Satclub-Thueringen | Druckvorschau: Gesamter Internetverkehr in Kasachstan kann überwacht werden

Geschrieben von Fritz Müller am 20.07.2019 um 12:00:

Gesamter Internetverkehr in Kasachstan kann überwacht werden

In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.

Bereits 2015 gab es Pläne, ein staatliches TLS-Root-Zertifikat in Kasachstan einzuführen. Damals wurde die Umsetzung nach starkem Protest allerdings nicht weiter forciert. Das hat sich nun geändert: Seit dem 17. Juli 2019 müssen Internetprovider in Kasachstan ihre Nutzer auf die notwendige Installation eines neuen TLS-Zertifikats namens Qaznet hinweisen. Versuchen die Nutzer, ohne das Zertifikat Webseiten aufzurufen, werden sie automatisch auf eine entsprechende Webseite mit dem Download-Link des Zertifikats umgeleitet. Zuerst hatte das Onlinemagazin Zdnet berichtet.

Der kasachische Mobilfunkprovider Kcell gibt auf seiner Webseite in englischer Sprache Auskunft über die angeblichen Hintergründe dieser Maßnahme: Die Nutzer würden durch das Zertifikat vor Identitätsdiebstahl, Hackern und anderen digitalen Gefahren geschützt. Auch das zuständige kasachische Ministerium nennt diese Gründe in einer entsprechenden Mitteilung. Tatsächlich ermöglicht dieses Zertifikat dem Inhaber, den Inhalt des
gesamten TLS-verschlüsselten Internetverkehrs nach dem sogenannten Man-in-the-Middle-Prinzip zu analysieren und zu modifizieren. Damit kann theoretisch eine vollständige Überwachung und Zensur des Internets
vorgenommen werden. Mit dieser weltweit bisher einmaligen Maßnahme schafft Kasachstan eine Vorlage für andere autoritäre Staaten. So kommentiert der Autor und Experte für Industriespionage James Mulvenon auf Twitter: "Wenn die Welt immer mehr die chinesische und russische Interpretation von Souveränität und Grenzen im Internet akzeptiert, wird das immer häufiger zur Norm werden."

Was machen Mozilla und Google?

Sowohl bei Mozilla als auch bei Google wird darüber diskutiert, wie die Browser-Hersteller mit der neuen Situation umgehen sollen. Sowohl in Firefox als auch in Chrome könnte das Zertifikat blockiert werden. Damit riskieren aber beide Firmen politische Konsequenzen der kasachischen Regierung. Bisher scheint es lediglich einen Konsens darüber zu geben, dass Nutzer visuell besser auf diese potenzielle Sicherheitslücke hingewiesen werden sollen.

golem

Geschrieben von Muad'Dib am 21.07.2019 um 17:26:

verrückt

Kasachstan: Regierung will verschlüsselten Internet-Verkehr überwachen

Internet-Nutzer in Kasachstan müssen ein staatliches Spionage-Zertifikat installieren. Die lokalen Internet Service Provider sind zu dieser Maßnahme gezwungen.

In Kasachstan zwingt die Regierung des Landes offenbar ihre Internet-Nutzer auf Provider-Ebene zur Installation eines staatlichen TLS-Zertifikats, worüber sich sämtlicher per HTTPS verschlüsselter Internet-Verkehr abfangen und entschlüsseln lässt. Alle Internet-Nutzer des zentralasiatischen Landes werden von den lokalen Internet Service Providern (ISP) seit Kurzem angehalten, ein von der Regierung herausgegebenes Zertifikat auf ihren Geräten und in den Browsern zu installieren, damit das Surfen im Netz weiterhin möglich ist, berichtet ZDnet.

User sollen Root-Zertifikat vertrauen

Laut dem ZDnet-Bericht sind die örtlichen ISPs angewiesen, seit Mittwoch dieser Woche ihre Benutzer zur Installation eines vom kasachischen Staat herausgegebenen TLS-Zertifikats als Root-CA (Certificate Authority) in den Pool vertrauenswürdiger Zertifikate zu zwingen. Damit lässt sich aller verschlüsselter Verkehr dechiffrieren und vom Staat filtern (zumindest alle Websites, an denen die Regierung interessiert ist, wie Soziale Medien und Suchmaschinen), was einem Man-in-the-Middle-Angriff (MITM) auf die Netzkommunikation gleichkommt.

Der kasachische Provider Kcell etwa schreibt auf einer englischsprachigen Webseite zur Begründung, die Maßnahme diene dem Schutz des lokalen Internets vor Hackern, Online-Betrügern und anderen Cyber-Bedrohungen. Damit würden die Internetnutzer des Landes vor Hackerangriffen sowie vor dem "Betrachten illegaler Inhalte" geschützt, was eine verklausulierte Formulierung für das Spionage-Interesse des Staates ist.

Installiere man das Zertifikat nicht, könne es "zu Problemen beim Zugriff auf manche Webseiten" kommen, schreibt Kcell in seinen FAQ. Nutzer ohne dieses Zertifikat würden auf eine Webseite mit einer entsprechenden Installationsanweisung umgeleitet, schreibt ZDnet. Auf die Frage in den Kcell-FAQ, ob das Zertifikat den Schutz der persönlichen Daten beeinträchtige, lautet die irreführende Antwort, das Sicherheitszertifikat habe "keinen Zugriff auf persönliche Daten" – tatsächlich haben die kasachischen Behörden damit jeden Zugriff auf vertrauliche Daten, die durch HTTPS-Verbindungen geleitet werden.

Zweiter Versuch Kasachstans nach 2015

Die kasachische Regierung hat zudem versucht, über Mozilla ihre Root-CA in den Pool vertrauenswürdiger CA-Zertifikate des Firefox-Browsers aufnehmen zu lassen. Im Mozilla-Bugtracker wird dieser Versuch abgelehnt, weil er de facto ein MITM-Angriff sei. Dort wird zudem vorgeschlagen, das Zertifikat auf eine Sperrliste zu setzen, damit auch das manuelle Installieren durch den Browser-Benutzer abgelehnt wird. Bereits 2015 unternahm Kasachstan den Versuch, eine eigene Spionage-CA in Firefox zu integrieren, was in Diskussionen einhellig verworfen wurde.

Der Versuch einer quasi 'offiziellen' Spionagemaßnahme des HTTPS-Traffics im eigenen Land per Anweisung an die ISPs wirkt eher hilflos, wenn man ihn mit dem weitaus subtileren Vorgehen von Geheimdiensten und Security-Unternehmen weltweit vergleicht, die eigene CA-Zertifikate zu platzieren versuchen, wie etwa vor einiger Zeit der Fall Darkmatter zeigte. (tiw)

Quelle: https://heise.de/-4475982