In den letzten Jahren wurden die Privatsphäre und die Sicherheit im Internet durch eine stärkere Verschlüsselung und klarere Indikatoren für die Benutzersicherheit erheblich verbessert. Die Verbraucher sind größtenteils in der Lage, fundierte Entscheidungen zum Schutz ihrer Aktivitäten und zur Verhinderung der Profilerstellung durch Dritte zu treffen.
Immer wieder haben ISPs jedoch ihre Bereitschaft bekundet, ihre privilegierte Position zu nutzen, um Informationen über Benutzeraktivitäten zu sammeln und zu verkaufen, invasive Behörden zu verpflichten und Dienste ihrer Konkurrenten einzuschränken. Netzbetreiber, Regierungsbehörden und Werbetreibende können immer noch leicht feststellen, welche Websites oder Anwendungen ein Benutzer besucht und wie häufig er dies wählt. Benutzerprofilerstellung, Bandbreitenmanagement, Verkehrskontrolle und Zensur sind weit verbreitet.
Obwohl es zuverlässige Methoden gibt, um diese Probleme mit einem VPN oder Tor zu umgehen, liegt die Last des Handelns und Verstehens beim Benutzer, von dem sich nur eine kleine Minderheit die dafür erforderlichen zusätzlichen Kosten für Geld, Leistung und Einrichtung leisten kann.
Kurz gesagt, unsere Online-Aktivitäten werden aufgrund systembedingter Lücken in den aktuellen Internetstandards standardmäßig aufgedeckt und ausgenutzt. Netzbetreiber können eine Reihe von restriktiven oder aufdringlichen Richtlinien durchsetzen, die diese Lücke nutzen. Verbraucher benötigen mehr denn je Technologiekorrekturen, um die Sichtbarkeit ihrer Webaktivitäten standardmäßig einzuschränken.
Verbesserungen an Verschlüsselungsstandards wie TLS 1.3 haben einige Sicherheitslücken beseitigt, die sich aus veralteten Chiffren und Algorithmen ergeben, aber es bestehen noch grundlegende Lücken. Daten, die beim Auffinden eines Servers (DNS-Lookup) und Herstellen einer Verbindung damit (TLS mit SNI) übertragen werden, können weiterhin lecken und die von Ihnen besuchten Websites sofort offen legen.
Dies stellt ein grundlegendes Datenschutzproblem dar, das insbesondere für schutzbedürftige Bevölkerungsgruppen unter autoritärer Herrschaft von Belang ist. Es ist auch ein gemeinsames Fenster, durch das Technologieanbieter in “freien” Gesellschaften den Verkehr analysieren und überwachen, um Zensur, Bandbreitendiskriminierung und Überwachung zu erleichtern.
Zwei Standards haben an Dynamik gewonnen, um diese Schwachstellen bei TLS und DNS zu beheben. Diese Vorschläge werden als verschlüsseltes SNI (ESNI) und DNS über HTTPS (DoH) bezeichnet.
In den letzten 12 Monaten haben führende Technologieanbieter wie Cloudflare, Google und Mozilla ihre Absicht bekundet, diese neuen Standards voranzutreiben, um die Datenschutzlücken zu schließen, die Netzwerkanforderungen einer potenziellen Überprüfung aussetzen. Bisher haben nur wenige Menschen das Potenzial dieser neuen Technologien zur Kenntnis genommen oder gar erkannt, die Art und Weise, wie netzwerkweite Richtlinien definiert und durchgesetzt werden, grundlegend zu verändern.
Zusammengenommen haben diese Spezifikationen das Potenzial, unsere Online-Aktivitäten standardmäßig undurchsichtiger und unleserlicher zu machen. Auf einer sehr einfachen Ebene kann verhindert werden, dass ISPs, öffentliche WiFi-Anbieter und andere Personen, die mit Ihren Netzwerkpaketen vertraut sind, Ihre Webzugriffe abhören. Dies ist ein Grundstein für die Dynamik zwischen Betreibern und Anwendungsanbietern und möglicherweise ein großer Gewinn für den Datenschutz und die Anti-Zensur im Allgemeinen.
Die Auflösung von Domänennamen bezieht sich auf den Vorgang, bei dem eine leicht lesbare Internetdomäne (z. B. example.com) mit der zugrunde liegenden IP-Adresse abgeglichen wird, die Computer verstehen können. Es funktioniert jedes Mal, wenn Sie eine URL in Ihren Webbrowser eingeben, und geschieht normalerweise so schnell, dass niemand es bemerkt.
Leider werden diese DNS-Abfragen derzeit im Klartext gesendet, was bedeutet, dass sie von Man in the Middle-Angriffen (MitM) verfolgt, gelesen und geändert werden können. Darüber hinaus kann jede von Ihnen besuchte Website von Ihrem ISP oder VPN-Anbieter protokolliert werden, über die sie von Werbetreibenden und Behörden gesammelt und analysiert werden können.
DNS über HTTPS (DoH) ist ein vorgeschlagenes Protokoll zur Ausführung dieser Remote-DNS-Auflösung über das HTTPS-Protokoll. Die Technologie zielt darauf ab, den Datenschutz und die Sicherheit zu verbessern, indem die Beobachtung und Änderung von DNS-Daten verhindert wird. Google und die Mozilla Foundation testen seit März 2018 Versionen von DoH.
Das Konzept ist einfach: Anstatt DNS-Anforderungen und -Antworten unverschlüsselt zu senden, werden sie in einer HTTPS-GET- oder POST-Anforderung verpackt gesendet. Wenn HTTPS mit TLS verschlüsselt und authentifiziert wird, wird es für einen Angreifer viel schwieriger, sie anzuzeigen oder zu ändern.
DoH wird als in der Entwicklung befindlich angesehen, ist jedoch noch nicht verfügbar: Firefox ‘Nightly-Build enthält bereits DoH-Funktionen unter Verwendung des DNS-Servers 1.1.1.1 von Cloudflare. Dies bietet Einzelpersonen und Organisationen die Möglichkeit, die Technologie zu testen, bevor sie zum Mainstream wird.
Ursprünglich im Jahr 2003 standardisiert, ermöglicht die SNI-Erweiterung (TLS Server Name Indication) einem Server, mehrere HTTPS-Websites unter derselben IP-Adresse zu hosten. Bei der SNI-Erweiterung müssen Clients angeben, zu welcher Website sie während des ersten TLS-Handshakes eine Verbindung herstellen möchten, damit ein Server, der mehrere Domänen hostet, das Zertifikat für die richtige Domäne zurücksenden kann.
Selbst wenn Ihre DNS-Lookups durch DoH geschützt sind, können die Domänen, zu denen Sie eine Verbindung herstellen, dank SNI immer noch lecken, da die Erweiterung den Domänennamen im Klartext überträgt. Sofern kein VPN verwendet wird, können ISPs dies erkennen.
Wie der Name vermuten lässt, ist ESNI eine Version der SNI-Erweiterung, die diese Lücke durch den Austausch symmetrischer Schlüssel verschlüsselt. Nach dem Austausch können nur der DNS-Server und der Client die Erweiterung entschlüsseln und den Domänennamen anzeigen. Dies kann nur mit TLS 1.3 und höher funktionieren.
Die Ankündigung von Cloudflare erläutert diesen Vorgang ausführlich. Die wichtigste Erkenntnis ist jedoch, dass ESNI Dritte wie ISPs, Netzwerkadministratoren und Firewalls daran hindert, die TLS-SNI-Erweiterung abzufangen und zu verwenden, um festzustellen, welche Websites und Anwendungen Benutzer besuchen.
Die weitverbreitete Akzeptanz dieser Technologien hat das Potenzial, die “Standard-Datenschutzeinstellungen” des Internets grundlegend zu ändern. Dies wird die Arbeit von ISPs stören, Technologieanbietern schaden und es viel schwerer machen, Inhalte zu zensieren und Benutzer massenhaft zu überwachen.
In Bezug auf den Datenschutz können sowohl DoH als auch ESNI die aktuellen Standards für die Überwachung von Massengütern erheblich beeinträchtigen. In Großbritannien beispielsweise zwingt der Investigatory Powers Act von 2016 ISPs dazu, eine Aufzeichnung der von Bürgern besuchten Websites für 12 Monate zu speichern, indem DNS-Anfragen gesammelt werden. ISPs überwachen an anderer Stelle häufig DNS-Abfragen, um sie an Werbetreibende zu verkaufen oder die Zensur zu erleichtern. Unter DoH werden diese Daten verschlüsselt und sind im Wesentlichen wertlos.
Es ist jedoch wichtig zu beachten, dass DoH zwar Suchvorgänge sowohl vor Ihrem ISP als auch vor dem VPN-Anbieter verbirgt, diese jedoch nicht vor Ihrem DNS-Anbieter verbirgt, der sie gegebenenfalls an Behörden weiterleitet, wenn er dazu verpflichtet ist.
Natürlich ist es auch möglich, die ISP-Überwachung und -Zensur zu umgehen, indem Sie ein VPN (Virtual Private Network) verwenden, um Ihren Datenverkehr zu verschlüsseln. Dies sichert Ihre Verbindung, jedoch nicht ohne Einschränkungen. Ihr VPN-Anbieter kann Ihre DNS-Abfragen weiterhin sehen und diese Daten möglicherweise an Behörden weiterleiten, wenn diese an der Protokollierung teilnehmen und dazu aufgefordert werden. VPNs mit schlechter Qualität können auch DNS-Daten verlieren, wenn sie nicht ordnungsgemäß entwickelt oder konfiguriert wurden.
Zusätzlich zu diesen Datenschutzvorteilen können sowohl ESNI als auch DoH die Möglichkeiten der staatlichen Zensur erheblich einschränken.
Die DNS-Blockierung ist eines der detailliertesten Tools, mit denen ISPs behördliche und behördliche Blockierungsanweisungen implementieren. Gegenwärtig verwenden die meisten angeschlossenen Geräte die auf ihrem Betriebssystem festgelegten Standard-DNS-Funktionen des Internetdienstanbieters. Im Gegensatz dazu wird die frühzeitige Einführung von DoH wahrscheinlich durch zentralisierte Cloud-Anbieter von Drittanbietern wie Cloudflare, Google oder Mozilla vorangetrieben.
Wenn Sie zu einem DoH-Anbieter eines Drittanbieters wechseln, werden ISPs aus dem DNS-Pfad entfernt und vorhandene domänenspezifische Blöcke umgangen. Regierungen, die bestimmte Websites zensieren möchten, müssen sich stattdessen möglicherweise an die DoH-Anbieter wenden, die möglicherweise außerhalb der Zuständigkeit der anfragenden Regierung liegen.
Darüber hinaus können diese Protokolle alle auf Port 443 ausgeführt werden – dem Standard, auf dem der Großteil des Webs ausgeführt wird. Wenn DoH und ESNI über Port 443 von ganzen Cloud-Anbietern wie Google, Cloudflare und Amazon übernommen werden, können repressive Behörden bestimmte Websites nicht blockieren, ohne diese Plattformen oder die Hälfte des Webs vollständig damit zu blockieren. Dies ist als Sicherheitenfreiheit bekannt.
Natürlich waren diese Entwicklungen mit einem derart breiten Störungspotential nicht ohne Widerstände. Internationale Behörden, darunter das britische National Cyber Security Centre (NCSC), haben Bedenken geäußert, dass der unerwartet schnelle Einsatz von ESNI und DoH die Online-Überwachung von Terrorismus und anderen illegalen Inhalten gefährden könnte.
Das Problem hat in den letzten Monaten zugenommen, als Google die Implementierung von DoH als Teil seines öffentlichen DNS-Systems (8.8.8.8/8.8.4.4) ankündigte. Dies wird in Kürze in Chrome unterstützt und ist bereits in Android 9 verfügbar. Die bloße Tatsache, dass es überhaupt in Android ist, ist ein starkes Signal für die Branche, dass der DNS-Datenschutz jetzt einen starken Rückhalt hat.
Nicht jeder ist mit diesen Entwicklungen zufrieden, nicht zuletzt, weil sie Anbietern wie Google und Cloudflare sehr vertrauen, die möglicherweise eine noch wichtigere Rolle im Online-Ökosystem spielen. Dies betrifft zu Recht diejenigen, die der Meinung sind, dass die Technologiegiganten bereits zu groß sind, um zu scheitern.
Trotz dieser Bedenken scheint die weit verbreitete Übernahme dieser Standards nur eine Frage der Zeit zu sein. Obwohl dies nicht über Nacht geschehen wird, erleben wir möglicherweise einen Übergang von einer Welt, in der jeder implizit auf Ihre Online-Aktivität schließen kann, zu einer Welt, in der der Kontext sicher zwischen vertrauenswürdigen Parteien ausgetauscht wird.
Damit dieser Ansatz den heutigen Status Quo ersetzen kann, ist eine breite Unterstützung in gängigen Browsern und mobilen Netzwerkstacks erforderlich. Datenschutzinteressierte Benutzer müssen an möglichst vielen Orten auf ihre Akzeptanz drängen und breitere Communities über die grundlegenden Sicherheitsrisiken aufklären, die ihre Entwicklung erfordern. Zu diesem Zweck sind Kurse wie die EC-Council Certified Ethical Hacker Certification online verfügbar, um den Verbrauchern ein umfassendes Verständnis der Online-Angriffsmethoden und ihrer jeweiligen Gegenmaßnahmen zu vermitteln.
Google hat mit seinem Antrieb für HTTPS zweifellos die Welt verändert. Wir müssen dasselbe mit anderen Protokollen tun und die Lücken, die in unserem aktuellen Modell bestehen, offiziell schließen. Das Internet des 20. Jahrhunderts muss abgeschaltet und durch eines ersetzt werden, das die Rechte unserer Bürger auf Privatsphäre und Online-Freiheit wirklich respektiert.
-
Online-Zensur ist in der heutigen hyper-vernetzten Welt ein zunehmend kontroverses Thema, und das Thema ist…read more -
Der Prozess gegen Lu Wei begann am Freitag, einem ehemaligen Leiter der Cyberspace Administration of…read more -
Die Cyberspace Administration of China (CAC), die ultimative Zensurbehörde des Landes, hat einen ersten Entwurf…read more