Փորձ. Ինչպես քողարկել Tor-ի օգտագործումը բլոկները շրջանցելու համար

Համացանցի գրաքննությունն ավելի ու ավելի կարևոր խնդիր է ամբողջ աշխարհում: Սա հանգեցնում է «սպառազինությունների մրցավազքի» ուժեղացմանը, քանի որ տարբեր երկրների պետական ​​կառույցները և մասնավոր կորպորացիաները փորձում են արգելափակել տարբեր բովանդակություն և պայքարում են նման սահմանափակումները շրջանցելու ուղիների դեմ, մինչդեռ մշակողները և հետազոտողները ձգտում են ստեղծել արդյունավետ գործիքներ գրաքննության դեմ պայքարելու համար:

Քարնեգի Մելոնի, Սթենֆորդի համալսարանի և ԳՀԻ միջազգային համալսարանների գիտնականներն անցկացրել են փորձ, որի ընթացքում նրանք մշակեցին հատուկ ծառայություն՝ բլոկների շրջանցման ամենահայտնի գործիքներից մեկի՝ Tor-ի օգտագործումը քողարկելու համար։ Ձեզ ենք ներկայացնում մի պատմություն հետազոտողների կատարած աշխատանքի մասին։

Tor արգելափակման դեմ

Tor-ն ապահովում է օգտատերերի անանունությունը՝ օգտագործելով հատուկ ռելեներ, այսինքն՝ միջանկյալ սերվերներ օգտագործողի և նրան անհրաժեշտ կայքի միջև: Սովորաբար, մի քանի ռելեներ տեղակայված են օգտագործողի և կայքի միջև, որոնցից յուրաքանչյուրը կարող է վերծանել միայն փոքր քանակությամբ տվյալներ փոխանցված փաթեթում, բավական է պարզել շղթայի հաջորդ կետը և ուղարկել այն այնտեղ: Արդյունքում, եթե նույնիսկ հարձակվողների կամ գրաքննիչների կողմից վերահսկվող ռելեն ավելացվի շղթային, նրանք չեն կարողանա պարզել տրաֆիկի հասցեատերը և նպատակակետը:

Tor-ն արդյունավետորեն աշխատում է որպես հակագրաքննության գործիք, սակայն գրաքննիչը դեռևս կարող է ամբողջությամբ արգելափակել այն: Իրանն ու Չինաստանը հաջող արգելափակման արշավներ են իրականացրել։ Նրանք կարողացան բացահայտել Tor-ի տրաֆիկը` սկանավորելով TLS ձեռքսեղմումները և Tor-ի այլ տարբերակիչ բնութագրերը:

Այնուհետև մշակողներին հաջողվեց հարմարեցնել համակարգը՝ արգելափակումը շրջանցելու համար: Գրաքննիչները արձագանքեցին՝ արգելափակելով HTTPS կապերը տարբեր կայքերի, այդ թվում՝ Tor-ի հետ: Ծրագրի մշակողները ստեղծել են obfsproxy ծրագիրը, որը լրացուցիչ ծածկագրում է թրաֆիկը։ Այս մրցույթը շարունակվում է անընդհատ։

Փորձի նախնական տվյալները

Հետազոտողները որոշել են մշակել գործիք, որը կքողարկի Tor-ի օգտագործումը՝ հնարավոր դարձնելով դրա օգտագործումը նույնիսկ այն տարածաշրջաններում, որտեղ համակարգը ամբողջությամբ արգելափակված է:

• Որպես նախնական ենթադրություններ՝ գիտնականները առաջ են քաշում հետևյալը.
• Գրաքննիչը վերահսկում է ցանցի մեկուսացված ներքին հատվածը, որը միանում է արտաքին, չգրաքննված ինտերնետին:
• Արգելափակող մարմինները վերահսկում են ամբողջ ցանցային ենթակառուցվածքը գրաքննության ենթարկված ցանցի հատվածում, բայց ոչ վերջնական օգտագործողի համակարգիչների ծրագրակազմը:
• Գրաքննիչը փորձում է թույլ չտալ օգտվողներին մուտք գործել նյութեր, որոնք իր տեսանկյունից անցանկալի են, ենթադրվում է, որ բոլոր նման նյութերը տեղակայված են ցանցի վերահսկվող հատվածից դուրս գտնվող սերվերների վրա:
• Այս հատվածի պարագծի երթուղիչները վերլուծում են բոլոր փաթեթների չգաղտնագրված տվյալները՝ արգելափակելու անցանկալի բովանդակությունը և կանխելու համապատասխան փաթեթների ներթափանցումը պարագծով:
• Բոլոր Tor ռելեները գտնվում են պարագծից դուրս:

Ինչպես է այն աշխատում

Tor-ի օգտագործումը քողարկելու համար հետազոտողները ստեղծել են StegoTorus գործիքը: Դրա հիմնական նպատակն է բարելավել Tor-ի կարողությունը՝ դիմակայելու ավտոմատացված արձանագրությունների վերլուծությանը: Գործիքը գտնվում է հաճախորդի և շղթայի առաջին ռելեի միջև, օգտագործում է իր ծածկագրման արձանագրությունը և ստեգանոգրաֆիայի մոդուլները՝ դժվարացնելու Tor-ի տրաֆիկի նույնականացումը:

Առաջին քայլում գործի է դրվում chopper կոչվող մոդուլը. այն փոխակերպում է երթևեկությունը տարբեր երկարությունների բլոկների հաջորդականության, որոնք ուղարկվում են ավելի անսարք:

Տվյալները կոդավորված են AES-ի միջոցով GCM ռեժիմում: Բլոկի վերնագիրը պարունակում է 32-բիթանոց հաջորդական համար, երկու երկարությամբ դաշտեր (d և p) - դրանք ցույց են տալիս տվյալների քանակը, հատուկ դաշտ F և 56-բիթանոց ստուգման դաշտ, որի արժեքը պետք է լինի զրո: Բլոկի նվազագույն երկարությունը 32 բայթ է, իսկ առավելագույնը՝ 217+32 բայթ։ Երկարությունը վերահսկվում է ստեգանոգրաֆիայի մոդուլներով:

Երբ կապը հաստատվում է, տեղեկատվության առաջին մի քանի բայթը ձեռքսեղմման հաղորդագրություն է, որի օգնությամբ սերվերը հասկանում է, թե արդյոք գործ ունի գոյություն ունեցող կամ նոր կապի հետ: Եթե ​​կապը պատկանում է նոր հղմանը, ապա սերվերը պատասխանում է ձեռքսեղմումով, և փոխանակման մասնակիցներից յուրաքանչյուրը դրանից հանում է նիստի բանալիները: Բացի այդ, համակարգը իրականացնում է ստեղնավորման մեխանիզմ. այն նման է նստաշրջանի բանալի հատկացմանը, սակայն ձեռքսեղմման հաղորդագրությունների փոխարեն օգտագործվում են բլոկներ: Այս մեխանիզմը փոխում է հաջորդականության համարը, բայց չի ազդում հղման ID-ի վրա:

Հաղորդակցության երկու մասնակիցներն ուղարկելուց և ստանալուց հետո կապի բլոկը փակվում է: Կրկնվող հարձակումներից կամ առաքման ուշացումներից պաշտպանվելու համար երկու մասնակիցներն էլ պետք է հիշեն ID-ն փակվելուց որքան ժամանակ անց:

Ներկառուցված ստեգանոգրաֆիայի մոդուլը թաքցնում է Tor տրաֆիկը p2p արձանագրության ներսում, ինչը նման է այն բանին, թե ինչպես է Skype-ն աշխատում անվտանգ VoIP հաղորդակցություններում: HTTP ստեգանոգրաֆիայի մոդուլը մոդելավորում է չգաղտնագրված HTTP տրաֆիկը: Համակարգը սովորական զննարկիչով նմանակում է իրական օգտագործողին:

Դիմադրություն հարձակումներին

Որպեսզի ստուգեն, թե որքանով է առաջարկվող մեթոդը բարելավում Tor-ի արդյունավետությունը, հետազոտողները մշակել են երկու տեսակի հարձակումներ։

Դրանցից առաջինը Tor-ի հոսքերը TCP հոսքերից առանձնացնելն է՝ հիմնված Tor արձանագրության հիմնարար բնութագրերի վրա. սա այն մեթոդն է, որն օգտագործվում է Չինաստանի կառավարական համակարգը արգելափակելու համար: Երկրորդ հարձակումը ներառում է Tor-ի արդեն հայտնի հոսքերի ուսումնասիրություն՝ տեղեկություններ ստանալու համար, թե որ կայքերն է այցելած օգտատերը:

Հետազոտողները հաստատել են «վանիլային Tor»-ի դեմ առաջին տեսակի հարձակման արդյունավետությունը. դրա համար նրանք քսան անգամ հավաքել են այցելությունների հետքեր 10 լավագույն Alexa.com կայքերից՝ սովորական Tor-ի, obfsproxy-ի և StegoTorus-ի միջոցով HTTP ստեգանոգրաֆիայի մոդուլով: 80-րդ նավահանգստի տվյալների հետ CAIDA տվյալների բազան օգտագործվել է որպես համեմատության հղում. գրեթե անկասկած, սրանք բոլորը HTTP կապեր են:

Փորձը ցույց տվեց, որ բավականին հեշտ է հաշվել սովորական Tor-ը։ Tor արձանագրությունը չափազանց կոնկրետ է և ունի մի շարք բնութագրեր, որոնք հեշտ է հաշվարկել, օրինակ, երբ այն օգտագործելիս, TCP կապերը տևում են 20-30 վայրկյան: Obfsproxy գործիքը նույնպես քիչ բան է անում այս ակնհայտ պահերը թաքցնելու համար: StegoTorus-ը, իր հերթին, առաջացնում է տրաֆիկ, որը շատ ավելի մոտ է CAIDA-ի հղումին:

Այցելած կայքերի հարձակման դեպքում հետազոտողները համեմատել են նման տվյալների բացահայտման հավանականությունը «վանիլային Tor»-ի և դրանց StegoTorus լուծման դեպքում: Գնահատման համար օգտագործվել է սանդղակը AUC- ն (Տարածք կորի տակ): Վերլուծության արդյունքների հիման վրա պարզվել է, որ սովորական Tor-ի դեպքում՝ առանց լրացուցիչ պաշտպանության, այցելած կայքերի վերաբերյալ տվյալների բացահայտման հավանականությունը զգալիորեն մեծ է։

Ամփոփում

Համացանցում գրաքննություն մտցնող երկրների իշխանությունների և արգելափակումը շրջանցելու համակարգեր մշակողների միջև առճակատման պատմությունը հուշում է, որ միայն համապարփակ պաշտպանության միջոցները կարող են արդյունավետ լինել: Միայն մեկ գործիք օգտագործելը չի ​​կարող երաշխավորել անհրաժեշտ տվյալների հասանելիությունը, և որ բլոկը շրջանցելու մասին տեղեկատվությունը հայտնի չի դառնա գրաքննիչներին:

Հետևաբար, գաղտնիության և բովանդակության հասանելիության ցանկացած գործիքներ օգտագործելիս կարևոր է չմոռանալ, որ իդեալական լուծումներ չկան, և հնարավորության դեպքում միավորել տարբեր մեթոդներ՝ առավելագույն արդյունավետության հասնելու համար:

Օգտակար հղումներ և նյութեր Ինֆատիկա:

• Հետազոտություն. Խաղերի տեսության միջոցով արգելափակման դիմացկուն պրոքսի ծառայության ստեղծում
• Գրաքննության դեմ պայքարի պատմություն. ինչպես է աշխատում MIT-ի և Սթենֆորդի գիտնականների կողմից ստեղծված ֆլեշ պրոքսի մեթոդը
• Ինչպե՞ս հասկանալ, երբ վստահված անձինք ստում են. ցանցի վստահված օգտատերերի ֆիզիկական տեղակայման ստուգում` օգտագործելով ակտիվ աշխարհագրական ալգորիթմը
• Ինչպես քողարկվել ինտերնետում. համեմատելով սերվերի և ռեզիդենտ վստահված անձանց

Source: www.habr.com