Experimento: como disfarçar o uso do Tor para contornar bloqueios

A censura na Internet é uma questão cada vez mais importante em todo o mundo. Isto está a levar a uma intensificação da “corrida armamentista”, à medida que agências governamentais e empresas privadas em diferentes países procuram bloquear vários conteúdos e lutam com formas de contornar tais restrições, enquanto os desenvolvedores e investigadores se esforçam para criar ferramentas eficazes para combater a censura.

Cientistas da Carnegie Mellon, da Universidade de Stanford e das universidades SRI International conduziram experiência, durante o qual desenvolveram um serviço especial para mascarar o uso do Tor, uma das ferramentas mais populares para contornar bloqueios. Apresentamos a vocês uma história sobre o trabalho realizado pelos pesquisadores.

Tor contra bloqueio

O Tor garante o anonimato dos usuários por meio do uso de retransmissores especiais - ou seja, servidores intermediários entre o usuário e o site de que ele necessita. Normalmente, vários relés estão localizados entre o usuário e o site, cada um dos quais pode descriptografar apenas uma pequena quantidade de dados no pacote encaminhado - apenas o suficiente para descobrir o próximo ponto da cadeia e enviá-lo para lá. Como resultado, mesmo que um retransmissor controlado por invasores ou censores seja adicionado à cadeia, eles não conseguirão descobrir o destinatário e o destino do tráfego.

O Tor funciona efetivamente como uma ferramenta anticensura, mas os censores ainda têm a capacidade de bloqueá-lo completamente. O Irão e a China conduziram campanhas de bloqueio bem-sucedidas. Eles conseguiram identificar o tráfego do Tor verificando handshakes TLS e outras características distintas do Tor.

Posteriormente, os desenvolvedores conseguiram adaptar o sistema para contornar o bloqueio. Os censores responderam bloqueando conexões HTTPS para vários sites, incluindo o Tor. Os desenvolvedores do projeto criaram o programa obfsproxy, que criptografa adicionalmente o tráfego. Esta competição continua constantemente.

Dados iniciais do experimento

Os pesquisadores decidiram desenvolver uma ferramenta que mascarasse o uso do Tor, possibilitando seu uso mesmo em regiões onde o sistema está totalmente bloqueado.

• Como suposições iniciais, os cientistas apresentaram o seguinte:
• O censor controla um segmento interno isolado da rede, que se conecta à Internet externa e sem censura.
• As autoridades de bloqueio controlam toda a infraestrutura de rede dentro do segmento de rede censurado, mas não o software nos computadores dos usuários finais.
• O censor procura impedir que os usuários acessem materiais indesejáveis ​​​​do seu ponto de vista; presume-se que todos esses materiais estejam localizados em servidores fora do segmento de rede controlado.
• Os roteadores no perímetro deste segmento analisam os dados não criptografados de todos os pacotes para bloquear conteúdo indesejado e impedir que pacotes relevantes penetrem no perímetro.
• Todos os relés Tor estão localizados fora do perímetro.

Как это работает

Para disfarçar o uso do Tor, os pesquisadores criaram a ferramenta StegoTorus. Seu principal objetivo é melhorar a capacidade do Tor de resistir à análise automatizada de protocolos. A ferramenta está localizada entre o cliente e o primeiro retransmissor da cadeia, utiliza seu próprio protocolo de criptografia e módulos de esteganografia para dificultar a identificação do tráfego Tor.

Na primeira etapa, um módulo chamado chopper entra em ação - ele converte o tráfego em uma sequência de blocos de comprimentos variados, que são enviados ainda mais fora de ordem.

Os dados são criptografados usando AES no modo GCM. O cabeçalho do bloco contém um número de sequência de 32 bits, dois campos de comprimento (d e p) - estes indicam a quantidade de dados, um campo especial F e um campo de verificação de 56 bits, cujo valor deve ser zero. O comprimento mínimo do bloco é 32 bytes e o máximo é 217+32 bytes. O comprimento é controlado por módulos de esteganografia.

Quando uma conexão é estabelecida, os primeiros bytes de informação são uma mensagem de handshake, com sua ajuda o servidor entende se está lidando com uma conexão existente ou nova. Se a conexão pertencer a um novo link, o servidor responde com um aperto de mão e cada um dos participantes da troca extrai dele as chaves de sessão. Além disso, o sistema implementa um mecanismo de rechaveamento - é semelhante à atribuição de uma chave de sessão, mas são usados ​​​​blocos em vez de mensagens de handshake. Este mecanismo altera o número de sequência, mas não afeta o ID do link.

Depois que ambos os participantes da comunicação enviarem e receberem o bloco fin, o link será fechado. Para se proteger contra ataques de repetição ou atrasos na entrega do bloco, ambos os participantes devem lembrar o ID por quanto tempo após o fechamento.

O módulo de esteganografia integrado oculta o tráfego Tor dentro do protocolo p2p - semelhante à forma como o Skype funciona em comunicações VoIP seguras. O módulo de esteganografia HTTP simula o tráfego HTTP não criptografado. O sistema imita um usuário real com um navegador normal.

Resistência a ataques

Para testar o quanto o método proposto melhora a eficiência do Tor, os pesquisadores desenvolveram dois tipos de ataques.

A primeira delas é separar os fluxos Tor dos fluxos TCP com base nas características fundamentais do protocolo Tor – este é o método usado para bloquear o sistema do governo chinês. O segundo ataque envolve estudar fluxos Tor já conhecidos para extrair informações sobre quais sites o usuário visitou.

Os pesquisadores confirmaram a eficácia do primeiro tipo de ataque contra o “Vanilla Tor” - para isso, eles coletaram vestígios de visitas a sites dos 10 principais Alexa.com vinte vezes por meio de Tor regular, obfsproxy e StegoTorus com um módulo de esteganografia HTTP. O conjunto de dados CAIDA com dados na porta 80 foi usado como referência para comparação - quase certamente todas são conexões HTTP.

O experimento mostrou que é muito fácil calcular o Tor regular. O protocolo Tor é muito específico e possui uma série de características fáceis de calcular - por exemplo, ao usá-lo, as conexões TCP duram de 20 a 30 segundos. A ferramenta Obfsproxy também faz pouco para esconder esses momentos óbvios. O StegoTorus, por sua vez, gera tráfego muito mais próximo da referência CAIDA.

No caso de um ataque a sites visitados, os pesquisadores compararam a probabilidade de tal divulgação de dados no caso do “Vanilla Tor” e sua solução StegoTorus. A escala foi usada para avaliação AUC (Área sob a curva). Com base nos resultados da análise, descobriu-se que, no caso do Tor normal sem proteção adicional, a probabilidade de divulgação de dados sobre os sites visitados é significativamente maior.

Conclusão

A história de confronto entre as autoridades dos países que introduzem a censura na Internet e os criadores de sistemas para contornar o bloqueio sugere que apenas medidas de protecção abrangentes podem ser eficazes. O uso de apenas uma ferramenta não pode garantir o acesso aos dados necessários e que as informações sobre como contornar o bloqueio não serão conhecidas pelos censores.

Portanto, ao utilizar quaisquer ferramentas de privacidade e acesso a conteúdos, é importante não esquecer que não existem soluções ideais e, sempre que possível, combinar diferentes métodos para obter a maior eficácia.

Links úteis e materiais de Infática:

• Pesquisa: Criando um serviço de proxy resistente a bloqueios usando a teoria dos jogos
• A história da luta contra a censura: como funciona o método flash proxy criado por cientistas do MIT e de Stanford
• Como entender quando os proxies estão mentindo: verificação de localizações físicas de proxies de rede usando o algoritmo de geolocalização ativo
• Como se disfarçar na Internet: comparando servidores e proxies residenciais

Fonte: habr.com