密歇根大学的研究人员研究了哈萨克斯坦的国营互联网监控项目。通过扫描,他们发现了37个受监控域,这些域使用TLS扩展SNI过滤掉。
在哈萨克斯坦,最近要求互联网用户在访问某些网站时安装政府TLS证书。这允许监视和审查本地Internet流量。密歇根大学的截尾星球项目分析了该技术。一项研究确定了37个受影响的域,并解释了如何实施TLS协议的SNI扩展监控。
截尾星球检测到2019年7月17日首次注入州TLS证书。该组织使用其Hyperquack软件定期扫描170个州,以便在互联网上进行审查。扫描使用TLS扩展SNI(服务器名称指示)。该扩展通过在建立加密连接时传输未加密的相应域,使得能够在IP地址上操作多个TLS加密域。截尾星球建立了与各种服务器的TLS连接,并且作为SNI,经常引用被删除的域。此请求的答案表明连接是否受到中间人攻击的影响。
必须满足三个条件
通过这种方法和进一步的测试,截尾星球能够确定审查只能由国家电信提供商Kazakhtelecom进行。该国的其他互联网服务提供商尚未受到审查制度的影响。除了通过Kazakhtelecom的连接之外,还必须满足其他条件:SNI必须包含一个受监控的域,并且所请求的服务器必须使用合法证书进行响应,然后将其替换。然而,这不一定对应于SNI中的域。
但是,互联网工程任务组(IETF)目前正在研究SNI的加密版本。这项工作得到了Mozilla,Fastly,Cloudflare和Apple的支持和推动。通过此ESNI,以当前形式监控哈萨克斯坦的互联网不太可行。但是,系统可以很容易地适应它,例如操纵DNS流量。
研究人员怀疑该系统仍在试运行中。作为一种迹象,他们在2019年7月22日早些时候看到了证书交换暂停9小时。
受影响的域名
声称安装TLS证书的网站声称这样做是为了保护用户免受欺诈者和黑客的侵害。这种可疑的推理不应该是证书交换的实际原因,可以从选择交换证书的域中轻松读取。其中包括谷歌,社交网络,信使和电子邮件提供商提供的服务,以及包含色情内容的网页。
所有受影响的域名:allo.google.com,android.com,cdninstagram.com,dns.google.com,docs.google.com,encrypted.google.com,facebook.com,goo.gl,google.com,群组。 google.com,hangouts.google.com,instagram.com,mail.google.com,mail.ru,messages.android.com,messenger.com,news.google.com,ok.ru,picasa.google.com, plus.google.com,rukoeb.com,sites.google.com,sosalkino.tv,tamtam.chat,translate.google.com,twitter.com,video.google.com,vk.com,vk.me,vkuseraudio。 net,vkuservideo.net,www.facebook.com,www.google.com,www.instagram.com,www.messenger.com,www.youtube.com,youtube.com。