Internetüberwachung: Kasachstan überwacht 37 Domains mit Hilfe von TLS-SNI

In Kasachstan müssen Internetnutzer seit kurzem ein staatliches TLS-Zertifikat installieren, wenn sie bestimmte Webseiten besuchen möchten. Dies ermöglicht eine Überwachung und Zensur des dortigen Internetverkehrs. Das Projekt Censored Planet der Universität Michigan hat die Technik analysiert. In einer Studie werden 37 betroffene Domains genannt und erklärt, wie die Überwachung über die SNI-Erweiterung des TLS-Protokolls realisiert wird.

Stellenmarkt

1. CipSoft GmbH, Regensburg
2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg

Die erste Injektion des staatlichen TLS-Zertifikats konnte Censored Planet am 17. Juli 2019 feststellen. Die Organisation scannt mit der Software Hyperquack regelmäßig 170 Staaten auf Zensurmaßnahmen im Internet. Der Scan nutzt die TLS-Erweiterung SNI (Server Name Indication). Die Erweiterung ermöglicht das Betreiben von mehreren TLS-verschlüsselten Domains auf einer IP-Adresse, indem die jeweilige Domain unverschlüsselt beim Aufbau der verschlüsselten Verbindung übertragen wird. Censored Planet baut zu verschiedenen Servern eine TLS-Verbindung auf und gibt als SNI besonders häufig zensierte Domains an. An der Antwort auf diese Anfrage lässt sich erkennen, ob die Verbindung von einem Man-in-the-Middle-Angriff betroffen ist.

Drei Bedingungen müssen erfüllt sein

Mit dieser Methode und weitergehenden Tests konnte Censored Planet feststellen, dass die Zensur nur bei dem staatlichen Telekomunikationsanbieter Kazakhtelecom durchgeführt wird. Andere ISPs im Land sind von der Zensur bisher noch nicht betroffen. Neben einer Verbindung über den Kazakhtelecom mussten weitere Bedingungen erfüllt sein: Der SNI muss eine der überwachten Domains beinhalten und der angefragte Server muss mit einem legitimen Zertifikat antworten, das dann ausgetauscht wird. Dieses muss allerdings nicht zwangsweise der Domain im SNI entsprechen.

Aktuell arbeitet die Internet Engineering Task Force (IETF) jedoch an einer verschlüsselten Variante des SNI. Unterstützt und vorangetrieben werden die Arbeiten von Mozilla, Fastly, Cloudflare und Apple. Mit dieser ESNI dürfte die Überwachung des Internets in Kasachstan in der derzeitigen Form nicht mehr funktionieren. Allerdings könnte das System leicht darauf angepasst werden, etwa indem der DNS-Datenverkehr manipuliert wird.

Die Forscher vermuten, dass sich das System noch im Testbetrieb befindet. Als ein Indiz sehen sie unter anderem ein neunstündiges Aussetzen des Zertifikataustausches am frühen 22. Juli 2019.

Betroffene Domains

Die Webseite, auf der die Installation des TLS-Zertifikats gefordert wird, behauptet, dass dies zum Schutz der Nutzers vor Betrügern und Hackern geschehe. Das diese zweifelhafte Argumentation nicht der eigentliche Grund des Zertifikataustausches sein dürfte, kann unschwer an der Auswahl der Domains, bei denen das Zertifikat ausgetauscht wird, abgelesen werden. Darunter finden sich vor allem Dienste von Google, soziale Netzwerke, Messenger und E-Mail-Anbieter, sowie Seiten mit pornografischen Inhalten.

Alle betroffenen Domains: allo.google.com, android.com, cdninstagram.com, dns.google.com, docs.google.com, encrypted.google.com, facebook.com, goo.gl, google.com, groups.google.com, hangouts.google.com, instagram.com, mail.google.com, mail.ru, messages.android.com, messenger.com, news.google.com, ok.ru, picasa.google.com, plus.google.com, rukoeb.com, sites.google.com, sosalkino.tv, tamtam.chat, translate.google.com, twitter.com, video.google.com, vk.com, vk.me, vkuseraudio.net, vkuservideo.net, www.facebook.com, www.google.com, www.instagram.com, www.messenger.com, www.youtube.com, youtube.com.