Eksperiment: Hoe om die gebruik van Tor te verdoesel om blokke te omseil

Internetsensuur is 'n toenemend belangrike kwessie regoor die wêreld. Dit lei tot 'n toenemende "wapenwedloop" aangesien regeringsagentskappe en private korporasies in verskillende lande verskeie inhoud probeer blokkeer en sukkel met maniere om sulke beperkings te omseil, terwyl ontwikkelaars en navorsers daarna streef om doeltreffende instrumente te skep om sensuur te bekamp.

Wetenskaplikes van Carnegie Mellon, Stanford Universiteit en SRI Internasionale universiteite het uitgevoer 'n eksperiment, waartydens hulle 'n spesiale diens ontwikkel het om die gebruik van Tor, een van die gewildste instrumente om blokke te omseil, te verberg. Ons bied aan jou 'n storie oor die werk wat deur die navorsers gedoen is.

Tor teen blokkering

Tor verseker die anonimiteit van gebruikers deur die gebruik van spesiale relais - dit wil sê tussenbedieners tussen die gebruiker en die webwerf wat hy benodig. Tipies is verskeie relais geleë tussen die gebruiker en die webwerf, wat elkeen slegs 'n klein hoeveelheid data in die aangestuurde pakkie kan dekripteer - net genoeg om die volgende punt in die ketting uit te vind en dit daarheen te stuur. As gevolg hiervan, selfs as 'n aflos wat deur aanvallers of sensors beheer word, by die ketting gevoeg word, sal hulle nie die geadresseerde en bestemming van die verkeer kan uitvind nie.

Tor werk effektief as 'n instrument teen sensuur, maar sensors het steeds die vermoë om dit heeltemal te blokkeer. Iran en China het suksesvolle blokkeringsveldtogte gevoer. Hulle kon Tor-verkeer identifiseer deur TLS-handdrukke en ander kenmerkende Tor-kenmerke te skandeer.

Daarna het die ontwikkelaars daarin geslaag om die stelsel aan te pas om die blokkering te omseil. Sensors het gereageer deur HTTPS-verbindings na 'n verskeidenheid werwe, insluitend Tor, te blokkeer. Die projekontwikkelaars het die obfsproxy-program geskep, wat ook verkeer enkripteer. Hierdie kompetisie duur voortdurend voort.

Aanvanklike data van die eksperiment

Die navorsers het besluit om 'n instrument te ontwikkel wat die gebruik van Tor sal masker, wat die gebruik daarvan moontlik maak selfs in streke waar die stelsel heeltemal geblokkeer is.

• As aanvanklike aannames het wetenskaplikes die volgende voorgehou:
• Die sensor beheer 'n geïsoleerde interne segment van die netwerk, wat aan die eksterne, ongesensureerde internet koppel.
• Blokkeerowerhede beheer die hele netwerkinfrastruktuur binne die gesensorde netwerksegment, maar nie die sagteware op eindgebruikersrekenaars nie.
• Die sensor poog om gebruikers te verhoed om toegang te verkry tot materiaal wat uit sy oogpunt ongewens is; daar word aanvaar dat al sulke materiaal op bedieners buite die beheerde netwerksegment geleë is.
• Roeteerders aan die omtrek van hierdie segment ontleed die ongeënkripteerde data van alle pakkies om ongewenste inhoud te blokkeer en te verhoed dat relevante pakkies die omtrek binnedring.
• Alle Tor-relais is buite die omtrek geleë.

Hoe werk dit

Om die gebruik van Tor te verdoesel, het navorsers die StegoTorus-instrument geskep. Die hoofdoel daarvan is om Tor se vermoë om geoutomatiseerde protokolanalise te weerstaan, te verbeter. Die instrument is tussen die kliënt en die eerste aflos in die ketting geleë, gebruik sy eie enkripsieprotokol en steganografie-modules om dit moeilik te maak om Tor-verkeer te identifiseer.

By die eerste stap kom 'n module genaamd chopper ter sprake - dit skakel verkeer om in 'n reeks blokke van verskillende lengtes, wat verder buite werking gestuur word.

Data word geïnkripteer met AES in GCM-modus. Die blokopskrif bevat 'n 32-bis-volgnommer, twee lengtevelde (d en p) - dit dui die hoeveelheid data aan, 'n spesiale veld F en 'n 56-bis-kontroleveld, waarvan die waarde nul moet wees. Die minimum bloklengte is 32 grepe, en die maksimum is 217+32 grepe. Die lengte word beheer deur steganografie-modules.

Wanneer 'n verbinding tot stand gebring word, is die eerste paar grepe inligting 'n handdrukboodskap, met die hulp daarvan verstaan ​​die bediener of dit met 'n bestaande of 'n nuwe verbinding te doen het. As die verbinding aan 'n nuwe skakel behoort, reageer die bediener met 'n handdruk, en elkeen van die uitruildeelnemers haal sessiesleutels daaruit. Daarbenewens implementeer die stelsel 'n hersleutelmeganisme - dit is soortgelyk aan die toekenning van 'n sessiesleutel, maar blokke word gebruik in plaas van handdrukboodskappe. Hierdie meganisme verander die volgordenommer, maar beïnvloed nie die skakel-ID nie.

Sodra beide deelnemers aan die kommunikasie die vinblok gestuur en ontvang het, word die skakel gesluit. Om teen herhalingsaanvalle te beskerm of afleweringsvertragings te blokkeer, moet beide deelnemers die ID onthou vir hoe lank ná sluiting.

Die ingeboude steganografie-module verberg Tor-verkeer binne die p2p-protokol - soortgelyk aan hoe Skype werk in veilige VoIP-kommunikasie. Die HTTP-steganografie-module simuleer ongeënkripteerde HTTP-verkeer. Die stelsel boots 'n regte gebruiker na met 'n gewone blaaier.

Weerstand teen aanvalle

Om te toets hoeveel die voorgestelde metode die doeltreffendheid van Tor verbeter, het die navorsers twee soorte aanvalle ontwikkel.

Die eerste hiervan is om Tor-strome van TCP-strome te skei op grond van die fundamentele kenmerke van die Tor-protokol - dit is die metode wat gebruik word om die Chinese regeringstelsel te blokkeer. Die tweede aanval behels die bestudering van reeds bekende Tor-strome om inligting te onttrek oor watter werwe die gebruiker besoek het.

Navorsers het die doeltreffendheid van die eerste tipe aanval teen "vanilla Tor" bevestig - hiervoor het hulle twintig keer spore van besoeke aan webwerwe van die top 10 Alexa.com versamel deur gereelde Tor, obfsproxy en StegoTorus met 'n HTTP-steganografie-module. Die CAIDA-datastel met data op poort 80 is as 'n verwysing vir vergelyking gebruik - byna seker almal hiervan is HTTP-verbindings.

Die eksperiment het getoon dat dit redelik maklik is om gewone Tor te bereken. Die Tor-protokol is te spesifiek en het 'n aantal kenmerke wat maklik is om te bereken - byvoorbeeld, wanneer dit gebruik word, duur TCP-verbindings 20-30 sekondes. Die Obfsproxy-instrument doen ook min om hierdie ooglopende oomblikke weg te steek. StegoTorus genereer op sy beurt verkeer wat baie nader aan die CAIDA-verwysing is.

In die geval van 'n besoekte webwerwe-aanval, het die navorsers die waarskynlikheid van sulke data-openbaarmaking vergelyk in die geval van "vanilla Tor" en hul StegoTorus-oplossing. Die skaal is vir assessering gebruik AOK (Gebied onder kromme). Op grond van die resultate van die analise het dit geblyk dat in die geval van gereelde Tor sonder bykomende beskerming, die waarskynlikheid dat data oor besoekte webwerwe bekend gemaak word, aansienlik hoër is.

Gevolgtrekking

Die geskiedenis van konfrontasie tussen die owerhede van lande wat sensuur op die internet instel en ontwikkelaars van stelsels om blokkering te omseil, dui daarop dat slegs omvattende beskermingsmaatreëls effektief kan wees. Die gebruik van slegs een instrument kan nie toegang tot die nodige data waarborg nie en dat inligting oor die omseil van die blok nie aan sensors bekend sal word nie.

Daarom, wanneer u enige privaatheid- en inhoudtoegangsinstrumente gebruik, is dit belangrik om nie te vergeet dat daar geen ideale oplossings is nie, en waar moontlik verskillende metodes te kombineer om die grootste doeltreffendheid te bereik.

Nuttige skakels en materiaal van Infatica:

• Navorsing: Skep 'n blokkeerbestande instaanbediener met behulp van spelteorie
• Die geskiedenis van die stryd teen sensuur: hoe die flash proxy-metode wat deur wetenskaplikes van MIT en Stanford geskep is, werk
• Hoe om te verstaan ​​wanneer gevolmagtigdes lieg: verifikasie van fisiese liggings van netwerkgevolmagtigdes met behulp van die aktiewe geoligging-algoritme
• Hoe om jouself op die internet te vermom: vergelyk bediener- en inwonende gevolmagtigdes

Bron: will.com