Die Universität Michigan/USA hat jetzt eine Studie zur Internetüberwachung in Kasachstan vorgestellt. Sie wurde von Forschern des Universitätsprojektes „Censored Planet“ erstellt, die spezielle Scan Software einsetzen, um die globale Überwachung des Internetverkehrs in rund 170 Staaten zu dokumentieren.
Staatliche Zensur in Kasachstan
Kasachstan schreibt den Internetnutzern seit kurzer Zeit die Installation einen staatlichen TLS Zertifikats vor, wenn die Personen „bestimmte“ Websites aufrufen wollen. Es wurde nicht näher angegeben, um welche Domains es sich handelt, was der Regierung viel Spielraum in der Überwachung des Internetverkehrs im Land gibt. Begründet wird die Zwangsinstallation mit dem Schutz vor Betrügern und Hackern. Seltsamerweise wurden ausschließlich Google Services, soziale Netzwerke, Messenger und Mailanbieter sowie Porno-Sites reglementiert.
Censored Planet hat jetzt eine Überwachung von mindestens 37 Domains nachgewiesen und kann auch erklären, wie das System in Kasachstan funktioniert. Zum Scan verwendeten die Sicherheitsforscher die Software „Hyperquack“, der die TLS Erweiterung SNI (Server Name Identification) zum Aufspüren von Überwachungsmechanismen nutzt.
Werden mehrere TLS verschlüsselte Domains mit SNI auf einer IP-Adresse betrieben, wird die aufgerufene Domain dieses Verbundes beim Aufbau der TLS Verbindung unverschlüsselt übertragen.
Censored Planet verbindet sich mit unterschiedlichen Servern über eine TLS Verbindung und stellt eine Anfrage zu SNI als „zertifizierte Domains“. Aus der Antwort des Servers können die Forscher herauslesen, ob die Server Verbindung per Man-in-the-Middle-Angriff ausgespäht wird. Am 17. Juli 2019 wurde solch ein Angriff auf das TLS Zertifikats des staatlichen Telefonanbieters Kazakhtelecom registriert. Censored Planet fand 37 Domains, die überwacht werden. Domains anderer Anbieter sind anscheinend bisher nicht betroffen, da sich das Überwachungssystem anscheinen noch in einer Testphase befindet. Das erklärt wahrscheinlich die zeitweiligen Ausfälle in den folgenden Tagen, in denen die Sicherheitsforscher weitere Anfragen starteten.
Variante des SNI in Arbeit
Die Internet Engineering Task Force (IETF) arbeitet bereits seit einiger Zeit mit Hochdruck an einer verschlüsselten SNI Variante. Dabei werden die Spezialisten von großen Anbietern, wie Apple, Cloudflare oder auch Mozilla unterstützt. Ist diese Variante online, dürfte es mit der staatlichen Überwachung über die Server Name Identification in Kasachstan und einigen weiteren Staaten erst einmal vorbei sein.