Eksperiment: Sådan skjuler du brugen af ​​Tor til at omgå blokke

Internetcensur er et stadig vigtigere emne rundt om i verden. Dette fører til et intensiveret "våbenkapløb", da statslige agenturer og private virksomheder i forskellige lande søger at blokere forskelligt indhold og kæmper med måder at omgå sådanne restriktioner på, mens udviklere og forskere stræber efter at skabe effektive værktøjer til at bekæmpe censur.

Forskere fra Carnegie Mellon, Stanford University og SRI Internationale universiteter gennemførte eksperiment, hvor de udviklede en særlig service til at maskere brugen af ​​Tor, et af de mest populære værktøjer til at omgå blokke. Vi præsenterer dig for en historie om det arbejde, som forskerne har udført.

Tor mod blokering

Tor sikrer brugernes anonymitet gennem brug af specielle relæer - det vil sige mellemservere mellem brugeren og det websted, han har brug for. Typisk er flere relæer placeret mellem brugeren og webstedet, som hver især kun kan dekryptere en lille mængde data i den videresendte pakke - lige nok til at finde ud af det næste punkt i kæden og sende det dertil. Som et resultat, selvom et relæ styret af angribere eller censorer føjes til kæden, vil de ikke være i stand til at finde ud af modtageren og destinationen for trafikken.

Tor fungerer effektivt som et anti-censurværktøj, men censorer har stadig mulighed for at blokere det fuldstændigt. Iran og Kina har gennemført vellykkede blokeringskampagner. De var i stand til at identificere Tor-trafik ved at scanne TLS-håndtryk og andre karakteristiske Tor-egenskaber.

Efterfølgende lykkedes det udviklerne at tilpasse systemet til at omgå blokeringen. Censorer reagerede ved at blokere HTTPS-forbindelser til en række forskellige websteder, inklusive Tor. Projektudviklerne skabte obfsproxy-programmet, som desuden krypterer trafik. Denne konkurrence fortsætter konstant.

Indledende data for eksperimentet

Forskerne besluttede at udvikle et værktøj, der ville maskere brugen af ​​Tor, hvilket gør det muligt selv i områder, hvor systemet er fuldstændig blokeret.

• Som indledende antagelser fremlagde videnskabsmænd følgende:
• Censoren kontrollerer et isoleret internt segment af netværket, som forbinder til det eksterne, ucensurerede internet.
• Blokerende myndigheder kontrollerer hele netværksinfrastrukturen inden for det censurerede netværkssegment, men ikke softwaren på slutbrugercomputere.
• Censoren søger at forhindre brugere i at få adgang til materialer, der er uønskede fra hans synspunkt; det antages, at alt sådant materiale er placeret på servere uden for det kontrollerede netværkssegment.
• Routere på omkredsen af ​​dette segment analyserer de ukrypterede data fra alle pakker for at blokere uønsket indhold og forhindre relevante pakker i at trænge ind i omkredsen.
• Alle Tor-relæer er placeret uden for perimeteren.

Hvordan fungerer denne her

For at skjule brugen af ​​Tor skabte forskere StegoTorus-værktøjet. Dens hovedmål er at forbedre Tors evne til at modstå automatiseret protokolanalyse. Værktøjet er placeret mellem klienten og det første relæ i kæden, bruger sin egen krypteringsprotokol og steganografi-moduler for at gøre det svært at identificere Tor-trafik.

Ved første trin kommer et modul kaldet chopper i spil – det konverterer trafikken til en sekvens af blokke af varierende længde, som sendes videre ud af drift.

Data krypteres ved hjælp af AES i GCM-tilstand. Blokhovedet indeholder et 32-bit sekvensnummer, to længdefelter (d og p) - disse angiver mængden af ​​data, et specialfelt F og et 56-bit checkfelt, hvis værdi skal være nul. Den mindste bloklængde er 32 bytes, og den maksimale er 217+32 bytes. Længden styres af steganografi-moduler.

Når en forbindelse er etableret, er de første par bytes information en håndtryksmeddelelse, med dens hjælp forstår serveren, om den har at gøre med en eksisterende eller en ny forbindelse. Hvis forbindelsen hører til et nyt link, svarer serveren med et håndtryk, og hver af udvekslingsdeltagerne udtrækker sessionsnøgler fra den. Derudover implementerer systemet en gentastningsmekanisme - det ligner tildelingen af ​​en sessionsnøgle, men blokke bruges i stedet for håndtrykmeddelelser. Denne mekanisme ændrer sekvensnummeret, men påvirker ikke link-id'et.

Når begge deltagere i kommunikationen har sendt og modtaget finneblokken, lukkes linket. For at beskytte mod gentagelsesangreb eller blokere leveringsforsinkelser skal begge deltagere huske ID'et, hvor længe efter lukningen.

Det indbyggede steganografimodul skjuler Tor-trafik inde i p2p-protokollen - svarende til hvordan Skype fungerer i sikker VoIP-kommunikation. HTTP-steganografi-modulet simulerer ukrypteret HTTP-trafik. Systemet efterligner en rigtig bruger med en almindelig browser.

Modstand mod angreb

For at teste, hvor meget den foreslåede metode forbedrer effektiviteten af ​​Tor, udviklede forskerne to typer angreb.

Den første af disse er at adskille Tor-strømme fra TCP-strømme baseret på de grundlæggende karakteristika ved Tor-protokollen - dette er den metode, der bruges til at blokere det kinesiske regeringssystem. Det andet angreb involverer at studere allerede kendte Tor-streams for at udtrække information om, hvilke websteder brugeren har besøgt.

Forskere bekræftede effektiviteten af ​​den første type angreb mod "vanilla Tor" - til dette indsamlede de spor af besøg på websteder fra top 10 Alexa.com tyve gange gennem almindelig Tor, obfsproxy og StegoTorus med et HTTP-steganografi-modul. CAIDA-datasættet med data på port 80 blev brugt som reference til sammenligning - næsten sikkert alle disse er HTTP-forbindelser.

Forsøget viste, at det er ret nemt at beregne almindelig Tor. Tor-protokollen er for specifik og har en række karakteristika, som er lette at beregne – for eksempel, når man bruger den, varer TCP-forbindelser 20-30 sekunder. Obfsproxy-værktøjet gør heller ikke meget for at skjule disse åbenlyse punkter. StegoTorus genererer til gengæld trafik, der er meget tættere på CAIDA-referencen.

I tilfælde af et besøgte webstedsangreb sammenlignede forskerne sandsynligheden for en sådan dataafsløring i tilfælde af "vanilla Tor" og deres StegoTorus-løsning. Skalaen blev brugt til vurdering AUC (Areal under kurve). Baseret på resultaterne af analysen viste det sig, at i tilfælde af almindelig Tor uden yderligere beskyttelse, er sandsynligheden for at afsløre data om besøgte websteder væsentligt højere.

Konklusion

Historien om konfrontation mellem myndighederne i lande, der indfører censur på internettet, og udviklere af systemer til at omgå blokering antyder, at kun omfattende beskyttelsesforanstaltninger kan være effektive. Brug af kun ét værktøj kan ikke garantere adgang til de nødvendige data, og at information om at omgå blokeringen ikke bliver kendt af censorer.

Når du bruger værktøjer til privatliv og indholdsadgang, er det derfor vigtigt ikke at glemme, at der ikke er nogen ideelle løsninger, og hvor det er muligt, kombinere forskellige metoder for at opnå den største effektivitet.

Nyttige links og materialer fra Infatica:

• Forskning: Oprettelse af en blok-resistent proxy-tjeneste ved hjælp af spilteori
• Historien om kampen mod censur: hvordan flash proxy-metoden skabt af forskere fra MIT og Stanford fungerer
• Sådan forstår du, hvornår proxyer lyver: verifikation af fysiske placeringer af netværksproxyer ved hjælp af den aktive geolocation-algoritme
• Sådan forklæder du dig selv på internettet: sammenligne server- og boligproxyer

Kilde: www.habr.com