Eksperimen: Cara menyamarkan penggunaan Tor untuk melewati blok

Sensor internet merupakan isu yang semakin penting di seluruh dunia. Hal ini mengarah pada “perlombaan senjata” yang semakin intensif karena lembaga pemerintah dan perusahaan swasta di berbagai negara berupaya memblokir berbagai konten dan berjuang mencari cara untuk menghindari pembatasan tersebut, sementara pengembang dan peneliti berupaya menciptakan alat yang efektif untuk memerangi sensor.

Para ilmuwan dari Carnegie Mellon, Universitas Stanford dan universitas SRI Internasional melakukan hal ini percobaan, di mana mereka mengembangkan layanan khusus untuk menutupi penggunaan Tor, salah satu alat paling populer untuk melewati blok. Kami menyajikan kepada Anda sebuah cerita tentang pekerjaan yang dilakukan oleh para peneliti.

Tor menentang pemblokiran

Tor memastikan anonimitas pengguna melalui penggunaan relay khusus - yaitu server perantara antara pengguna dan situs yang dia butuhkan. Biasanya, beberapa relay terletak antara pengguna dan situs, yang masing-masing hanya dapat mendekripsi sejumlah kecil data dalam paket yang diteruskan - cukup untuk mengetahui titik berikutnya dalam rantai dan mengirimkannya ke sana. Akibatnya, bahkan jika relay yang dikendalikan oleh penyerang atau sensor ditambahkan ke rantai, mereka tidak akan dapat menemukan alamat dan tujuan lalu lintas.

Tor bekerja secara efektif sebagai alat anti-sensor, namun sensor masih memiliki kemampuan untuk memblokirnya sepenuhnya. Iran dan Tiongkok telah melakukan kampanye pemblokiran yang sukses. Mereka mampu mengidentifikasi lalu lintas Tor dengan memindai jabat tangan TLS dan karakteristik khas Tor lainnya.

Selanjutnya, pengembang berhasil mengadaptasi sistem untuk melewati pemblokiran. Sensor merespons dengan memblokir koneksi HTTPS ke berbagai situs, termasuk Tor. Pengembang proyek membuat program obfsproxy, yang juga mengenkripsi lalu lintas. Kompetisi ini terus berlanjut.

Data awal percobaan

Para peneliti memutuskan untuk mengembangkan alat yang akan menutupi penggunaan Tor, sehingga memungkinkan penggunaannya bahkan di wilayah di mana sistemnya diblokir sepenuhnya.

• Sebagai asumsi awal, para ilmuwan mengemukakan hal-hal berikut:
• Sensor mengontrol segmen internal jaringan yang terisolasi, yang terhubung ke Internet eksternal tanpa sensor.
• Otoritas pemblokiran mengontrol seluruh infrastruktur jaringan dalam segmen jaringan yang disensor, tetapi tidak mengontrol perangkat lunak pada komputer pengguna akhir.
• Sensor berupaya mencegah pengguna mengakses materi yang tidak diinginkan dari sudut pandangnya; diasumsikan bahwa semua materi tersebut berlokasi di server di luar segmen jaringan yang dikendalikan.
• Router di perimeter segmen ini menganalisis data tidak terenkripsi dari semua paket untuk memblokir konten yang tidak diinginkan dan mencegah paket terkait menembus perimeter.
• Semua relai Tor terletak di luar perimeter.

Bagaimana itu bekerja

Untuk menyamarkan penggunaan Tor, peneliti menciptakan alat StegoTorus. Tujuan utamanya adalah untuk meningkatkan kemampuan Tor dalam menolak analisis protokol otomatis. Alat ini terletak di antara klien dan relai pertama dalam rantai, menggunakan protokol enkripsi dan modul steganografinya sendiri untuk mempersulit identifikasi lalu lintas Tor.

Pada langkah pertama, sebuah modul yang disebut helikopter ikut berperan - modul ini mengubah lalu lintas menjadi rangkaian blok dengan panjang yang bervariasi, yang dikirim lebih jauh secara tidak berurutan.

Data dienkripsi menggunakan AES dalam mode GCM. Header blok berisi nomor urut 32-bit, dua bidang panjang (d dan p) - ini menunjukkan jumlah data, bidang khusus F dan bidang pemeriksaan 56-bit, yang nilainya harus nol. Panjang blok minimum adalah 32 byte, dan maksimum adalah 217+32 byte. Panjangnya dikendalikan oleh modul steganografi.

Ketika koneksi dibuat, beberapa byte pertama informasi adalah pesan jabat tangan, dengan bantuannya server memahami apakah itu berhubungan dengan koneksi yang sudah ada atau koneksi baru. Jika koneksi milik tautan baru, maka server merespons dengan jabat tangan, dan masing-masing peserta pertukaran mengekstrak kunci sesi darinya. Selain itu, sistem menerapkan mekanisme rekeying - mirip dengan alokasi kunci sesi, tetapi blok digunakan sebagai pengganti pesan jabat tangan. Mekanisme ini mengubah nomor urut, namun tidak mempengaruhi ID link.

Setelah kedua peserta komunikasi mengirim dan menerima blok sirip, tautan ditutup. Untuk melindungi dari serangan replay atau penundaan pengiriman blok, kedua peserta harus mengingat ID berapa lama setelah penutupan.

Modul steganografi internal menyembunyikan lalu lintas Tor di dalam protokol p2p - mirip dengan cara kerja Skype dalam komunikasi VoIP yang aman. Modul steganografi HTTP mensimulasikan lalu lintas HTTP yang tidak terenkripsi. Sistem meniru pengguna sebenarnya dengan browser biasa.

Resistensi terhadap serangan

Untuk menguji seberapa besar metode yang diusulkan meningkatkan efisiensi Tor, para peneliti mengembangkan dua jenis serangan.

Yang pertama adalah memisahkan aliran Tor dari aliran TCP berdasarkan karakteristik dasar protokol Tor - ini adalah metode yang digunakan untuk memblokir sistem pemerintah Tiongkok. Serangan kedua melibatkan mempelajari aliran Tor yang sudah diketahui untuk mengekstrak informasi tentang situs mana yang telah dikunjungi pengguna.

Para peneliti mengkonfirmasi keefektifan jenis serangan pertama terhadap "vanilla Tor" - untuk ini mereka mengumpulkan jejak kunjungan ke situs-situs dari 10 Alexa.com teratas dua puluh kali melalui Tor biasa, obfsproxy dan StegoTorus dengan modul steganografi HTTP. Dataset CAIDA dengan data pada port 80 digunakan sebagai referensi perbandingan - hampir pasti semuanya adalah koneksi HTTP.

Eksperimen menunjukkan bahwa menghitung Tor biasa cukup mudah. Protokol Tor terlalu spesifik dan memiliki sejumlah karakteristik yang mudah dihitung - misalnya, saat menggunakannya, koneksi TCP bertahan 20-30 detik. Alat Obfsproxy juga tidak banyak menyembunyikan momen-momen nyata ini. StegoTorus, pada gilirannya, menghasilkan lalu lintas yang lebih dekat dengan referensi CAIDA.

Dalam kasus serangan situs yang dikunjungi, para peneliti membandingkan kemungkinan pengungkapan data dalam kasus “vanilla Tor” dan solusi StegoTorus mereka. Skala tersebut digunakan untuk penilaian AUC (Area di Bawah Kurva). Berdasarkan hasil analisis, ternyata dalam kasus Tor biasa tanpa perlindungan tambahan, kemungkinan pengungkapan data tentang situs yang dikunjungi jauh lebih tinggi.

Kesimpulan

Sejarah konfrontasi antara otoritas negara-negara yang menerapkan sensor di Internet dan pengembang sistem untuk melewati pemblokiran menunjukkan bahwa hanya tindakan perlindungan komprehensif yang bisa efektif. Menggunakan hanya satu alat tidak dapat menjamin akses ke data yang diperlukan dan informasi tentang melewati blok tidak akan diketahui oleh sensor.

Oleh karena itu, ketika menggunakan alat privasi dan akses konten apa pun, penting untuk diingat bahwa tidak ada solusi yang ideal, dan jika memungkinkan, gabungkan metode yang berbeda untuk mencapai efektivitas terbesar.

Tautan dan materi yang berguna dari infatica:

• Penelitian: Membuat layanan proxy yang tahan blok menggunakan teori permainan
• Sejarah pertarungan melawan sensor: bagaimana metode flash proxy yang dibuat oleh para ilmuwan dari MIT dan Stanford bekerja
• Cara memahami saat proxy berbohong: verifikasi lokasi fisik proxy jaringan menggunakan algoritme geolokasi aktif
• Cara menyamarkan diri Anda di Internet: membandingkan server dan proxy perumahan

Sumber: www.habr.com