• IT-Karriere:
  • Services:

Internetüberwachung: Kasachstan überwacht 37 Domains mit Hilfe von TLS-SNI

Forscher der Universität Michigan haben das staatliche Internetüberwachungsprojekt in Kasachstan untersucht. Durch Scans entdeckten sie 37 überwachte Domains, die mit der TLS-Erweiterung SNI ausgefiltert werden.

Artikel veröffentlicht am ,
Kasachstan überwacht die TLS-Verbindungen zu bestimmten Domains.
Kasachstan überwacht die TLS-Verbindungen zu bestimmten Domains. (Bild: Chickenonline/Pixabay)

In Kasachstan müssen Internetnutzer seit kurzem ein staatliches TLS-Zertifikat installieren, wenn sie bestimmte Webseiten besuchen möchten. Dies ermöglicht eine Überwachung und Zensur des dortigen Internetverkehrs. Das Projekt Censored Planet der Universität Michigan hat die Technik analysiert. In einer Studie werden 37 betroffene Domains genannt und erklärt, wie die Überwachung über die SNI-Erweiterung des TLS-Protokolls realisiert wird.

Stellenmarkt
  1. DEPOT - Gries Deco Company GmbH, Niedernberg
  2. ING-DiBa AG, Nürnberg

Die erste Injektion des staatlichen TLS-Zertifikats konnte Censored Planet am 17. Juli 2019 feststellen. Die Organisation scannt mit der Software Hyperquack regelmäßig 170 Staaten auf Zensurmaßnahmen im Internet. Der Scan nutzt die TLS-Erweiterung SNI (Server Name Indication). Die Erweiterung ermöglicht das Betreiben von mehreren TLS-verschlüsselten Domains auf einer IP-Adresse, indem die jeweilige Domain unverschlüsselt beim Aufbau der verschlüsselten Verbindung übertragen wird. Censored Planet baut zu verschiedenen Servern eine TLS-Verbindung auf und gibt als SNI besonders häufig zensierte Domains an. An der Antwort auf diese Anfrage lässt sich erkennen, ob die Verbindung von einem Man-in-the-Middle-Angriff betroffen ist.

Drei Bedingungen müssen erfüllt sein

Mit dieser Methode und weitergehenden Tests konnte Censored Planet feststellen, dass die Zensur nur bei dem staatlichen Telekomunikationsanbieter Kazakhtelecom durchgeführt wird. Andere ISPs im Land sind von der Zensur bisher noch nicht betroffen. Neben einer Verbindung über den Kazakhtelecom mussten weitere Bedingungen erfüllt sein: Der SNI muss eine der überwachten Domains beinhalten und der angefragte Server muss mit einem legitimen Zertifikat antworten, das dann ausgetauscht wird. Dieses muss allerdings nicht zwangsweise der Domain im SNI entsprechen.

Aktuell arbeitet die Internet Engineering Task Force (IETF) jedoch an einer verschlüsselten Variante des SNI. Unterstützt und vorangetrieben werden die Arbeiten von Mozilla, Fastly, Cloudflare und Apple. Mit dieser ESNI dürfte die Überwachung des Internets in Kasachstan in der derzeitigen Form nicht mehr funktionieren. Allerdings könnte das System leicht darauf angepasst werden, etwa indem der DNS-Datenverkehr manipuliert wird.

Die Forscher vermuten, dass sich das System noch im Testbetrieb befindet. Als ein Indiz sehen sie unter anderem ein neunstündiges Aussetzen des Zertifikataustausches am frühen 22. Juli 2019.

Betroffene Domains

Die Webseite, auf der die Installation des TLS-Zertifikats gefordert wird, behauptet, dass dies zum Schutz der Nutzers vor Betrügern und Hackern geschehe. Das diese zweifelhafte Argumentation nicht der eigentliche Grund des Zertifikataustausches sein dürfte, kann unschwer an der Auswahl der Domains, bei denen das Zertifikat ausgetauscht wird, abgelesen werden. Darunter finden sich vor allem Dienste von Google, soziale Netzwerke, Messenger und E-Mail-Anbieter, sowie Seiten mit pornografischen Inhalten.

Alle betroffenen Domains: allo.google.com, android.com, cdninstagram.com, dns.google.com, docs.google.com, encrypted.google.com, facebook.com, goo.gl, google.com, groups.google.com, hangouts.google.com, instagram.com, mail.google.com, mail.ru, messages.android.com, messenger.com, news.google.com, ok.ru, picasa.google.com, plus.google.com, rukoeb.com, sites.google.com, sosalkino.tv, tamtam.chat, translate.google.com, twitter.com, video.google.com, vk.com, vk.me, vkuseraudio.net, vkuservideo.net, www.facebook.com, www.google.com, www.instagram.com, www.messenger.com, www.youtube.com, youtube.com.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

ErwinH 30. Jul 2019

Hallo, in TLS 1.3 hätte die Möglichkeit bestanden, statt SNI im Client Helo...

simotroon 30. Jul 2019

endlich mal ein porno-tipp von golem - macht weiter so!

ElMario 30. Jul 2019

Aber sofort !

sambache 30. Jul 2019

Sagt die Märchenfee ;-)


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  2. Elektroauto von VW Es hat sich bald ausgegolft
  3. ID.3 kommt Volkswagen verkauft den E-Golf zum Schnäppchenpreis

Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Surface Laptop 3 (15 Zoll) im Test: Das 15-Zoll-Macbook mit Windows 10 und Ryzen
Surface Laptop 3 (15 Zoll) im Test
Das 15-Zoll-Macbook mit Windows 10 und Ryzen

Was passiert, wenn ein 13-Zoll-Notebook ein 15-Zoll-Panel erhält? Es entsteht der Surface Laptop 3. Er ist leicht, sehr gut verarbeitet und hat eine exzellente Tastatur. Das bereitet aber nur Freude, wenn wir die wenigen Anschlüsse und den recht kleinen Akku verkraften können.
Ein Test von Oliver Nickel

  1. Surface Laptop 3 mit 15 Zoll Microsoft könnte achtkernigen Ryzen verbauen

    •  /