Experiment: Cum să ascunzi utilizarea Tor pentru a ocoli blocurile

Cenzura internetului este o problemă din ce în ce mai importantă în întreaga lume. Acest lucru duce la o „cursă înarmărilor” din ce în ce mai intensă, deoarece agențiile guvernamentale și corporațiile private din diferite țări încearcă să blocheze diferite conținuturi și se luptă cu modalități de a ocoli astfel de restricții, în timp ce dezvoltatorii și cercetătorii se străduiesc să creeze instrumente eficiente pentru combaterea cenzurii.

Oamenii de știință de la Carnegie Mellon, Universitatea Stanford și universitățile SRI International au condus experiment, în timpul căruia au dezvoltat un serviciu special pentru a masca utilizarea Tor, unul dintre cele mai populare instrumente pentru ocolirea blocurilor. Vă prezentăm o poveste despre munca depusă de cercetători.

Tor împotriva blocării

Tor asigură anonimatul utilizatorilor prin utilizarea unor relee speciale – adică servere intermediare între utilizator și site-ul de care are nevoie. De obicei, între utilizator și site sunt amplasate mai multe relee, fiecare dintre acestea putând decripta doar o cantitate mică de date din pachetul redirecționat - doar suficient pentru a afla următorul punct din lanț și a-l trimite acolo. Drept urmare, chiar dacă în lanț se adaugă un releu controlat de atacatori sau cenzori, aceștia nu vor putea afla destinatarul și destinația traficului.

Tor funcționează eficient ca instrument anti-cenzură, dar cenzorii au încă capacitatea de a-l bloca complet. Iranul și China au desfășurat campanii de blocare cu succes. Au fost capabili să identifice traficul Tor prin scanarea strângerilor de mână TLS și a altor caracteristici distinctive ale Tor.

Ulterior, dezvoltatorii au reușit să adapteze sistemul pentru a ocoli blocarea. Cenzorii au răspuns blocând conexiunile HTTPS la o varietate de site-uri, inclusiv Tor. Dezvoltatorii proiectului au creat programul obfsproxy, care criptează suplimentar traficul. Această competiție continuă în mod constant.

Datele inițiale ale experimentului

Cercetătorii au decis să dezvolte un instrument care să mascheze utilizarea Tor, făcând posibilă utilizarea acestuia chiar și în regiunile în care sistemul este complet blocat.

• Ca ipoteze inițiale, oamenii de știință au propus următoarele:
• Cenzorul controlează un segment intern izolat al rețelei, care se conectează la internetul extern, necenzurat.
• Autoritățile de blocare controlează întreaga infrastructură de rețea din segmentul de rețea cenzurat, dar nu și software-ul de pe computerele utilizatorilor finali.
• Cenzorul urmărește să împiedice utilizatorii să acceseze materiale nedorite din punctul său de vedere, se presupune că toate aceste materiale sunt situate pe servere din afara segmentului de rețea controlată;
• Routerele de pe perimetrul acestui segment analizează datele necriptate ale tuturor pachetelor pentru a bloca conținutul nedorit și pentru a împiedica pachetele relevante să pătrundă în perimetru.
• Toate releele Tor sunt situate în afara perimetrului.

Cum funcționează

Pentru a disimula utilizarea Tor, cercetătorii au creat instrumentul StegoTorus. Scopul său principal este de a îmbunătăți capacitatea lui Tor de a rezista analizei automate a protocolului. Instrumentul este situat între client și primul releu din lanț, folosește propriul protocol de criptare și module de steganografie pentru a îngreuna identificarea traficului Tor.

La primul pas, intră în joc un modul numit chopper - transformă traficul într-o secvență de blocuri de lungimi variabile, care sunt trimise mai departe în dezordine.

Datele sunt criptate folosind AES în modul GCM. Antetul blocului conține un număr de secvență de 32 de biți, două câmpuri de lungime (d și p) - acestea indică cantitatea de date, un câmp special F și un câmp de verificare de 56 de biți, a cărui valoare trebuie să fie zero. Lungimea minimă a blocului este de 32 de octeți, iar cea maximă este de 217+32 de octeți. Lungimea este controlată de module de steganografie.

Când se stabilește o conexiune, primii câțiva octeți de informații sunt un mesaj de strângere de mână, cu ajutorul acestuia, serverul înțelege dacă are de-a face cu o conexiune existentă sau nouă. Dacă conexiunea aparține unei noi legături, atunci serverul răspunde printr-o strângere de mână și fiecare dintre participanții la schimb extrage cheile de sesiune din acesta. În plus, sistemul implementează un mecanism de reintroducere a tastei - este similar cu alocarea unei chei de sesiune, dar blocurile sunt folosite în locul mesajelor de strângere de mână. Acest mecanism modifică numărul de secvență, dar nu afectează ID-ul legăturii.

Odată ce ambii participanți la comunicare au trimis și primit blocul fin, legătura este închisă. Pentru a vă proteja împotriva atacurilor de reluare sau a bloca întârzierile de livrare, ambii participanți trebuie să-și amintească ID-ul pentru cât timp după închidere.

Modulul de steganografie încorporat ascunde traficul Tor în interiorul protocolului p2p - similar cu modul în care funcționează Skype în comunicațiile VoIP securizate. Modulul de steganografie HTTP simulează traficul HTTP necriptat. Sistemul imită un utilizator real cu un browser obișnuit.

Rezistenta la atacuri

Pentru a testa cât de mult îmbunătățește metoda propusă eficiența Tor, cercetătorii au dezvoltat două tipuri de atacuri.

Prima dintre acestea este separarea fluxurilor Tor de fluxurile TCP pe baza caracteristicilor fundamentale ale protocolului Tor - aceasta este metoda folosită pentru a bloca sistemul guvernamental chinez. Al doilea atac implică studierea fluxurilor Tor deja cunoscute pentru a extrage informații despre site-urile vizitate de utilizator.

Cercetătorii au confirmat eficacitatea primului tip de atac împotriva „vanilla Tor” - pentru aceasta au colectat urme ale vizitelor pe site-uri din primele 10 Alexa.com de douăzeci de ori prin Tor obișnuit, obfsproxy și StegoTorus cu un modul de steganografie HTTP. Setul de date CAIDA cu date de pe portul 80 a fost folosit ca referință pentru comparație - aproape sigur că toate acestea sunt conexiuni HTTP.

Experimentul a arătat că este destul de ușor să se calculeze Tor obișnuit. Protocolul Tor este prea specific și are o serie de caracteristici ușor de calculat - de exemplu, atunci când îl utilizați, conexiunile TCP durează 20-30 de secunde. De asemenea, instrumentul Obfsproxy face puțin pentru a ascunde aceste puncte evidente. StegoTorus, la rândul său, generează trafic mult mai aproape de referința CAIDA.

În cazul unui atac care a calculat site-urile vizitate, cercetătorii au comparat probabilitatea unei astfel de dezvăluiri de date în cazul „vanilla Tor” și soluția lor StegoTorus. Scala a fost folosită pentru evaluare ASC (Zona sub curbă). Conform rezultatelor analizei, s-a dovedit că, în cazul Tor obișnuit fără protecție suplimentară, probabilitatea dezvăluirii datelor despre site-urile vizitate este semnificativ mai mare.

Concluzie

Istoria confruntărilor dintre autoritățile țărilor care introduc cenzura pe internet și dezvoltatorii de sisteme de ocolire a blocării sugerează că numai măsurile de protecție cuprinzătoare pot fi eficiente. Folosirea unui singur instrument nu poate garanta accesul la datele necesare și acele informații despre ocolirea blocării nu vor deveni cunoscute cenzorilor.

Prin urmare, atunci când utilizați orice instrumente de confidențialitate și acces la conținut, este important să nu uitați că nu există soluții ideale și, acolo unde este posibil, combinați diferite metode pentru a obține cea mai mare eficacitate.

Link-uri si materiale utile de la Infatica:

• Cercetare: crearea unui serviciu proxy rezistent la blocare folosind teoria jocurilor
• Istoria luptei împotriva cenzurii: cum funcționează metoda flash proxy creată de oamenii de știință de la MIT și Stanford
• Cum să înțelegeți când proxy-urile mint: verificarea locațiilor fizice ale proxy-urilor de rețea folosind algoritmul activ de geolocalizare
• Cum să te deghizi pe Internet: comparând serverele proxy și rezidențiale

Sursa: www.habr.com