu de problemen veroorzaakt (DNS) ligt al langer onder vuur. Een nieuwere technologie (DNSSEC) kan bij brede inzet dit soort problemen voorkomen. Hubert verwacht dat dit soort problemen op lange termijn zullen worden opgelost.

Het was al bekend dat de Chinese overheid het internetfilter deze week heeft aangepast. Maandag besloot Google de Chinese zoekmachine om te leiden naar Hong Kong, zodat zij niet langer zelfcensuur hoeven toe te passen. Vanuit Peking werd hierop furieus gereageerd en aangegeven dat onwelgevallige inhoud nu via de staatsfirewall zou worden tegengehouden.

Spierballen

Het is onduidelijk of het hier een configuratiefout betreft of dat de problemen een bewuste actie van de Chinezen zijn bij wijze van spierballenvertoon. De laatste dagen waren er ook signalen dat het internetfilter op sommige momenten niet werkte, en Chinezen ongehinderd websites konden bezoeken.