التجربة: كيفية إخفاء استخدام Tor لتجاوز الحجب

تعتبر الرقابة على الإنترنت قضية ذات أهمية متزايدة في جميع أنحاء العالم. ويؤدي هذا إلى تكثيف "سباق التسلح" حيث تسعى الوكالات الحكومية والشركات الخاصة في مختلف البلدان إلى حظر محتوى مختلف وتكافح من أجل إيجاد طرق للتحايل على هذه القيود، بينما يسعى المطورون والباحثون إلى إنشاء أدوات فعالة لمكافحة الرقابة.

أجرى علماء من جامعة كارنيجي ميلون وجامعة ستانفورد وجامعات SRI الدولية تجربة، حيث قاموا بتطوير خدمة خاصة لإخفاء استخدام Tor، أحد أشهر الأدوات لتجاوز الكتل. نقدم لكم قصة عن العمل الذي قام به الباحثون.

تور ضد الحجب

يضمن Tor عدم الكشف عن هوية المستخدمين من خلال استخدام مرحلات خاصة - أي خوادم وسيطة بين المستخدم والموقع الذي يحتاجه. عادة، توجد عدة مرحلات بين المستخدم والموقع، كل منها يمكنه فك تشفير كمية صغيرة فقط من البيانات في الحزمة المعاد توجيهها - وهو ما يكفي فقط لمعرفة النقطة التالية في السلسلة وإرسالها إلى هناك. ونتيجة لذلك، حتى إذا تمت إضافة مرحل يتحكم فيه المهاجمون أو الرقباء إلى السلسلة، فلن يتمكنوا من معرفة المرسل إليه ووجهة حركة المرور.

يعمل Tor بشكل فعال كأداة لمكافحة الرقابة، لكن لا يزال لدى الرقابة القدرة على حظره بالكامل. وقد أجرت إيران والصين حملات حجب ناجحة. لقد تمكنوا من تحديد حركة مرور Tor عن طريق مسح مصافحة TLS وخصائص Tor المميزة الأخرى.

وفي وقت لاحق، تمكن المطورون من تكييف النظام لتجاوز الحظر. استجاب المراقبون بحظر اتصالات HTTPS لمجموعة متنوعة من المواقع، بما في ذلك Tor. أنشأ مطورو المشروع برنامج obfsproxy، الذي يقوم أيضًا بتشفير حركة المرور. وتستمر هذه المنافسة باستمرار.

البيانات الأولية للتجربة

قرر الباحثون تطوير أداة من شأنها إخفاء استخدام Tor، مما يجعل استخدامها ممكنًا حتى في المناطق التي يكون فيها النظام محظورًا تمامًا.

• كافتراضات أولية، طرح العلماء ما يلي:
• يتحكم الرقيب في جزء داخلي معزول من الشبكة، والذي يتصل بالإنترنت الخارجي غير الخاضع للرقابة.
• تتحكم سلطات الحظر في البنية التحتية للشبكة بالكامل ضمن قطاع الشبكة الخاضع للرقابة، ولكن ليس البرامج الموجودة على أجهزة كمبيوتر المستخدم النهائي.
• يسعى الرقيب إلى منع المستخدمين من الوصول إلى المواد غير المرغوب فيها من وجهة نظره، ويفترض أن جميع هذه المواد موجودة على خوادم خارج قطاع الشبكة الخاضع للتحكم.
• تقوم أجهزة التوجيه الموجودة على محيط هذا المقطع بتحليل البيانات غير المشفرة لجميع الحزم لحظر المحتوى غير المرغوب فيه ومنع الحزم ذات الصلة من اختراق المحيط.
• توجد جميع مرحلات Tor خارج المحيط.

كيف يعمل هذا؟

لإخفاء استخدام Tor، أنشأ الباحثون أداة StegoTorus. هدفها الرئيسي هو تحسين قدرة Tor على مقاومة التحليل الآلي للبروتوكول. تقع الأداة بين العميل والمرحل الأول في السلسلة، وتستخدم بروتوكول التشفير الخاص بها ووحدات إخفاء المعلومات لتجعل من الصعب تحديد حركة مرور Tor.

في الخطوة الأولى، يتم تشغيل وحدة تسمى المروحية - فهي تحول حركة المرور إلى سلسلة من الكتل ذات الأطوال المختلفة، والتي يتم إرسالها خارج النظام.

يتم تشفير البيانات باستخدام AES في وضع GCM. يحتوي رأس الكتلة على رقم تسلسلي 32 بت، وحقلين طوليين (d وp) - يشيران إلى كمية البيانات، وحقل خاص F وحقل فحص 56 بت، يجب أن تكون قيمته صفرًا. الحد الأدنى لطول الكتلة هو 32 بايت، والحد الأقصى هو 217+32 بايت. يتم التحكم في الطول بواسطة وحدات إخفاء المعلومات.

عند إنشاء اتصال، تكون البايتات القليلة الأولى من المعلومات عبارة عن رسالة مصافحة، وبمساعدتها يفهم الخادم ما إذا كان يتعامل مع اتصال موجود أم جديد. إذا كان الاتصال ينتمي إلى رابط جديد، فإن الخادم يستجيب بالمصافحة، ويقوم كل من المشاركين في التبادل باستخراج مفاتيح الجلسة منه. بالإضافة إلى ذلك، ينفذ النظام آلية إعادة المفاتيح - وهي تشبه تخصيص مفتاح الجلسة، ولكن يتم استخدام الكتل بدلاً من رسائل المصافحة. تعمل هذه الآلية على تغيير الرقم التسلسلي، ولكنها لا تؤثر على معرف الارتباط.

بمجرد قيام كلا المشاركين في الاتصال بإرسال واستلام كتلة الزعانف، يتم إغلاق الرابط. للحماية من هجمات إعادة التشغيل أو منع تأخير التسليم، يجب على كلا المشاركين تذكر المعرف إلى متى بعد الإغلاق.

تعمل وحدة إخفاء المعلومات المضمنة على إخفاء حركة مرور Tor داخل بروتوكول p2p - على غرار الطريقة التي يعمل بها Skype في اتصالات VoIP الآمنة. تحاكي وحدة إخفاء المعلومات HTTP حركة مرور HTTP غير المشفرة. يحاكي النظام المستخدم الحقيقي بمتصفح عادي.

مقاومة الهجمات

ومن أجل اختبار مدى تحسين الطريقة المقترحة لكفاءة تور، طور الباحثون نوعين من الهجمات.

أولها هو فصل تدفقات Tor عن تدفقات TCP بناءً على الخصائص الأساسية لبروتوكول Tor - وهذه هي الطريقة المستخدمة لحظر نظام الحكومة الصينية. يتضمن الهجوم الثاني دراسة تدفقات Tor المعروفة بالفعل لاستخراج معلومات حول المواقع التي زارها المستخدم.

أكد الباحثون فعالية النوع الأول من الهجوم ضد "vanilla Tor" - ولهذا قاموا بجمع آثار الزيارات إلى مواقع من أفضل 10 مواقع Alexa.com عشرين مرة من خلال Tor العادي وobfsproxy وStegoTorus باستخدام وحدة إخفاء المعلومات HTTP. تم استخدام مجموعة بيانات CAIDA مع البيانات الموجودة على المنفذ 80 كمرجع للمقارنة - ومن المؤكد تقريبًا أن جميع هذه الاتصالات هي اتصالات HTTP.

أظهرت التجربة أنه من السهل جدًا حساب Tor العادي. بروتوكول Tor محدد للغاية ويحتوي على عدد من الخصائص التي يسهل حسابها - على سبيل المثال، عند استخدامه، تستمر اتصالات TCP لمدة 20-30 ثانية. لا تفعل أداة Obfsproxy أيضًا الكثير لإخفاء هذه اللحظات الواضحة. يقوم StegoTorus بدوره بإنشاء حركة مرور أقرب بكثير إلى مرجع CAIDA.

في حالة الهجوم على المواقع التي تمت زيارتها، قارن الباحثون احتمالية الكشف عن هذه البيانات في حالة "vanilla Tor" وحل StegoTorus الخاص بهم. تم استخدام المقياس للتقييم AUC (المساحة تحت المنحنى). وبناء على نتائج التحليل، اتضح أنه في حالة Tor العادي دون حماية إضافية، فإن احتمال الكشف عن البيانات حول المواقع التي تمت زيارتها أعلى بكثير.

اختتام

إن تاريخ المواجهة بين سلطات البلدان التي تفرض الرقابة على الإنترنت ومطوري أنظمة تجاوز الحجب يشير إلى أن تدابير الحماية الشاملة فقط هي التي يمكن أن تكون فعالة. إن استخدام أداة واحدة فقط لا يمكن أن يضمن الوصول إلى البيانات الضرورية ولن تصبح المعلومات المتعلقة بتجاوز الحظر معروفة للرقابة.

لذلك، عند استخدام أي أدوات للخصوصية والوصول إلى المحتوى، من المهم ألا ننسى أنه لا توجد حلول مثالية، وحيثما أمكن، الجمع بين الأساليب المختلفة لتحقيق أكبر قدر من الفعالية.

روابط ومواد مفيدة من إنفاتيكا:

• البحث: إنشاء خدمة بروكسي مقاومة للكتل باستخدام نظرية اللعبة
• تاريخ الكفاح ضد الرقابة: كيف تعمل طريقة وكيل الفلاش التي ابتكرها علماء من معهد ماساتشوستس للتكنولوجيا وستانفورد
• كيف نفهم متى يكذب الوكلاء: التحقق من المواقع المادية لوكلاء الشبكة باستخدام خوارزمية تحديد الموقع الجغرافي النشطة
• كيف تتنكر على الإنترنت: مقارنة الخادم والبروكسيات السكنية

المصدر: www.habr.com