Kasachstan überwacht Nutzer von Google, Facebook und VK

Die Republik Kasachstan überwacht ihre Bürger:innen mit einem speziellen Überwachungszertifikat, das zwangsweise installiert werden muss. US-Forscher:innen fanden heraus, welche besuchten Seiten am meisten überwacht werden und dass die Maßnahme derzeit nur in Teilen des Landes angewandt wird.

Symbolbild Infrastruktur
Moderne Infrastrukur in Kasachstan: eine Seltenheit. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Go to Beka Tasmagambet’s profile Beka Tasmagambet

Seit knapp zwei Wochen zwingt Kasachstan Internet-Zugangs-Anbieter dazu, ihren Kund:innen nach manueller Installation ein Überwachungszertifikat auszuliefern. Nun analysierten US-Forscher:innen diese Maßnahme und fanden unter anderem heraus, dass primär die Web-Angebote von Google-Unternehmen, Facebook und VK abgefangen werden sollen.

Methodik: Vergleich zwischen guter und böser Verbindung

Die Sicherheits-Forscher:innen aus Michigan und Colorado (USA) untersuchen regelmäßig die Internetverbindungen verschiedener Staaten und so auch Kasachstan. Eine Erweiterung, „Server Name Indication“ (SNI) genannt, ermöglicht es, beim Verbindungsaufbau den Namen einer Domain anzugeben und somit aus dem Verkehr herauszufiltern, wie Kasachstan es tat.

Diese Domains könnten und waren in diesem Fall beispielsweise „google.com“ oder „instagram.com“. Wenn die Antwort nach der Anfrage wieder den Server erreicht, ist es möglich auszulesen, ob eine Maschine in der Mitte mit las. Die Forscher:innen schicken nämlich nicht nur Anfragen aus bösartigen Verbindungen, sondern auch gutartige ab. Durch einen Vergleich der Antworten können sie erkennen, ob eine Überwachungsmaßnahme vorliegt.

Alphabet, Facebook, VK

So fanden sie unter anderem heraus, dass die Domains der US-Konzerne Alphabet (ehemals Google) und Facebook primär von den Maßnahmen betroffen sind. Dazu kommt noch das russische soziale Netzwerk VK, das auch in Kasachstan verbreitet ist. Jedoch muss jede Domain einzeln überprüft werden. Die Forscher:innen untersuchten etwa 10.000 unterschiedliche Domains.

Im bisherigen Untersuchungszeitraum trifft die Maßnahme, also dass ein bösartiges Zertifikat ausgeliefert wird, auf folgende Domains zu:

allo.google.com, android.com, cdninstagram.com, dns.google.com, docs.google.com, encrypted.google.com, facebook.com, goo.gl, google.com, groups.google.com, hangouts.google.com, instagram.com, mail.google.com, mail.ru, messages.android.com, messenger.com, news.google.com, ok.ru, picasa.google.com, plus.google.com, rukoeb.com, sites.google.com, sosalkino.tv, tamtam.chat, translate.google.com, twitter.com, video.google.com, vk.com, vk.me, vkuseraudio.net, vkuservideo.net, www.facebook.com, www.google.com, www.instagram.com, www.messenger.com, www.youtube.com, youtube.com

Nur Teile des Landes beim Testlauf betroffen

Die Forschungsgruppe konnte sogar herausfinden, dass nur über einen Internet-Zugangs-Anbieter die beschriebene Überwachungsmaßnahme vorgenommen wird: dem landesgrößten Anbieter „Kazakhtelecom“. Zudem wird die Maßnahme nur bei einigen Verbindungen vorgenommen, nicht etwa bei allen. Die Gruppe schlussfolgert, dass derzeit nicht die gesamte Bevölkerung betroffen ist und es sich außerdem um einen Testlauf handeln könne.

Anmerkung 16:13: Wir haben einen Fehler im zweiten Absatz korrigiert.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

2 Ergänzungen

  1. Der Textabschnitt „Wenn die Antwort nach der Anfrage wieder den Server erreicht, ist es möglich auszulesen, ob eine Maschine in der Mitte mit las.“ ist leider nicht verständlich.

    Der Client macht die Anfrage an den Server, die Antwort kommt also vom Server an den Client. Wie soll dann „die Antwort … wieder den Server“ erreichen? Da stimmt irgendwas nicht in der Formulierung.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.