• IT-Karriere:
  • Services:

Internetüberwachung: Kasachstan überwacht 37 Domains mit Hilfe von TLS-SNI

Forscher der Universität Michigan haben das staatliche Internetüberwachungsprojekt in Kasachstan untersucht. Durch Scans entdeckten sie 37 überwachte Domains, die mit der TLS-Erweiterung SNI ausgefiltert werden.

Artikel veröffentlicht am ,
Kasachstan überwacht die TLS-Verbindungen zu bestimmten Domains.
Kasachstan überwacht die TLS-Verbindungen zu bestimmten Domains. (Bild: Chickenonline/Pixabay)

In Kasachstan müssen Internetnutzer seit kurzem ein staatliches TLS-Zertifikat installieren, wenn sie bestimmte Webseiten besuchen möchten. Dies ermöglicht eine Überwachung und Zensur des dortigen Internetverkehrs. Das Projekt Censored Planet der Universität Michigan hat die Technik analysiert. In einer Studie werden 37 betroffene Domains genannt und erklärt, wie die Überwachung über die SNI-Erweiterung des TLS-Protokolls realisiert wird.

Stellenmarkt
  1. Deutsche Gesetzliche Unfallversicherung e.V. (DGUV), Sankt Augustin
  2. via 3C - Career Consulting Company GmbH, München

Die erste Injektion des staatlichen TLS-Zertifikats konnte Censored Planet am 17. Juli 2019 feststellen. Die Organisation scannt mit der Software Hyperquack regelmäßig 170 Staaten auf Zensurmaßnahmen im Internet. Der Scan nutzt die TLS-Erweiterung SNI (Server Name Indication). Die Erweiterung ermöglicht das Betreiben von mehreren TLS-verschlüsselten Domains auf einer IP-Adresse, indem die jeweilige Domain unverschlüsselt beim Aufbau der verschlüsselten Verbindung übertragen wird. Censored Planet baut zu verschiedenen Servern eine TLS-Verbindung auf und gibt als SNI besonders häufig zensierte Domains an. An der Antwort auf diese Anfrage lässt sich erkennen, ob die Verbindung von einem Man-in-the-Middle-Angriff betroffen ist.

Drei Bedingungen müssen erfüllt sein

Mit dieser Methode und weitergehenden Tests konnte Censored Planet feststellen, dass die Zensur nur bei dem staatlichen Telekomunikationsanbieter Kazakhtelecom durchgeführt wird. Andere ISPs im Land sind von der Zensur bisher noch nicht betroffen. Neben einer Verbindung über den Kazakhtelecom mussten weitere Bedingungen erfüllt sein: Der SNI muss eine der überwachten Domains beinhalten und der angefragte Server muss mit einem legitimen Zertifikat antworten, das dann ausgetauscht wird. Dieses muss allerdings nicht zwangsweise der Domain im SNI entsprechen.

Aktuell arbeitet die Internet Engineering Task Force (IETF) jedoch an einer verschlüsselten Variante des SNI. Unterstützt und vorangetrieben werden die Arbeiten von Mozilla, Fastly, Cloudflare und Apple. Mit dieser ESNI dürfte die Überwachung des Internets in Kasachstan in der derzeitigen Form nicht mehr funktionieren. Allerdings könnte das System leicht darauf angepasst werden, etwa indem der DNS-Datenverkehr manipuliert wird.

Die Forscher vermuten, dass sich das System noch im Testbetrieb befindet. Als ein Indiz sehen sie unter anderem ein neunstündiges Aussetzen des Zertifikataustausches am frühen 22. Juli 2019.

Betroffene Domains

Die Webseite, auf der die Installation des TLS-Zertifikats gefordert wird, behauptet, dass dies zum Schutz der Nutzers vor Betrügern und Hackern geschehe. Das diese zweifelhafte Argumentation nicht der eigentliche Grund des Zertifikataustausches sein dürfte, kann unschwer an der Auswahl der Domains, bei denen das Zertifikat ausgetauscht wird, abgelesen werden. Darunter finden sich vor allem Dienste von Google, soziale Netzwerke, Messenger und E-Mail-Anbieter, sowie Seiten mit pornografischen Inhalten.

Alle betroffenen Domains: allo.google.com, android.com, cdninstagram.com, dns.google.com, docs.google.com, encrypted.google.com, facebook.com, goo.gl, google.com, groups.google.com, hangouts.google.com, instagram.com, mail.google.com, mail.ru, messages.android.com, messenger.com, news.google.com, ok.ru, picasa.google.com, plus.google.com, rukoeb.com, sites.google.com, sosalkino.tv, tamtam.chat, translate.google.com, twitter.com, video.google.com, vk.com, vk.me, vkuseraudio.net, vkuservideo.net, www.facebook.com, www.google.com, www.instagram.com, www.messenger.com, www.youtube.com, youtube.com.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. LG 75UM7050PLF 189cm (Modelljahr 2020) für 845€, LG 65NANO806NA 164 cm NanoCell...
  2. (u. a. HP Spectre x360 13-aw0020ng Convertible, 13,3 Zoll FHD Touch, i7-1065G7, 16GB DDR4 RAM...
  3. (u. a. Fractal Design Silent Series R3 80mm Gehäuselüfter für 4,99€, Fractal Design Prisma SL...

ErwinH 30. Jul 2019

Hallo, in TLS 1.3 hätte die Möglichkeit bestanden, statt SNI im Client Helo...

simotroon 30. Jul 2019

endlich mal ein porno-tipp von golem - macht weiter so!

ElMario 30. Jul 2019

Aber sofort !

sambache 30. Jul 2019

Sagt die Märchenfee ;-)


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
Unix: Ein Betriebssystem in 8 KByte
Unix
Ein Betriebssystem in 8 KByte

Zwei junge Programmierer entwarfen nahezu im Alleingang ein Betriebssystem und die Sprache C. Zum 50. Jubiläum von Unix werfen wir einen Blick zurück auf die Anfangstage.
Von Martin Wolf


    Horror-Thriller Unsubscribe: Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde
    Horror-Thriller Unsubscribe
    Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde

    Zwei US-Filmemacher haben mit Zoom den Horror-Film Unsubscribe gedreht. Sie landeten damit sogar an der Spitze der US-Box-Office-Charts. Zumindest für einen Tag.
    Von Peter Osteried

    1. Film Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
    2. Alien Im Weltall hört dich keiner schreien
    3. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?

    Schule: Hard- und Software allein macht keinen digitalen Unterricht
    Schule
    Hard- und Software allein macht keinen digitalen Unterricht

    WLAN in allen Klassenzimmern reicht nicht, der ganze Unterricht an Schulen muss sich ändern. An den Problemen dabei sind nicht in erster Linie die Lehrkräfte schuld.
    Ein IMHO von Gerd Mischler

    1. Kipping Linken-Chefin fordert Schul-Laptops mit SIM für alle Schüler
    2. Datenschutz Unberechtigte Accounts in Schul-Cloud
    3. Homeschooling-Report Wie Schulen mit der Coronakrise klarkommen

      •  /