Experimento: como disfrazar o uso de Tor para evitar bloques
A censura de Internet é un tema cada vez máis importante en todo o mundo. Isto está levando a unha "carreira armamentística" que se intensifica, xa que as axencias gobernamentais e as corporacións privadas de diferentes países buscan bloquear varios contidos e loitan con formas de eludir esas restricións, mentres que os desenvolvedores e investigadores se esforzan por crear ferramentas eficaces para combater a censura.
Científicos de Carnegie Mellon, Universidade de Stanford e universidades SRI International realizaron un experimento, durante o cal desenvolveron un servizo especial para enmascarar o uso de Tor, unha das ferramentas máis populares para evitar bloques. Presentámosvos unha historia sobre o traballo realizado polos investigadores.
Tor contra o bloqueo
Tor garante o anonimato dos usuarios mediante o uso de relés especiais, é dicir, servidores intermedios entre o usuario e o sitio que necesita. Normalmente, varios relés sitúanse entre o usuario e o sitio, cada un dos cales só pode descifrar unha pequena cantidade de datos no paquete reenviado, o suficiente para descubrir o seguinte punto da cadea e envialo alí. Como resultado, aínda que se engada á cadea un relé controlado por atacantes ou censores, non poderán coñecer o destinatario e o destino do tráfico.
Tor funciona eficazmente como unha ferramenta contra a censura, pero os censores aínda teñen a capacidade de bloquealo por completo. Irán e China realizaron campañas de bloqueo exitosas. Puideron identificar o tráfico Tor escaneando os apretóns de mans TLS e outras características distintivas de Tor.
Posteriormente, os desenvolvedores lograron adaptar o sistema para evitar o bloqueo. Os censores responderon bloqueando as conexións HTTPS a varios sitios, incluído Tor. Os desenvolvedores do proxecto crearon o programa obfsproxy, que ademais cifra o tráfico. Esta competición continúa constantemente.
Datos iniciais do experimento
Os investigadores decidiron desenvolver unha ferramenta que enmascarase o uso de Tor, facendo posible o seu uso mesmo en rexións onde o sistema está completamente bloqueado.
Como presupostos iniciais, os científicos propoñen o seguinte:
O censor controla un segmento interno illado da rede, que se conecta á Internet externa sen censura.
As autoridades de bloqueo controlan toda a infraestrutura de rede dentro do segmento de rede censurado, pero non o software dos ordenadores dos usuarios finais.
O censor busca evitar que os usuarios accedan a materiais indesexables desde o seu punto de vista; suponse que todos estes materiais están situados en servidores fóra do segmento de rede controlado.
Os enrutadores do perímetro deste segmento analizan os datos sen cifrar de todos os paquetes para bloquear o contido non desexado e evitar que os paquetes relevantes penetren no perímetro.
Todos os relés Tor están situados fóra do perímetro.
Chat isto
Para disimular o uso de Tor, os investigadores crearon a ferramenta StegoTorus. O seu obxectivo principal é mellorar a capacidade de Tor para resistir a análise automatizada do protocolo. A ferramenta está situada entre o cliente e o primeiro relé da cadea, utiliza o seu propio protocolo de cifrado e módulos de esteganografía para dificultar a identificación do tráfico Tor.
No primeiro paso, entra en xogo un módulo chamado chopper: converte o tráfico nunha secuencia de bloques de lonxitude variable, que se envían aínda máis fóra de orde.
Os datos cífranse mediante AES no modo GCM. A cabeceira do bloque contén un número de secuencia de 32 bits, dous campos de lonxitude (d e p) - estes indican a cantidade de datos, un campo especial F e un campo de verificación de 56 bits, cuxo valor debe ser cero. A lonxitude mínima do bloque é de 32 bytes e a máxima é de 217+32 bytes. A lonxitude está controlada por módulos de esteganografía.
Cando se establece unha conexión, os primeiros bytes de información son unha mensaxe de apretón de mans, coa súa axuda o servidor comprende se está a tratar cunha conexión existente ou unha nova. Se a conexión pertence a unha nova ligazón, entón o servidor responde cun apretón de mans e cada un dos participantes no intercambio extrae as claves da sesión. Ademais, o sistema implementa un mecanismo de cambio de clave: é semellante á asignación dunha clave de sesión, pero úsanse bloques en lugar de mensaxes de apretón de mans. Este mecanismo cambia o número de secuencia, pero non afecta o ID da ligazón.
Unha vez que ambos os participantes na comunicación enviaron e recibiron o bloque de aletas, a ligazón péchase. Para protexerse contra ataques de repetición ou bloqueo de atrasos na entrega, ambos os participantes deben lembrar a identificación durante canto tempo despois do peche.
O módulo de esteganografía incorporado oculta o tráfico Tor dentro do protocolo p2p, de forma similar a como funciona Skype nas comunicacións VoIP seguras. O módulo de esteganografía HTTP simula o tráfico HTTP sen cifrar. O sistema imita a un usuario real cun navegador normal.
Resistencia aos ataques
Para probar ata que punto o método proposto mellora a eficiencia de Tor, os investigadores desenvolveron dous tipos de ataques.
O primeiro deles é separar os fluxos Tor dos fluxos TCP en función das características fundamentais do protocolo Tor: este é o método usado para bloquear o sistema gobernamental chinés. O segundo ataque consiste en estudar fluxos Tor xa coñecidos para extraer información sobre os sitios que visitou o usuario.
Os investigadores confirmaron a efectividade do primeiro tipo de ataque contra "vanilla Tor": para iso recolleron trazos de visitas a sitios dos 10 mellores Alexa.com vinte veces a través de Tor regular, obfsproxy e StegoTorus cun módulo de esteganografía HTTP. O conxunto de datos CAIDA con datos do porto 80 utilizouse como referencia para a comparación; case seguro que todos son conexións HTTP.
O experimento demostrou que é bastante sinxelo calcular Tor regular. O protocolo Tor é demasiado específico e ten unha serie de características que son fáciles de calcular; por exemplo, cando se usa, as conexións TCP duran entre 20 e 30 segundos. A ferramenta Obfsproxy tamén fai pouco para ocultar estes puntos obvios. StegoTorus, pola súa banda, xera un tráfico moito máis próximo á referencia CAIDA.
No caso dun ataque aos sitios visitados, os investigadores compararon a probabilidade de que se divulguen tales datos no caso de "vanilla Tor" e a súa solución StegoTorus. A escala utilizouse para a avaliación AUC (Área baixo curva). Segundo os resultados da análise, resultou que, no caso de Tor normal sen protección adicional, a probabilidade de revelar datos sobre os sitios visitados é significativamente maior.
Conclusión
O historial de enfrontamento entre as autoridades dos países que introducen a censura en Internet e os desenvolvedores de sistemas para evitar o bloqueo suxire que só as medidas de protección integral poden ser eficaces. Usar só unha ferramenta non pode garantir o acceso aos datos necesarios e esa información sobre evitar o bloqueo non será coñecida polos censores.
Por iso, ao utilizar calquera ferramenta de privacidade e acceso ao contido, é importante non esquecer que non existen solucións idóneas e, no posible, combinar diferentes métodos para acadar a maior eficacia.