Seit knapp zwei Wochen zwingt Kasachstan Internet-Zugangs-Anbieter dazu, ihren Kund:innen nach manueller Installation ein Überwachungszertifikat auszuliefern. Nun analysierten US-Forscher:innen diese Maßnahme und fanden unter anderem heraus, dass primär die Web-Angebote von Google-Unternehmen, Facebook und VK abgefangen werden sollen.
Methodik: Vergleich zwischen guter und böser Verbindung
Die Sicherheits-Forscher:innen aus Michigan und Colorado (USA) untersuchen regelmäßig die Internetverbindungen verschiedener Staaten und so auch Kasachstan. Eine Erweiterung, „Server Name Indication“ (SNI) genannt, ermöglicht es, beim Verbindungsaufbau den Namen einer Domain anzugeben und somit aus dem Verkehr herauszufiltern, wie Kasachstan es tat.
Diese Domains könnten und waren in diesem Fall beispielsweise „google.com“ oder „instagram.com“. Wenn die Antwort nach der Anfrage wieder den Server erreicht, ist es möglich auszulesen, ob eine Maschine in der Mitte mit las. Die Forscher:innen schicken nämlich nicht nur Anfragen aus bösartigen Verbindungen, sondern auch gutartige ab. Durch einen Vergleich der Antworten können sie erkennen, ob eine Überwachungsmaßnahme vorliegt.
Alphabet, Facebook, VK
So fanden sie unter anderem heraus, dass die Domains der US-Konzerne Alphabet (ehemals Google) und Facebook primär von den Maßnahmen betroffen sind. Dazu kommt noch das russische soziale Netzwerk VK, das auch in Kasachstan verbreitet ist. Jedoch muss jede Domain einzeln überprüft werden. Die Forscher:innen untersuchten etwa 10.000 unterschiedliche Domains.
Im bisherigen Untersuchungszeitraum trifft die Maßnahme, also dass ein bösartiges Zertifikat ausgeliefert wird, auf folgende Domains zu:
allo.google.com, android.com, cdninstagram.com, dns.google.com, docs.google.com, encrypted.google.com, facebook.com, goo.gl, google.com, groups.google.com, hangouts.google.com, instagram.com, mail.google.com, mail.ru, messages.android.com, messenger.com, news.google.com, ok.ru, picasa.google.com, plus.google.com, rukoeb.com, sites.google.com, sosalkino.tv, tamtam.chat, translate.google.com, twitter.com, video.google.com, vk.com, vk.me, vkuseraudio.net, vkuservideo.net, www.facebook.com, www.google.com, www.instagram.com, www.messenger.com, www.youtube.com, youtube.com
Nur Teile des Landes beim Testlauf betroffen
Die Forschungsgruppe konnte sogar herausfinden, dass nur über einen Internet-Zugangs-Anbieter die beschriebene Überwachungsmaßnahme vorgenommen wird: dem landesgrößten Anbieter „Kazakhtelecom“. Zudem wird die Maßnahme nur bei einigen Verbindungen vorgenommen, nicht etwa bei allen. Die Gruppe schlussfolgert, dass derzeit nicht die gesamte Bevölkerung betroffen ist und es sich außerdem um einen Testlauf handeln könne.
Anmerkung 16:13: Wir haben einen Fehler im zweiten Absatz korrigiert.
Mittels HTTP Public Key Pinning https://de.wikipedia.org/wiki/HTTP_Public_Key_Pinning sollten die genannten Domainbetreiber doch in der Lage sein den entsprechenden man in the middle Angriff zu verhindern. Wenn alle großen Konzerne und Cloudanbieter das für ihre Services so flächendeckend umsetzen würde es auch für ein Land wie Kasachstan schwierig werden einen solchen Angriff weiter aufrecht zu erhalten.
Der Textabschnitt „Wenn die Antwort nach der Anfrage wieder den Server erreicht, ist es möglich auszulesen, ob eine Maschine in der Mitte mit las.“ ist leider nicht verständlich.
Der Client macht die Anfrage an den Server, die Antwort kommt also vom Server an den Client. Wie soll dann „die Antwort … wieder den Server“ erreichen? Da stimmt irgendwas nicht in der Formulierung.