Abo
  • IT-Karriere:

Internetüberwachung: Kasachstan überwacht 37 Domains mit Hilfe von TLS-SNI

Forscher der Universität Michigan haben das staatliche Internetüberwachungsprojekt in Kasachstan untersucht. Durch Scans entdeckten sie 37 überwachte Domains, die mit der TLS-Erweiterung SNI ausgefiltert werden.

Artikel veröffentlicht am ,
Kasachstan überwacht die TLS-Verbindungen zu bestimmten Domains.
Kasachstan überwacht die TLS-Verbindungen zu bestimmten Domains. (Bild: Chickenonline/Pixabay)

In Kasachstan müssen Internetnutzer seit kurzem ein staatliches TLS-Zertifikat installieren, wenn sie bestimmte Webseiten besuchen möchten. Dies ermöglicht eine Überwachung und Zensur des dortigen Internetverkehrs. Das Projekt Censored Planet der Universität Michigan hat die Technik analysiert. In einer Studie werden 37 betroffene Domains genannt und erklärt, wie die Überwachung über die SNI-Erweiterung des TLS-Protokolls realisiert wird.

Stellenmarkt
  1. Oberfinanzdirektion Karlsruhe, Karlsruhe
  2. TIMOCOM GmbH, Erkrath

Die erste Injektion des staatlichen TLS-Zertifikats konnte Censored Planet am 17. Juli 2019 feststellen. Die Organisation scannt mit der Software Hyperquack regelmäßig 170 Staaten auf Zensurmaßnahmen im Internet. Der Scan nutzt die TLS-Erweiterung SNI (Server Name Indication). Die Erweiterung ermöglicht das Betreiben von mehreren TLS-verschlüsselten Domains auf einer IP-Adresse, indem die jeweilige Domain unverschlüsselt beim Aufbau der verschlüsselten Verbindung übertragen wird. Censored Planet baut zu verschiedenen Servern eine TLS-Verbindung auf und gibt als SNI besonders häufig zensierte Domains an. An der Antwort auf diese Anfrage lässt sich erkennen, ob die Verbindung von einem Man-in-the-Middle-Angriff betroffen ist.

Drei Bedingungen müssen erfüllt sein

Mit dieser Methode und weitergehenden Tests konnte Censored Planet feststellen, dass die Zensur nur bei dem staatlichen Telekomunikationsanbieter Kazakhtelecom durchgeführt wird. Andere ISPs im Land sind von der Zensur bisher noch nicht betroffen. Neben einer Verbindung über den Kazakhtelecom mussten weitere Bedingungen erfüllt sein: Der SNI muss eine der überwachten Domains beinhalten und der angefragte Server muss mit einem legitimen Zertifikat antworten, das dann ausgetauscht wird. Dieses muss allerdings nicht zwangsweise der Domain im SNI entsprechen.

Aktuell arbeitet die Internet Engineering Task Force (IETF) jedoch an einer verschlüsselten Variante des SNI. Unterstützt und vorangetrieben werden die Arbeiten von Mozilla, Fastly, Cloudflare und Apple. Mit dieser ESNI dürfte die Überwachung des Internets in Kasachstan in der derzeitigen Form nicht mehr funktionieren. Allerdings könnte das System leicht darauf angepasst werden, etwa indem der DNS-Datenverkehr manipuliert wird.

Die Forscher vermuten, dass sich das System noch im Testbetrieb befindet. Als ein Indiz sehen sie unter anderem ein neunstündiges Aussetzen des Zertifikataustausches am frühen 22. Juli 2019.

Betroffene Domains

Die Webseite, auf der die Installation des TLS-Zertifikats gefordert wird, behauptet, dass dies zum Schutz der Nutzers vor Betrügern und Hackern geschehe. Das diese zweifelhafte Argumentation nicht der eigentliche Grund des Zertifikataustausches sein dürfte, kann unschwer an der Auswahl der Domains, bei denen das Zertifikat ausgetauscht wird, abgelesen werden. Darunter finden sich vor allem Dienste von Google, soziale Netzwerke, Messenger und E-Mail-Anbieter, sowie Seiten mit pornografischen Inhalten.

Alle betroffenen Domains: allo.google.com, android.com, cdninstagram.com, dns.google.com, docs.google.com, encrypted.google.com, facebook.com, goo.gl, google.com, groups.google.com, hangouts.google.com, instagram.com, mail.google.com, mail.ru, messages.android.com, messenger.com, news.google.com, ok.ru, picasa.google.com, plus.google.com, rukoeb.com, sites.google.com, sosalkino.tv, tamtam.chat, translate.google.com, twitter.com, video.google.com, vk.com, vk.me, vkuseraudio.net, vkuservideo.net, www.facebook.com, www.google.com, www.instagram.com, www.messenger.com, www.youtube.com, youtube.com.



Anzeige
Top-Angebote
  1. (u. a. mit Gaming-Monitoren, z. B. Acer ED323QURA Curved/WQHD/144 Hz für 299€ statt 379€ im...
  2. (u. a. Apple iPhone 6s Plus 32 GB für 299€ und 128 GB für 449€ - Bestpreise!)
  3. (u. a. Nikon D5600 Kit 18-55 mm + Tasche + 16 GB für 444€ statt 525€ ohne Tasche und...
  4. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)

ErwinH 30. Jul 2019 / Themenstart

Hallo, in TLS 1.3 hätte die Möglichkeit bestanden, statt SNI im Client Helo...

simotroon 30. Jul 2019 / Themenstart

endlich mal ein porno-tipp von golem - macht weiter so!

sambache 30. Jul 2019 / Themenstart

Sagt die Märchenfee ;-)

Kommentieren


Folgen Sie uns
       


Mercedes EQC probegefahren

Wie schlägt sich der neue EQC von Mercedes im Vergleich mit anderen Elektroautos? Golem.de hat das SUV in der Umgebung von Stuttgart Probe gefahren.

Mercedes EQC probegefahren Video aufrufen
Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

Mobile-Games-Auslese: Verdrehte Räume und verrückte Zombies für unterwegs
Mobile-Games-Auslese
Verdrehte Räume und verrückte Zombies für unterwegs

Ein zauberhaftes Denksportspiel wie Rooms, ansteckende Zombies in Infectonator 3 Apocalypse und Sky - Children of the Light, das neue Werk der Journey-Entwickler: Für die Urlaubszeit hat Golem.de besonders schöne und vielfälige Mobile Games gefunden!
Eine Rezension von Rainer Sigl

  1. Dr. Mario World im Test Spielspaß für Privatpatienten
  2. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  3. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor

    •  /