Zensur im Internet wird weltweit zu einem immer wichtigeren Thema. Dies fĂŒhrt zu einem verstĂ€rkten âWettrĂŒstenâ â staatliche Stellen und private Unternehmen in verschiedenen LĂ€ndern versuchen, Inhalte zu blockieren und entwickeln GegenmaĂnahmen gegen Umgehungsmethoden, wĂ€hrend Entwickler und Forscher effektive Werkzeuge zur BekĂ€mpfung von Zensur schaffen.
Wissenschaftler der Carnegie Mellon University, der Stanford University und von SRI International haben , im Rahmen dessen ein spezielles Service zur Maskierung der Nutzung von Tor â einem der beliebtesten Tools zum Umgehen von Blockaden â entwickelt. Hier prĂ€sentieren wir Ihnen einen Bericht ĂŒber die geleistete Arbeit der Forscher.
Tor gegen Blockaden
Tor sorgt fĂŒr die AnonymitĂ€t der Benutzer durch den Einsatz spezieller Relays â also Zwischenserver zwischen dem Benutzer und der gewĂŒnschten Website. In der Regel befinden sich mehrere Relays zwischen dem Benutzer und der Website, wobei jedes Relais lediglich einen kleinen Teil der in einem Paket gesendeten Daten entschlĂŒsseln kann â genug, um den nĂ€chsten Punkt in der Kette zu erkennen und das Paket dorthin weiterzuleiten. Selbst wenn Relays, die von Angreifern oder Zensoren kontrolliert werden, zur Kette hinzugefĂŒgt werden, ist es ihnen nicht möglich, sowohl den Absender als auch das Ziel des Verkehrs zu identifizieren.
Als Werkzeug im Kampf gegen Zensur funktioniert Tor effektiv, jedoch haben Zensoren die Möglichkeit, es vollstĂ€ndig zu blockieren. Iran und China haben erfolgreiche Kampagnen zur Blockierung durchgefĂŒhrt. Ihnen gelang es, Tor-Verkehr durch das Scannen von TLS-Handshake und anderen charakteristischen Merkmalen von Tor zu identifizieren.
SchlieĂlich gelang es den Entwicklern, das System so anzupassen, dass Zensuren umgangen werden können. Die Zensoren reagierten mit Blockierungen von HTTPS-Verbindungen zu zahlreichen Websites, einschlieĂlich Tor. Die Entwickler des Projekts erstellten das Programm obfsproxy, das den Datenverkehr zusĂ€tzlich verschlĂŒsselt. Dieser Wettbewerb dauert ununterbrochen an.
Ausgangsdaten des Experiments
Die Forscher beschlossen, ein Werkzeug zu entwickeln, das die Nutzung von Tor maskiert, um dessen Anwendung auch in Regionen zu ermöglichen, in denen das System vollstÀndig blockiert ist.
- Als Ausgangshypothesen hatten die Wissenschaftler Folgendes formuliert:
- Der Zensor kontrolliert ein isoliertes internes Netzwerksegment, das mit dem externen unzensierten Internet verbunden ist.
- Die Instanzen, die fĂŒr die Blockierungen verantwortlich sind, kontrollieren die gesamte Netzwerk-Infrastruktur innerhalb des zensierten Segments, jedoch nicht die Software auf den Computern der Endnutzer.
- Der Zensor versucht, den Benutzern den Zugang zu Materialien zu verwehren, die aus seiner Sicht unerwĂŒnscht sind, wobei angenommen wird, dass sich alle solchen Materialien auf Servern auĂerhalb des kontrollierten Netzwerks befinden.
- Die Router am Rand dieses Segments analysieren unverschlĂŒsselte Daten aller Pakete, um unerwĂŒnschte Inhalte zu blockieren und das Eindringen entsprechender Pakete innerhalb des Perimeters zu verhindern.
- Alle Tor-Relais befinden sich auĂerhalb des Perimeters.
Wie es funktioniert
Um die Verwendung von Tor zu verschleiern, haben Forscher das Werkzeug StegoTorus entwickelt. Seine Hauptaufgabe besteht darin, die FĂ€higkeiten von Tor zur WiderstandsfĂ€higkeit gegen automatisierte Protokollanalysen zu verbessern. Das Werkzeug befindet sich zwischen dem Client und dem ersten Relais in der Kette, nutzt ein eigenes VerschlĂŒsselungsprotokoll und steganographische Module, um die Identifizierung von Tor-Verkehr zu erschweren.
Im ersten Schritt kommt ein Modul namens Chopper zum Einsatz â es wandelt den Verkehr in eine Sequenz von Blöcken unterschiedlicher LĂ€nge um, die dann in unregelmĂ€Ăiger Reihenfolge weitergesendet werden.

Die Daten werden mit AES im GCM-Modus verschlĂŒsselt. Der Blockheader enthĂ€lt eine 32-Bit-Sequenznummer, zwei LĂ€ngenfelder (d und p), die die Datenmenge angeben, ein spezielles Feld F sowie ein 56-Bit-PrĂŒffeld, dessen Wert null sein muss. Die MindestblocklĂ€nge betrĂ€gt 32 Byte, wĂ€hrend die maximale LĂ€nge 217 + 32 Byte betrĂ€gt. Die LĂ€nge wird durch Steganographie-Module kontrolliert.
Beim Aufbau der Verbindung sind die ersten paar Bytes der gesendeten Informationen eine Handshake-Nachricht, die es dem Server ermöglicht zu erkennen, ob es sich um eine bereits bestehende oder um eine neue Verbindung handelt. Wenn die Verbindung zu einem neuen Link gehört, antwortet der Server mit einem Handshake, und jeder Teilnehmer des Austausches extrahiert daraus die SitzungsschlĂŒssel. DarĂŒber hinaus gibt es im System einen Rekeying-Mechanismus â dieser ist Ă€hnlich der Bereitstellung von SitzungsschlĂŒsseln, allerdings werden anstelle von Handshake-Nachrichten Blöcke verwendet. Dieser Mechanismus Ă€ndert die Sequenznummer, lĂ€sst jedoch die Link-ID unverĂ€ndert.
Nachdem beide Teilnehmer des Datenaustauschs den Fin-Block gesendet und empfangen haben, wird die Verbindung geschlossen. Um vor Replay-Angriffen oder Verzögerungen bei der Zustellung von Blöcken zu schĂŒtzen, mĂŒssen beide Teilnehmer die ID fĂŒr eine bestimmte Zeit nach der SchlieĂung im GedĂ€chtnis behalten.
Das integrierte Steganografie-Modul verbirgt den Tor-Verkehr innerhalb des p2p-Protokolls â Ă€hnlich wie bei Skype wĂ€hrend geschĂŒtzter VoIP-Kommunikationen. Das HTTP-Steganografie-Modul simuliert unverschlĂŒsselten HTTP-Verkehr. Das System ahmt einen echten Benutzer mit einem normalen Browser nach.
Angriffswiderstand
Um zu ĂŒberprĂŒfen, wie effektiv die vorgeschlagene Methode die Arbeitsweise von Tor verbessert, haben die Forscher zwei Arten von Angriffen entwickelt.
Der erste Angriff besteht darin, Tor-Ströme aus TCP-Strömen basierend auf den grundlegenden Eigenschaften des Tor-Protokolls zu isolieren â diese Methode wurde verwendet, um die Kontrolle durch das chinesische Regime zu blockieren. Der zweite Angriff beinhaltet das Studium bereits bekannter Tor-Ströme, um Informationen darĂŒber zu gewinnen, welche Webseiten der Benutzer besucht hat.
Forscher haben die Wirksamkeit des ersten Angriffs gegen âvanilla Torâ bestĂ€tigt â dazu sammelten sie Besuchsspuren von den Top-10-Seiten von Alexa.com zwanzig Mal ĂŒber das normale Tor, obfsproxy und StegoTorus mit dem HTTP-Steganographie-Modul. Als Vergleichsreferenz wurde der Datensatz CAIDA mit Daten zu Port 80 verwendet â fast alle diese Verbindungen sind mit Sicherheit HTTP-Verbindungen.
Das Experiment hat gezeigt, dass es relativ einfach ist, gewöhnliches Tor zu berechnen. Das Tor-Protokoll ist zu spezifisch und weist eine Reihe von Eigenschaften auf, die leicht zu erkennen sind â zum Beispiel dauern die TCP-Verbindungen bei dessen Nutzung 20â30 Sekunden. Auch das Tool Obfsproxy verbirgt diese offensichtlichen Aspekte kaum. StegoTorus hingegen erzeugt einen Verkehr, der viel nĂ€her an der CAIDA-Referenz liegt.

Im Falle eines Angriffs zur Berechnung der besuchten Websites verglichen die Forscher die Wahrscheinlichkeit einer solchen Datenoffenlegung bei âvanilla Torâ und ihrer Lösung StegoTorus. Zur Bewertung wurde die Skala verwendet (Area Under Curve). Den Ergebnissen zufolge war die Wahrscheinlichkeit einer Datenoffenlegung ĂŒber besuchte Websites bei gewöhnlichem Tor ohne zusĂ€tzlichen Schutz deutlich höher.

Fazit
Die Geschichte des Widerstands zwischen Regierungen, die Zensur im Internet einfĂŒhren, und Entwicklern von Systemen zur Umgehung von Sperren zeigt, dass nur umfassende SchutzmaĂnahmen wirksam sein können. Der Einsatz nur eines einzigen Werkzeugs kann nicht garantieren, dass auf die benötigten Daten zugegriffen werden kann und dass Informationen ĂŒber die Umgehung von Sperren nicht den Zensors bekannt werden.
Deshalb ist es bei der Verwendung jeglicher Werkzeuge zur GewĂ€hrleistung der PrivatsphĂ€re und des Zugangs zu Inhalten wichtig, sich daran zu erinnern, dass es keine idealen Lösungen gibt. Es ist ratsam, verschiedene Methoden zu kombinieren, um die gröĂtmögliche EffektivitĂ€t zu erreichen.
NĂŒtzliche Links und Materialien von :
Quelle: habr.com
