211service.com
Kā Ķīna bloķē Tor anonimitātes tīklu
Tor Project ir bezmaksas tīkls, ko vada brīvprātīgie, kas slēpj lietotāju atrašanās vietas un lietojumu no uzraudzības un satiksmes analīzes. Būtībā tas nodrošina tiešsaistes anonimitāti ikvienam, kas to vēlas.
Tor lietotāji var sūtīt e-pastu un tūlītējās ziņas, sērfot vietnēs un publicēt saturu tiešsaistē, nevienam nezinot, kas un kur viņi atrodas. Līdz ar to tas ir plaši atzīts par svarīgu vārda brīvības instrumentu.
Tas nepārprotami rada bažas autoritāriem režīmiem, kuri vēlas kontrolēt un ierobežot savu pilsoņu piekļuvi ārpasaulei. Lielākā un spēcīgākā no tām ir Ķīna, un tur valdība izmanto ugunsmūri, kas liedz saviem pilsoņiem tiešsaistes piekļuvi ārpasaulei.
Nav pārsteigums, ka Ķīnas Lielais ugunsmūris, kā to sauc, aktīvi bloķē piekļuvi Tor tīklam. Tāpēc interesants jautājums ir par to, kā šī cenzūra darbojas un kā to varētu apiet.
Šodien atbildi sniedz Filips Vinters un Stefans Lindskogs Karlstades universitātē Zviedrijā.
Šie puiši ir veikuši visaptverošu analīzi par to, kā Lielais Ķīnas ugunsmūris bloķē Tor un kā šos pasākumus varētu apiet.
Pirmkārt, mazliet par Tor. Iedomāsimies izdomātu lietotāju, vārdā Alise. Lai izmantotu Tor tīklu, Alisei vispirms ir jālejupielādē bezmaksas programmatūras pakotne, kuru viņa palaiž savā datorā.
Šī programmatūra šifrē Alises tiešsaistes saziņu un nosūta to uz Tor serveri, ko sauc par ieejas releju, kas pēc tam nejauši novirza to caur Tor releju tīklu, ko vada brīvprātīgie visā pasaulē. Ikviens, kas saņem informāciju no Alises, var izsekot ziņojumu tikai līdz pēdējam Tor serverim.
Turklāt, tā kā sūtītāja un saņēmēja interneta adrese tiek šifrēta, kamēr tie atrodas tīklā, noklausītājs nevar pateikt, kurš nosūtījis ziņojumu un kur tas dodas.
Acīmredzamais veids, kā Ķīna var novērst piekļuvi Tor, ir bloķēt piekļuvi ieejas relejiem no valsts iekšienes. Tas ir vienkārši, jo ieejas releji ir publiski uzskaitīti, un Ķīnas Lielais ugunsmūris dara tieši to.
Tomēr, gaidot šo taktiku, Tor tīkls vienmēr darbojas ar vairākiem ievades relejiem, nepublicējot to informāciju. Tos ir daudz grūtāk bloķēt, un tos var viegli mainīt.
Problēma ir tāda, ka Ķīnas Lielais ugunsmūris, šķiet, ir atradis veidu, kā atklāt un bloķēt arī šos slepenos relejus.
Tagad Vinters un Lindskogs domā, ka ir sapratuši, kā tas tiek darīts. Triks ir bijis izveidot savu slepeno releju un mēģināt izveidot savienojumu ar to no Ķīnas iekšpuses (pamatojoties uz Tima Vailda iepriekšējo darbu Team Cymru).
Alises darbinātajai Tor programmatūrai ir jāsavieno ar jebkuru Tor releju, ar kuru tā saskaras, izmantojot īpašu rokasspiediena protokolu. Šis protokols satur unikālas koda secības.
Winter un Lindskog saka, ka ugunsmūris izmanto dziļu modeļa pārbaudi, lai meklētu šo kodu visos izejošos sakaros. Ja tas to atrod, tas pieņem potenciālu Tor savienojumu. Pēc tam tas mēģina izveidot savu savienojumu. Ja tas darbojas, ugunsmūris bloķē turpmāku piekļuvi šai IP adresei.
Iespaidīgi ir tas, ka Vinters un Lindskog ir izstrādājuši sīkāku informāciju par to, kā to dara dziļā pakešu pārbaude.
Vēl iespaidīgāk šie puiši ir izmantojuši Google reversās DNS uzmeklēšanas pakalpojumu, lai noskaidrotu, kurš, šķiet, ir aiz šīs cenzūras. Pierādījumi stingri norāda uz diviem Ķīnas lielākajiem telekomunikāciju uzņēmumiem: China Telecom un China Unicom.
Abas šīs organizācijas pieder valdībai, un tām ir nepārprotami labas iespējas izmantot šāda mēroga ugunsmūri.
Tātad, ko darīt? Ņemot vērā jaunās zināšanas par Ķīnas Lielā ugunsmūra darbību, Vinters un Lindskogs iesaka vairākas stratēģijas, kuras Tor lietotāji varētu izmantot, lai to pārspētu.
Viena no idejām ir pakešu sadrumstalotība — pakešu sadalīšana, lai sajauktu dziļo pakešu pārbaudes sistēmu, lai tā nevarētu viegli atrast un bloķēt slepenos relejus.
Tomēr tas ir atkarīgs no visiem Tor lietotājiem, kuri izmanto pakešu sadrumstalotību. Viens Tor lietotājs, kurš izveido savienojumu ar slepeno releju parastajā veidā, to atdos, ļaujot iestādēm to bloķēt.
Iespējams, visdaudzsološākā iespēja ir pašlaik izstrādātais rīks Obfsproxy. Tas maskē Tor trafiku, liekot tai izskatīties pēc kaut kā cita, piemēram, Skype trafika.
Ķīna ir acīmredzami noraizējusies par šo pieeju. Lielais Ķīnas ugunsmūris pašlaik bloķē visus publicētos relejus, kas paredzēti Obfsproxy lietošanai. Tomēr Vinters un Lindskogs izveidoja privātu Obfsproxy releju Zviedrijā un veiksmīgi izveidoja savienojumu ar to no Ķīnas iekšpuses. Viņi saka, ka mēs ar to izveidojām vairākus savienojumus vairāku stundu laikā un vienmēr varējām veiksmīgi izveidot Tor ķēdi.
Šķiet, ka tas pierāda, ka dziļā pakešu pārbaudes sistēma nevar pamanīt privātos Obfsproxy relejus un tāpēc izskatās kā daudzsološs ceļš uz priekšu.
Galvenais iemesls, kāpēc Lielais ugunsmūris spēj noteikt Tor trafiku, ir tas, ka to var viegli atšķirt no citiem interneta trafika veidiem. Ir ļoti svarīgi, lai šī atšķiramība tiktu samazināta līdz minimumam, secina Vinters un Lindskogs.
Protams, ir plašāks jautājums. Tā kā Tor ir atvērta un caurspīdīga organizācija, šāda veida diskusijas par to, kā vislabāk apiet Ķīnas ugunsmūri, neizbēgami notiek publiski, pilnībā ņemot vērā Ķīnas varas iestādes, kuras tās cenšas pārspēt.
Vintera un Lindskoga raksta publicēšana vien sniedz Ķīnas varas iestādēm pilnīgu priekšstatu par metodēm, kuras šie puiši ir izmantojuši, lai atklātu ugunsmūra darbību.
Drošības analītiķiem un Tor izstrādātājiem ir jājūt kārdinājums slēpt savas pārdomas un aizsargāt savu turpmāko darbu aiz necaurredzama noslēpuma plīvura. Tam ir jāpretojas.
Šāda veida atklātas diskusijas var līdzināties cīņai ar vienu roku sasietu aiz muguras. Taču tāda noteikti ir brīvības cena.
Atsauce: arxiv.org/abs/1204.0447 : Kā Ķīna bloķē Tor