Hur Kina blockerar Tor Anonymity Network

Tor-projektet är ett gratis nätverk som drivs av frivilliga som döljer användarnas platser och användning från övervakning och trafikanalys. I huvudsak ger det online anonymitet till alla som vill ha det.





Tor-användare kan skicka e-post och snabbmeddelanden, surfa på webbplatser och lägga upp innehåll online utan att någon vet vem eller var de är. Följaktligen är det allmänt erkänt som ett viktigt verktyg för yttrandefrihet.

Det är helt klart ett bekymmer för auktoritära regimer som vill kontrollera och begränsa sina medborgares tillgång till omvärlden. Den största och mest kraftfulla av dessa är Kina, och regeringen där driver en brandvägg som nekar sina medborgare tillgång till omvärlden online.

Det är då ingen överraskning att den stora brandväggen i Kina, som den kallas, aktivt blockerar åtkomst till Tor-nätverket. Så en intressant fråga är hur denna censur fungerar och hur den kan kringgås.



Idag ger Philipp Winter och Stefan Lindskog vid Karlstads universitet ett svar.

Dessa killar har genomfört en omfattande analys av hur Kinas stora brandvägg blockerar Tor och hur dessa åtgärder kan kringgås.

Först lite bakgrund om Tor. Låt oss föreställa oss en fiktiv användare som heter Alice. För att använda Tor-nätverket måste Alice först ladda ner gratisprogrampaketet, som hon kör på sin dator.



Denna programvara krypterar Alices onlinekommunikation och skickar den till en Tor-server som kallas ett ingångsrelä, som sedan dirigerar den slumpmässigt genom ett nätverk av Tor-reläer som drivs av volontärer runt om i världen. Alla som tar emot information från Alice kan spåra meddelandet endast till den sista Tor-servern.

Dessutom, eftersom avsändarens och mottagarens internetadress är krypterade medan de är i nätverket, kan en avlyssnare inte säga vem som skickade ett meddelande eller vart det är på väg.

Det uppenbara sättet för Kina att förhindra åtkomst till Tor är att blockera åtkomst inifrån landet till ingångsreläerna. Det är lätt eftersom inträdesreläerna är offentligt listade, och faktiskt, den stora brandväggen i Kina gör exakt detta.



Men i väntan på denna taktik driver Tor-nätverket alltid ett antal ingångsreläer utan att publicera deras detaljer. Dessa är mycket svårare att blockera och kan enkelt ändras.

Problemet är att den stora brandväggen i Kina verkar ha hittat ett sätt att upptäcka och blockera även dessa hemliga reläer.

Nu tror Winter och Lindskog att de har räknat ut hur detta går till. Tricket har varit att sätta upp sitt eget hemliga relä och att försöka ansluta till det inifrån Kina (som bygger på tidigare arbeten av Tim Wilde på Team Cymru).



Tor-mjukvaran som Alice kör måste ansluta till alla Tor-reläer som den kontaktar med hjälp av ett speciellt handskakningsprotokoll. Detta protokoll innehåller unika kodsekvenser.

Winter och Lindskog säger att brandväggen använder djup mönsterinspektion för att leta efter den här koden i all utgående kommunikation. Om den hittar den antar den en potentiell Tor-anslutning. Den försöker sedan skapa sin egen koppling. Om det fungerar blockerar brandväggen framtida åtkomst till denna IP-adress.

Imponerande nog har Winter och Lindskog utarbetat detaljerna om hur djuppaketinspektionen gör detta.

Ännu mer imponerande är att dessa killar har använt Googles omvända DNS-sökningstjänst för att ta reda på vem som verkar ligga bakom denna censur. Bevisen pekar starkt på två av Kinas största telekomföretag: China Telecom och China Unicom.

Båda dessa organisationer är statliga och helt klart väl lämpade att driva en brandvägg i denna skala.

Så vad ska man göra? Med sin nyvunna kunskap om hur Kinas stora brandvägg fungerar, föreslår Winter och Lindskog ett antal strategier som Tor-användare kan utnyttja för att slå den.

En idé är paketfragmentering – att dela upp paketen för att förvirra det djupa paketinspektionssystemet så att det inte enkelt kan hitta och blockera hemliga reläer.

Det är dock beroende av att alla Tor-användare använder paketfragmentering. En enskild Tor-användare som ansluter till ett hemligt relä på konventionellt sätt kommer att ge bort det, vilket gör att myndigheterna kan blockera det.

Den kanske mest lovande vägen är ett verktyg som för närvarande utvecklas som heter Obfsproxy. Detta kamouflerar Tor-trafik, vilket gör att det ser ut som något annat, som till exempel Skype-trafik.

Kina är uppenbarligen oroad över detta tillvägagångssätt. Den stora brandväggen i Kina blockerar för närvarande alla publicerade reläer som är utformade för att använda Obfsproxy. Winter och Lindskog satte dock upp ett privat Obfsproxy-relä i Sverige och kopplade framgångsrikt till det inifrån Kina. Vi initierade flera anslutningar till den under flera timmar och kunde alltid framgångsrikt etablera en Tor-krets, säger de.

Det verkar bevisa att djuppaketinspektionssystemet inte kan upptäcka privata Obfsproxy-reläer och ser därför ut som en lovande väg framåt.

Den främsta anledningen till att den stora brandväggen kan upptäcka Tor-trafik är att den lätt kan skiljas från andra typer av internettrafik. Det är avgörande att denna särskiljbarhet minimeras, avslutar Winter och Lindskog.

Det finns förstås en bredare fråga. Eftersom Tor är en öppen och transparent organisation, sker den här typen av diskussioner om hur man bäst kan kringgå den kinesiska brandväggen oundvikligen offentligt, med full syn på de kinesiska myndigheterna som de försöker överlista.

Blotta publiceringen av Winter och Lindskogs tidning ger de kinesiska myndigheterna full bild av de tekniker som dessa killar har använt för att avslöja hur brandväggen fungerar.

Säkerhetsanalytiker och utvecklarna bakom Tor måste vara mycket frestade att dölja sina överväganden och skydda sitt framtida arbete bakom en ogenomtränglig slöja av sekretess. Det måste man motstå.

Den här typen av öppen diskussion kan vara som att slåss med en hand bunden bakom ryggen. Men så är väl priset för frihet.

Ref: arxiv.org/abs/1204.0447 : Hur Kina blockerar Tor

Dölj