Esperimento: come mascherare l'uso di Tor per aggirare i blocchi

La censura di Internet è una questione sempre più importante in tutto il mondo. Ciò sta portando a un’intensificazione della “corsa agli armamenti” poiché agenzie governative e società private in diversi paesi cercano di bloccare vari contenuti e lottano per aggirare tali restrizioni, mentre sviluppatori e ricercatori si sforzano di creare strumenti efficaci per combattere la censura.

Lo hanno condotto scienziati della Carnegie Mellon, della Stanford University e delle università SRI International esperimento, durante il quale hanno sviluppato un servizio speciale per mascherare l'uso di Tor, uno degli strumenti più popolari per aggirare i blocchi. Vi presentiamo una storia sul lavoro svolto dai ricercatori.

Tor contro il blocco

Tor garantisce l'anonimato degli utenti attraverso l'utilizzo di relè speciali, ovvero server intermedi tra l'utente e il sito di cui ha bisogno. Di solito, tra l'utente e il sito si trovano diversi relè, ognuno dei quali può decrittografare solo una piccola quantità di dati nel pacchetto inoltrato, quanto basta per scoprire il punto successivo della catena e inviarlo lì. Di conseguenza, anche se alla catena viene aggiunto un relè controllato da aggressori o censori, questi non saranno in grado di scoprire il destinatario e la destinazione del traffico.

Tor funziona efficacemente come strumento anti-censura, ma i censori hanno comunque la capacità di bloccarlo completamente. Iran e Cina hanno condotto con successo campagne di blocco. Sono stati in grado di identificare il traffico Tor scansionando gli handshake TLS e altre caratteristiche distintive di Tor.

Successivamente gli sviluppatori sono riusciti ad adattare il sistema per aggirare il blocco. I censori hanno risposto bloccando le connessioni HTTPS a una varietà di siti, incluso Tor. Gli sviluppatori del progetto hanno creato il programma obfsproxy, che crittografa ulteriormente il traffico. Questa competizione continua costantemente.

Dati iniziali dell'esperimento

I ricercatori hanno deciso di sviluppare uno strumento in grado di mascherare l'utilizzo di Tor, rendendone possibile l'utilizzo anche nelle regioni in cui il sistema è completamente bloccato.

• Come ipotesi iniziali, gli scienziati hanno avanzato quanto segue:
• Il censore controlla un segmento interno isolato della rete, che si collega a Internet esterno e non censurato.
• Le autorità di blocco controllano l'intera infrastruttura di rete all'interno del segmento di rete censurato, ma non il software sui computer degli utenti finali.
• Il censore cerca di impedire agli utenti l'accesso a materiali che dal suo punto di vista non sono desiderabili; si presuppone che tutti questi materiali si trovino su server al di fuori del segmento di rete controllato.
• I router sul perimetro di questo segmento analizzano i dati non crittografati di tutti i pacchetti per bloccare i contenuti indesiderati e impedire ai pacchetti rilevanti di penetrare nel perimetro.
• Tutti i relè Tor si trovano fuori dal perimetro.

Come funziona

Per mascherare l'uso di Tor, i ricercatori hanno creato lo strumento StegoTorus. Il suo obiettivo principale è migliorare la capacità di Tor di resistere all'analisi automatizzata del protocollo. Lo strumento si trova tra il client e il primo relè della catena, utilizza il proprio protocollo di crittografia e moduli di steganografia per rendere difficile l'identificazione del traffico Tor.

Nella prima fase entra in gioco un modulo chiamato chopper: converte il traffico in una sequenza di blocchi di varia lunghezza, che vengono inviati ulteriormente fuori ordine.

I dati vengono crittografati utilizzando AES in modalità GCM. L'intestazione del blocco contiene un numero di sequenza a 32 bit, due campi di lunghezza (d e p) - questi indicano la quantità di dati, un campo speciale F e un campo di controllo a 56 bit, il cui valore deve essere zero. La lunghezza minima del blocco è 32 byte e la massima è 217+32 byte. La lunghezza è controllata da moduli di steganografia.

Quando viene stabilita una connessione, i primi byte di informazioni sono un messaggio di handshake, con il suo aiuto il server capisce se si tratta di una connessione esistente o nuova. Se la connessione appartiene a un nuovo collegamento, il server risponde con un handshake e ciascuno dei partecipanti allo scambio ne estrae le chiavi di sessione. Inoltre, il sistema implementa un meccanismo di rekeying: è simile all'assegnazione di una chiave di sessione, ma vengono utilizzati blocchi invece dei messaggi di handshake. Questo meccanismo modifica il numero di sequenza, ma non influisce sull'ID del collegamento.

Una volta che entrambi i partecipanti alla comunicazione hanno inviato e ricevuto il blocco pin, il collegamento viene chiuso. Per proteggersi da attacchi di replay o bloccare ritardi nella consegna, entrambi i partecipanti devono ricordare l'ID per quanto tempo dopo la chiusura.

Il modulo di steganografia integrato nasconde il traffico Tor all'interno del protocollo p2p, in modo simile a come funziona Skype nelle comunicazioni VoIP sicure. Il modulo di steganografia HTTP simula il traffico HTTP non crittografato. Il sistema imita un utente reale con un normale browser.

Resistenza agli attacchi

Per testare quanto il metodo proposto migliora l’efficienza di Tor, i ricercatori hanno sviluppato due tipologie di attacchi.

Il primo è separare i flussi Tor dai flussi TCP in base alle caratteristiche fondamentali del protocollo Tor: questo è il metodo utilizzato per bloccare il sistema governativo cinese. Il secondo attacco prevede lo studio dei flussi Tor già noti per estrarre informazioni su quali siti ha visitato l'utente.

I ricercatori hanno confermato l'efficacia del primo tipo di attacco contro "vanilla Tor": per questo hanno raccolto tracce di visite ai siti dei primi 10 Alexa.com venti volte tramite Tor normale, obfsproxy e StegoTorus con un modulo di steganografia HTTP. Come riferimento per il confronto è stato utilizzato il set di dati CAIDA con i dati sulla porta 80: quasi certamente si tratta tutte di connessioni HTTP.

L'esperimento ha dimostrato che è abbastanza semplice calcolare il Tor regolare. Il protocollo Tor è troppo specifico e presenta una serie di caratteristiche facili da calcolare: ad esempio, quando lo si utilizza, le connessioni TCP durano 20-30 secondi. Anche lo strumento Obfsproxy fa ben poco per nascondere questi punti ovvi. StegoTorus, a sua volta, genera traffico molto più vicino al riferimento CAIDA.

Nel caso di un attacco ai siti visitati, i ricercatori hanno confrontato la probabilità di tale divulgazione di dati nel caso di “vanilla Tor” e della loro soluzione StegoTorus. La scala è stata utilizzata per la valutazione AUC (Area sotto curva). Sulla base dei risultati dell'analisi, si è scoperto che nel caso del Tor normale senza protezione aggiuntiva, la probabilità di divulgare dati sui siti visitati è significativamente più elevata.

conclusione

La storia del confronto tra le autorità dei paesi che introducono la censura su Internet e gli sviluppatori di sistemi per aggirare i blocchi suggerisce che solo misure di protezione globali possono essere efficaci. L'utilizzo di un solo strumento non può garantire l'accesso ai dati necessari e che le informazioni su come aggirare il blocco non diventino note alla censura.

Pertanto, quando si utilizzano strumenti di privacy e accesso ai contenuti, è importante non dimenticare che non esistono soluzioni ideali e, ove possibile, combinare metodi diversi per ottenere la massima efficacia.

Link utili e materiali da Infatica:

• Ricerca: creazione di un servizio proxy resistente ai blocchi utilizzando la teoria dei giochi
• La storia della lotta alla censura: come funziona il metodo flash proxy creato dagli scienziati del MIT e di Stanford
• Come capire quando i proxy mentono: verifica delle posizioni fisiche dei proxy di rete utilizzando l'algoritmo di geolocalizzazione attiva
• Come camuffarsi su Internet: confronto server e proxy residenziali

Fonte: habr.com