Experimento: Cómo disfrazar el uso de Tor para eludir bloques

La censura en Internet es un tema cada vez más importante en todo el mundo. Esto está llevando a una “carrera armamentista” cada vez más intensa a medida que agencias gubernamentales y corporaciones privadas en diferentes países buscan bloquear diversos contenidos y luchan por encontrar formas de eludir dichas restricciones, mientras los desarrolladores e investigadores se esfuerzan por crear herramientas efectivas para combatir la censura.

Científicos de Carnegie Mellon, la Universidad de Stanford y las universidades internacionales SRI realizaron experimento, durante el cual desarrollaron un servicio especial para enmascarar el uso de Tor, una de las herramientas más populares para sortear bloques. Te presentamos una historia sobre el trabajo realizado por los investigadores.

Tor contra el bloqueo

Tor garantiza el anonimato de los usuarios mediante el uso de relés especiales, es decir, servidores intermedios entre el usuario y el sitio que necesita. Normalmente, hay varios relés entre el usuario y el sitio, cada uno de los cuales puede descifrar solo una pequeña cantidad de datos en el paquete reenviado, lo suficiente para encontrar el siguiente punto de la cadena y enviarlo allí. Como resultado, incluso si se agrega a la cadena un relé controlado por atacantes o censores, estos no podrán averiguar el destinatario y el destino del tráfico.

Tor funciona eficazmente como herramienta anticensura, pero los censores aún tienen la capacidad de bloquearlo por completo. Irán y China han llevado a cabo exitosas campañas de bloqueo. Pudieron identificar el tráfico de Tor escaneando los apretones de manos TLS y otras características distintivas de Tor.

Posteriormente, los desarrolladores lograron adaptar el sistema para evitar el bloqueo. Los censores respondieron bloqueando las conexiones HTTPS a una variedad de sitios, incluido Tor. Los desarrolladores del proyecto crearon el programa obfsproxy, que además cifra el tráfico. Esta competencia continúa constantemente.

Datos iniciales del experimento.

Los investigadores decidieron desarrollar una herramienta que enmascararía el uso de Tor, haciendo posible su uso incluso en regiones donde el sistema está completamente bloqueado.

• Como suposiciones iniciales, los científicos proponen lo siguiente:
• El censor controla un segmento interno aislado de la red, que se conecta a Internet externo sin censura.
• Las autoridades de bloqueo controlan toda la infraestructura de la red dentro del segmento de red censurado, pero no el software en las computadoras de los usuarios finales.
• El censor busca evitar que los usuarios accedan a materiales que no son deseables desde su punto de vista; se supone que todos esos materiales están ubicados en servidores fuera del segmento de red controlado.
• Los enrutadores en el perímetro de este segmento analizan los datos no cifrados de todos los paquetes para bloquear el contenido no deseado y evitar que los paquetes relevantes penetren en el perímetro.
• Todos los relés Tor están ubicados fuera del perímetro.

¿Cómo funciona esto

Para disfrazar el uso de Tor, los investigadores crearon la herramienta StegoTorus. Su principal objetivo es mejorar la capacidad de Tor para resistir el análisis de protocolos automatizados. La herramienta está ubicada entre el cliente y el primer relevo de la cadena, utiliza su propio protocolo de cifrado y módulos de esteganografía para dificultar la identificación del tráfico Tor.

En el primer paso, entra en juego un módulo llamado chopper: convierte el tráfico en una secuencia de bloques de diferentes longitudes, que se envían desordenadamente.

Los datos se cifran mediante AES en modo GCM. El encabezado del bloque contiene un número de secuencia de 32 bits, dos campos de longitud (d y p), que indican la cantidad de datos, un campo especial F y un campo de verificación de 56 bits, cuyo valor debe ser cero. La longitud mínima del bloque es 32 bytes y la máxima es 217+32 bytes. La longitud está controlada por módulos de esteganografía.

Cuando se establece una conexión, los primeros bytes de información son un mensaje de protocolo de enlace, con su ayuda el servidor comprende si se trata de una conexión nueva o existente. Si la conexión pertenece a un nuevo enlace, el servidor responde con un apretón de manos y cada uno de los participantes del intercambio extrae de él las claves de sesión. Además, el sistema implementa un mecanismo de cambio de clave: es similar a la asignación de una clave de sesión, pero se utilizan bloques en lugar de mensajes de protocolo de enlace. Este mecanismo cambia el número de secuencia, pero no afecta la ID del enlace.

Una vez que ambos participantes en la comunicación hayan enviado y recibido el bloque de aletas, el enlace se cierra. Para protegerse contra ataques de repetición o retrasos en la entrega de bloques, ambos participantes deben recordar la identificación durante cuánto tiempo después del cierre.

El módulo de esteganografía incorporado oculta el tráfico Tor dentro del protocolo p2p, similar a cómo funciona Skype en comunicaciones VoIP seguras. El módulo de esteganografía HTTP simula el tráfico HTTP no cifrado. El sistema imita a un usuario real con un navegador normal.

Resistencia a los ataques

Para probar en qué medida el método propuesto mejora la eficiencia de Tor, los investigadores desarrollaron dos tipos de ataques.

El primero de ellos es separar los flujos Tor de los flujos TCP basándose en las características fundamentales del protocolo Tor: este es el método utilizado para bloquear el sistema del gobierno chino. El segundo ataque implica estudiar flujos Tor ya conocidos para extraer información sobre qué sitios ha visitado el usuario.

Los investigadores confirmaron la eficacia del primer tipo de ataque contra "vanilla Tor"; para ello, recopilaron veinte veces rastros de visitas a sitios del top 10 de Alexa.com a través de Tor normal, obfsproxy y StegoTorus con un módulo de esteganografía HTTP. Como referencia para la comparación se utilizó el conjunto de datos CAIDA con datos en el puerto 80; es casi seguro que todas son conexiones HTTP.

El experimento demostró que es bastante fácil calcular Tor normal. El protocolo Tor es demasiado específico y tiene una serie de características que son fáciles de calcular; por ejemplo, cuando se usa, las conexiones TCP duran entre 20 y 30 segundos. La herramienta Obfsproxy tampoco hace mucho por ocultar estos momentos obvios. StegoTorus, a su vez, genera un tráfico mucho más cercano a la referencia CAIDA.

En el caso de un ataque a un sitio visitado, los investigadores compararon la probabilidad de que se divulgaran dichos datos en el caso de "vanilla Tor" y su solución StegoTorus. La escala se utilizó para la evaluación. AUC (Área bajo la curva). Según los resultados del análisis, resultó que en el caso de Tor normal sin protección adicional, la probabilidad de revelar datos sobre los sitios visitados es significativamente mayor.

Conclusión

La historia de enfrentamientos entre las autoridades de los países que introducen la censura en Internet y los desarrolladores de sistemas para eludir el bloqueo sugiere que sólo medidas de protección integrales pueden ser efectivas. El uso de una sola herramienta no puede garantizar el acceso a los datos necesarios y que los censores no conozcan la información sobre cómo evitar el bloqueo.

Por lo tanto, al utilizar cualquier herramienta de privacidad y acceso a contenidos, es importante no olvidar que no existen soluciones ideales y, cuando sea posible, combinar diferentes métodos para lograr la mayor eficacia.

Enlaces y materiales útiles de Infática:

• Investigación: creación de un servicio de proxy resistente a bloqueos mediante la teoría de juegos
• La historia de la lucha contra la censura: cómo funciona el método flash proxy creado por científicos del MIT y Stanford
• Cómo saber cuándo mienten los proxies: verificación de las ubicaciones físicas de los proxies de la red mediante el algoritmo de geolocalización activa
• Cómo disfrazarse en Internet: comparando servidores y proxies residenciales

Fuente: habr.com