• IT-Karriere:
  • Services:

Internetüberwachung: Kasachstan überwacht 37 Domains mit Hilfe von TLS-SNI

Forscher der Universität Michigan haben das staatliche Internetüberwachungsprojekt in Kasachstan untersucht. Durch Scans entdeckten sie 37 überwachte Domains, die mit der TLS-Erweiterung SNI ausgefiltert werden.

Artikel veröffentlicht am ,
Kasachstan überwacht die TLS-Verbindungen zu bestimmten Domains.
Kasachstan überwacht die TLS-Verbindungen zu bestimmten Domains. (Bild: Chickenonline/Pixabay)

In Kasachstan müssen Internetnutzer seit kurzem ein staatliches TLS-Zertifikat installieren, wenn sie bestimmte Webseiten besuchen möchten. Dies ermöglicht eine Überwachung und Zensur des dortigen Internetverkehrs. Das Projekt Censored Planet der Universität Michigan hat die Technik analysiert. In einer Studie werden 37 betroffene Domains genannt und erklärt, wie die Überwachung über die SNI-Erweiterung des TLS-Protokolls realisiert wird.

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Advantest Europe GmbH, Böblingen

Die erste Injektion des staatlichen TLS-Zertifikats konnte Censored Planet am 17. Juli 2019 feststellen. Die Organisation scannt mit der Software Hyperquack regelmäßig 170 Staaten auf Zensurmaßnahmen im Internet. Der Scan nutzt die TLS-Erweiterung SNI (Server Name Indication). Die Erweiterung ermöglicht das Betreiben von mehreren TLS-verschlüsselten Domains auf einer IP-Adresse, indem die jeweilige Domain unverschlüsselt beim Aufbau der verschlüsselten Verbindung übertragen wird. Censored Planet baut zu verschiedenen Servern eine TLS-Verbindung auf und gibt als SNI besonders häufig zensierte Domains an. An der Antwort auf diese Anfrage lässt sich erkennen, ob die Verbindung von einem Man-in-the-Middle-Angriff betroffen ist.

Drei Bedingungen müssen erfüllt sein

Mit dieser Methode und weitergehenden Tests konnte Censored Planet feststellen, dass die Zensur nur bei dem staatlichen Telekomunikationsanbieter Kazakhtelecom durchgeführt wird. Andere ISPs im Land sind von der Zensur bisher noch nicht betroffen. Neben einer Verbindung über den Kazakhtelecom mussten weitere Bedingungen erfüllt sein: Der SNI muss eine der überwachten Domains beinhalten und der angefragte Server muss mit einem legitimen Zertifikat antworten, das dann ausgetauscht wird. Dieses muss allerdings nicht zwangsweise der Domain im SNI entsprechen.

Aktuell arbeitet die Internet Engineering Task Force (IETF) jedoch an einer verschlüsselten Variante des SNI. Unterstützt und vorangetrieben werden die Arbeiten von Mozilla, Fastly, Cloudflare und Apple. Mit dieser ESNI dürfte die Überwachung des Internets in Kasachstan in der derzeitigen Form nicht mehr funktionieren. Allerdings könnte das System leicht darauf angepasst werden, etwa indem der DNS-Datenverkehr manipuliert wird.

Die Forscher vermuten, dass sich das System noch im Testbetrieb befindet. Als ein Indiz sehen sie unter anderem ein neunstündiges Aussetzen des Zertifikataustausches am frühen 22. Juli 2019.

Betroffene Domains

Die Webseite, auf der die Installation des TLS-Zertifikats gefordert wird, behauptet, dass dies zum Schutz der Nutzers vor Betrügern und Hackern geschehe. Das diese zweifelhafte Argumentation nicht der eigentliche Grund des Zertifikataustausches sein dürfte, kann unschwer an der Auswahl der Domains, bei denen das Zertifikat ausgetauscht wird, abgelesen werden. Darunter finden sich vor allem Dienste von Google, soziale Netzwerke, Messenger und E-Mail-Anbieter, sowie Seiten mit pornografischen Inhalten.

Alle betroffenen Domains: allo.google.com, android.com, cdninstagram.com, dns.google.com, docs.google.com, encrypted.google.com, facebook.com, goo.gl, google.com, groups.google.com, hangouts.google.com, instagram.com, mail.google.com, mail.ru, messages.android.com, messenger.com, news.google.com, ok.ru, picasa.google.com, plus.google.com, rukoeb.com, sites.google.com, sosalkino.tv, tamtam.chat, translate.google.com, twitter.com, video.google.com, vk.com, vk.me, vkuseraudio.net, vkuservideo.net, www.facebook.com, www.google.com, www.instagram.com, www.messenger.com, www.youtube.com, youtube.com.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Star Wars: Knights of the Old Republic II - The Sith Lords für 1,99€, Star Wars Empire at...
  2. 51,90€ (Release 12. Februar)

ErwinH 30. Jul 2019

Hallo, in TLS 1.3 hätte die Möglichkeit bestanden, statt SNI im Client Helo...

simotroon 30. Jul 2019

endlich mal ein porno-tipp von golem - macht weiter so!

ElMario 30. Jul 2019

Aber sofort !

sambache 30. Jul 2019

Sagt die Märchenfee ;-)


Folgen Sie uns
       


Gaming auf dem Chromebook ausprobiert

Wir haben uns Spielestreaming und natives Gaming auf dem Chromebook angesehen.

Gaming auf dem Chromebook ausprobiert Video aufrufen
    •  /