Überwachung

Kasachstan überwacht Nutzer von Google, Facebook und VK

Die Republik Kasachstan überwacht ihre Bürger:innen mit einem speziellen Überwachungszertifikat, das zwangsweise installiert werden muss. US-Forscher:innen fanden heraus, welche besuchten Seiten am meisten überwacht werden und dass die Maßnahme derzeit nur in Teilen des Landes angewandt wird.

Symbolbild Infrastruktur
Moderne Infrastrukur in Kasachstan: eine Seltenheit. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Go to Beka Tasmagambet’s profile Beka Tasmagambet

Seit knapp zwei Wochen zwingt Kasachstan Internet-Zugangs-Anbieter dazu, ihren Kund:innen nach manueller Installation ein Überwachungszertifikat auszuliefern. Nun analysierten US-Forscher:innen diese Maßnahme und fanden unter anderem heraus, dass primär die Web-Angebote von Google-Unternehmen, Facebook und VK abgefangen werden sollen.

Methodik: Vergleich zwischen guter und böser Verbindung

Die Sicherheits-Forscher:innen aus Michigan und Colorado (USA) untersuchen regelmäßig die Internetverbindungen verschiedener Staaten und so auch Kasachstan. Eine Erweiterung, „Server Name Indication“ (SNI) genannt, ermöglicht es, beim Verbindungsaufbau den Namen einer Domain anzugeben und somit aus dem Verkehr herauszufiltern, wie Kasachstan es tat.

Diese Domains könnten und waren in diesem Fall beispielsweise „google.com“ oder „instagram.com“. Wenn die Antwort nach der Anfrage wieder den Server erreicht, ist es möglich auszulesen, ob eine Maschine in der Mitte mit las. Die Forscher:innen schicken nämlich nicht nur Anfragen aus bösartigen Verbindungen, sondern auch gutartige ab. Durch einen Vergleich der Antworten können sie erkennen, ob eine Überwachungsmaßnahme vorliegt.

Alphabet, Facebook, VK

So fanden sie unter anderem heraus, dass die Domains der US-Konzerne Alphabet (ehemals Google) und Facebook primär von den Maßnahmen betroffen sind. Dazu kommt noch das russische soziale Netzwerk VK, das auch in Kasachstan verbreitet ist. Jedoch muss jede Domain einzeln überprüft werden. Die Forscher:innen untersuchten etwa 10.000 unterschiedliche Domains.

Im bisherigen Untersuchungszeitraum trifft die Maßnahme, also dass ein bösartiges Zertifikat ausgeliefert wird, auf folgende Domains zu:

allo.google.com, android.com, cdninstagram.com, dns.google.com, docs.google.com, encrypted.google.com, facebook.com, goo.gl, google.com, groups.google.com, hangouts.google.com, instagram.com, mail.google.com, mail.ru, messages.android.com, messenger.com, news.google.com, ok.ru, picasa.google.com, plus.google.com, rukoeb.com, sites.google.com, sosalkino.tv, tamtam.chat, translate.google.com, twitter.com, video.google.com, vk.com, vk.me, vkuseraudio.net, vkuservideo.net, www.facebook.com, www.google.com, www.instagram.com, www.messenger.com, www.youtube.com, youtube.com

Nur Teile des Landes beim Testlauf betroffen

Die Forschungsgruppe konnte sogar herausfinden, dass nur über einen Internet-Zugangs-Anbieter die beschriebene Überwachungsmaßnahme vorgenommen wird: dem landesgrößten Anbieter „Kazakhtelecom“. Zudem wird die Maßnahme nur bei einigen Verbindungen vorgenommen, nicht etwa bei allen. Die Gruppe schlussfolgert, dass derzeit nicht die gesamte Bevölkerung betroffen ist und es sich außerdem um einen Testlauf handeln könne.

Anmerkung 16:13: Wir haben einen Fehler im zweiten Absatz korrigiert.

2 Ergänzungen
  1. Der Textabschnitt „Wenn die Antwort nach der Anfrage wieder den Server erreicht, ist es möglich auszulesen, ob eine Maschine in der Mitte mit las.“ ist leider nicht verständlich.

    Der Client macht die Anfrage an den Server, die Antwort kommt also vom Server an den Client. Wie soll dann „die Antwort … wieder den Server“ erreichen? Da stimmt irgendwas nicht in der Formulierung.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.