Internetzensur ist weltweit ein immer wichtigeres Thema. Dies führt zu einem sich verschärfenden „Wettrüsten“, da Regierungsbehörden und private Unternehmen in verschiedenen Ländern versuchen, verschiedene Inhalte zu blockieren und sich mit Möglichkeiten zur Umgehung solcher Beschränkungen herumschlagen, während Entwickler und Forscher danach streben, wirksame Instrumente zur Bekämpfung der Zensur zu entwickeln.
Wissenschaftler der Universitäten Carnegie Mellon, Stanford University und SRI International führten die Studie durch Dabei entwickelten sie einen speziellen Dienst, um die Verwendung von Tor, einem der beliebtesten Tools zur Umgehung von Blöcken, zu maskieren. Wir präsentieren Ihnen eine Geschichte über die Arbeit der Forscher.
Tor gegen Blockierung
Tor gewährleistet die Anonymität der Benutzer durch den Einsatz spezieller Relays – also Zwischenserver zwischen dem Benutzer und der von ihm benötigten Site. Typischerweise befinden sich mehrere Relays zwischen dem Benutzer und der Site, von denen jedes nur eine kleine Datenmenge im weitergeleiteten Paket entschlüsseln kann – gerade genug, um den nächsten Punkt in der Kette herauszufinden und es dorthin zu senden. Selbst wenn der Kette ein von Angreifern oder Zensoren gesteuertes Relay hinzugefügt wird, können diese daher den Adressaten und das Ziel des Datenverkehrs nicht herausfinden.
Tor funktioniert effektiv als Anti-Zensur-Tool, aber Zensoren haben immer noch die Möglichkeit, es vollständig zu blockieren. Iran und China haben erfolgreiche Blockadekampagnen durchgeführt. Sie konnten den Tor-Verkehr identifizieren, indem sie TLS-Handshakes und andere charakteristische Tor-Merkmale scannten.
Anschließend gelang es den Entwicklern, das System anzupassen, um die Blockierung zu umgehen. Die Zensoren reagierten, indem sie HTTPS-Verbindungen zu verschiedenen Websites, einschließlich Tor, blockierten. Die Projektentwickler haben das Programm obfsproxy erstellt, das den Datenverkehr zusätzlich verschlüsselt. Dieser Wettbewerb wird ständig fortgesetzt.
Erste Daten des Experiments
Die Forscher beschlossen, ein Tool zu entwickeln, das die Nutzung von Tor maskiert und den Einsatz auch in Regionen ermöglicht, in denen das System vollständig blockiert ist.
- Als erste Annahmen stellen Wissenschaftler Folgendes vor:
- Der Zensor kontrolliert ein isoliertes internes Segment des Netzwerks, das eine Verbindung zum externen, unzensierten Internet herstellt.
- Sperrbehörden kontrollieren die gesamte Netzwerkinfrastruktur innerhalb des zensierten Netzwerksegments, nicht jedoch die Software auf den Computern der Endbenutzer.
- Der Zensor möchte verhindern, dass Benutzer auf Materialien zugreifen, die aus seiner Sicht unerwünscht sind; es wird davon ausgegangen, dass sich alle diese Materialien auf Servern außerhalb des kontrollierten Netzwerksegments befinden.
- Router am Perimeter dieses Segments analysieren die unverschlüsselten Daten aller Pakete, um unerwünschte Inhalte zu blockieren und zu verhindern, dass relevante Pakete in den Perimeter eindringen.
- Alle Tor-Relais befinden sich außerhalb des Perimeters.
Wie funktioniert das
Um die Verwendung von Tor zu verschleiern, haben Forscher das Tool StegoTorus entwickelt. Sein Hauptziel besteht darin, die Fähigkeit von Tor zu verbessern, einer automatisierten Protokollanalyse zu widerstehen. Das Tool befindet sich zwischen dem Client und dem ersten Relay in der Kette und verwendet ein eigenes Verschlüsselungsprotokoll und Steganographiemodule, um die Identifizierung des Tor-Verkehrs zu erschweren.
Im ersten Schritt kommt ein Modul namens Chopper ins Spiel – es wandelt den Datenverkehr in eine Folge von Blöcken unterschiedlicher Länge um, die in der falschen Reihenfolge weitergesendet werden.
Die Daten werden mit AES im GCM-Modus verschlüsselt. Der Blockheader enthält eine 32-Bit-Sequenznummer, zwei Längenfelder (d und p) – diese geben die Datenmenge an, ein Sonderfeld F und ein 56-Bit-Prüffeld, dessen Wert Null sein muss. Die minimale Blocklänge beträgt 32 Byte und die maximale 217+32 Byte. Die Länge wird durch Steganographiemodule gesteuert.
Beim Verbindungsaufbau handelt es sich bei den ersten paar Informationsbytes um eine Handshake-Nachricht, mit deren Hilfe der Server erkennt, ob es sich um eine bestehende oder eine neue Verbindung handelt. Wenn die Verbindung zu einem neuen Link gehört, antwortet der Server mit einem Handshake und jeder der Austauschteilnehmer extrahiert Sitzungsschlüssel daraus. Darüber hinaus implementiert das System einen Rekeying-Mechanismus – er ähnelt der Zuweisung eines Sitzungsschlüssels, verwendet jedoch Blöcke anstelle von Handshake-Nachrichten. Dieser Mechanismus ändert die Sequenznummer, hat jedoch keinen Einfluss auf die Link-ID.
Sobald beide Kommunikationsteilnehmer den Fin-Block gesendet und empfangen haben, wird die Verbindung geschlossen. Zum Schutz vor Replay-Angriffen oder Verzögerungen bei der Blockzustellung müssen sich beide Teilnehmer die ID für die Dauer nach dem Schließen merken.
Das integrierte Steganographie-Modul verbirgt den Tor-Verkehr innerhalb des P2P-Protokolls – ähnlich wie Skype bei der sicheren VoIP-Kommunikation funktioniert. Das HTTP-Steganographie-Modul simuliert unverschlüsselten HTTP-Verkehr. Das System ahmt einen echten Benutzer mit einem normalen Browser nach.
Widerstand gegen Angriffe
Um zu testen, wie sehr die vorgeschlagene Methode die Effizienz von Tor verbessert, entwickelten die Forscher zwei Arten von Angriffen.
Die erste davon besteht darin, Tor-Streams von TCP-Streams basierend auf den grundlegenden Merkmalen des Tor-Protokolls zu trennen – das ist die Methode, mit der das chinesische Regierungssystem blockiert wird. Der zweite Angriff besteht darin, bereits bekannte Tor-Streams zu untersuchen, um Informationen darüber zu extrahieren, welche Seiten der Benutzer besucht hat.
Forscher bestätigten die Wirksamkeit des ersten Angriffstyps gegen „Vanilla Tor“ – dafür sammelten sie zwanzig Mal Spuren von Besuchen auf Websites der Top 10 Alexa.com über reguläres Tor, obfsproxy und StegoTorus mit einem HTTP-Steganographie-Modul. Als Referenz zum Vergleich wurde der CAIDA-Datensatz mit Daten auf Port 80 verwendet – es handelt sich mit ziemlicher Sicherheit allesamt um HTTP-Verbindungen.
Das Experiment zeigte, dass es recht einfach ist, reguläres Tor zu berechnen. Das Tor-Protokoll ist zu spezifisch und weist eine Reihe von Eigenschaften auf, die leicht zu berechnen sind – beispielsweise dauern TCP-Verbindungen bei seiner Verwendung 20 bis 30 Sekunden. Auch das Obfsproxy-Tool trägt kaum dazu bei, diese offensichtlichen Momente zu verbergen. StegoTorus wiederum generiert Traffic, der der CAIDA-Referenz viel näher kommt.
Im Falle eines Angriffs auf besuchte Websites verglichen die Forscher die Wahrscheinlichkeit einer solchen Datenoffenlegung im Fall von „Vanilla Tor“ und ihrer StegoTorus-Lösung. Zur Beurteilung wurde die Skala herangezogen (Fläche unter der Kurve). Basierend auf den Ergebnissen der Analyse stellte sich heraus, dass bei regulärem Tor ohne zusätzlichen Schutz die Wahrscheinlichkeit, Daten über besuchte Seiten preiszugeben, deutlich höher ist.
Abschluss
Die Geschichte der Konfrontation zwischen den Behörden von Ländern, die Zensur im Internet einführen, und Entwicklern von Systemen zur Umgehung von Sperren legt nahe, dass nur umfassende Schutzmaßnahmen wirksam sein können. Die Verwendung nur eines Tools kann den Zugriff auf die erforderlichen Daten nicht garantieren und verhindert, dass Informationen über die Umgehung der Sperre den Zensoren bekannt werden.
Daher ist es wichtig, bei der Verwendung von Datenschutz- und Inhaltszugriffstools nicht zu vergessen, dass es keine idealen Lösungen gibt, und nach Möglichkeit verschiedene Methoden zu kombinieren, um die größtmögliche Wirksamkeit zu erzielen.
Nützliche Links und Materialien von :
Source: habr.com