Experimento: como disfarçar o uso do Tor para contornar bloqueios
A censura na Internet é uma questão cada vez mais importante em todo o mundo. Isto está a levar a uma intensificação da “corrida armamentista”, à medida que agências governamentais e empresas privadas em diferentes países procuram bloquear vários conteúdos e lutam com formas de contornar tais restrições, enquanto os desenvolvedores e investigadores se esforçam para criar ferramentas eficazes para combater a censura.
Cientistas da Carnegie Mellon, da Universidade de Stanford e das universidades SRI International conduziram experiência, durante o qual desenvolveram um serviço especial para mascarar o uso do Tor, uma das ferramentas mais populares para contornar bloqueios. Apresentamos a vocês uma história sobre o trabalho realizado pelos pesquisadores.
Tor contra bloqueio
O Tor garante o anonimato dos usuários por meio do uso de retransmissores especiais - ou seja, servidores intermediários entre o usuário e o site de que ele necessita. Normalmente, vários relés estão localizados entre o usuário e o site, cada um dos quais pode descriptografar apenas uma pequena quantidade de dados no pacote encaminhado - apenas o suficiente para descobrir o próximo ponto da cadeia e enviá-lo para lá. Como resultado, mesmo que um retransmissor controlado por invasores ou censores seja adicionado à cadeia, eles não conseguirão descobrir o destinatário e o destino do tráfego.
O Tor funciona efetivamente como uma ferramenta anticensura, mas os censores ainda têm a capacidade de bloqueá-lo completamente. O Irão e a China conduziram campanhas de bloqueio bem-sucedidas. Eles conseguiram identificar o tráfego do Tor verificando handshakes TLS e outras características distintas do Tor.
Posteriormente, os desenvolvedores conseguiram adaptar o sistema para contornar o bloqueio. Os censores responderam bloqueando conexões HTTPS para vários sites, incluindo o Tor. Os desenvolvedores do projeto criaram o programa obfsproxy, que criptografa adicionalmente o tráfego. Esta competição continua constantemente.
Dados iniciais do experimento
Os pesquisadores decidiram desenvolver uma ferramenta que mascarasse o uso do Tor, possibilitando seu uso mesmo em regiões onde o sistema está totalmente bloqueado.
Como suposições iniciais, os cientistas apresentaram o seguinte:
O censor controla um segmento interno isolado da rede, que se conecta à Internet externa e sem censura.
As autoridades de bloqueio controlam toda a infraestrutura de rede dentro do segmento de rede censurado, mas não o software nos computadores dos usuários finais.
O censor procura impedir que os usuários acessem materiais indesejáveis do seu ponto de vista; presume-se que todos esses materiais estejam localizados em servidores fora do segmento de rede controlado.
Os roteadores no perímetro deste segmento analisam os dados não criptografados de todos os pacotes para bloquear conteúdo indesejado e impedir que pacotes relevantes penetrem no perímetro.
Todos os relés Tor estão localizados fora do perímetro.
Как это работает
Para disfarçar o uso do Tor, os pesquisadores criaram a ferramenta StegoTorus. Seu principal objetivo é melhorar a capacidade do Tor de resistir à análise automatizada de protocolos. A ferramenta está localizada entre o cliente e o primeiro retransmissor da cadeia, utiliza seu próprio protocolo de criptografia e módulos de esteganografia para dificultar a identificação do tráfego Tor.
Na primeira etapa, um módulo chamado chopper entra em ação - ele converte o tráfego em uma sequência de blocos de comprimentos variados, que são enviados ainda mais fora de ordem.
Os dados são criptografados usando AES no modo GCM. O cabeçalho do bloco contém um número de sequência de 32 bits, dois campos de comprimento (d e p) - estes indicam a quantidade de dados, um campo especial F e um campo de verificação de 56 bits, cujo valor deve ser zero. O comprimento mínimo do bloco é 32 bytes e o máximo é 217+32 bytes. O comprimento é controlado por módulos de esteganografia.
Quando uma conexão é estabelecida, os primeiros bytes de informação são uma mensagem de handshake, com sua ajuda o servidor entende se está lidando com uma conexão existente ou nova. Se a conexão pertencer a um novo link, o servidor responde com um aperto de mão e cada um dos participantes da troca extrai dele as chaves de sessão. Além disso, o sistema implementa um mecanismo de rechaveamento - é semelhante à atribuição de uma chave de sessão, mas são usados blocos em vez de mensagens de handshake. Este mecanismo altera o número de sequência, mas não afeta o ID do link.
Depois que ambos os participantes da comunicação enviarem e receberem o bloco fin, o link será fechado. Para se proteger contra ataques de repetição ou atrasos na entrega do bloco, ambos os participantes devem lembrar o ID por quanto tempo após o fechamento.
O módulo de esteganografia integrado oculta o tráfego Tor dentro do protocolo p2p - semelhante à forma como o Skype funciona em comunicações VoIP seguras. O módulo de esteganografia HTTP simula o tráfego HTTP não criptografado. O sistema imita um usuário real com um navegador normal.
Resistência a ataques
Para testar o quanto o método proposto melhora a eficiência do Tor, os pesquisadores desenvolveram dois tipos de ataques.
A primeira delas é separar os fluxos Tor dos fluxos TCP com base nas características fundamentais do protocolo Tor – este é o método usado para bloquear o sistema do governo chinês. O segundo ataque envolve estudar fluxos Tor já conhecidos para extrair informações sobre quais sites o usuário visitou.
Os pesquisadores confirmaram a eficácia do primeiro tipo de ataque contra o “Vanilla Tor” - para isso, eles coletaram vestígios de visitas a sites dos 10 principais Alexa.com vinte vezes por meio de Tor regular, obfsproxy e StegoTorus com um módulo de esteganografia HTTP. O conjunto de dados CAIDA com dados na porta 80 foi usado como referência para comparação - quase certamente todas são conexões HTTP.
O experimento mostrou que é muito fácil calcular o Tor regular. O protocolo Tor é muito específico e possui uma série de características fáceis de calcular - por exemplo, ao usá-lo, as conexões TCP duram de 20 a 30 segundos. A ferramenta Obfsproxy também faz pouco para esconder esses momentos óbvios. O StegoTorus, por sua vez, gera tráfego muito mais próximo da referência CAIDA.
No caso de um ataque a sites visitados, os pesquisadores compararam a probabilidade de tal divulgação de dados no caso do “Vanilla Tor” e sua solução StegoTorus. A escala foi usada para avaliação AUC (Área sob a curva). Com base nos resultados da análise, descobriu-se que, no caso do Tor normal sem proteção adicional, a probabilidade de divulgação de dados sobre os sites visitados é significativamente maior.
Conclusão
A história de confronto entre as autoridades dos países que introduzem a censura na Internet e os criadores de sistemas para contornar o bloqueio sugere que apenas medidas de protecção abrangentes podem ser eficazes. O uso de apenas uma ferramenta não pode garantir o acesso aos dados necessários e que as informações sobre como contornar o bloqueio não serão conhecidas pelos censores.
Portanto, ao utilizar quaisquer ferramentas de privacidade e acesso a conteúdos, é importante não esquecer que não existem soluções ideais e, sempre que possível, combinar diferentes métodos para obter a maior eficácia.