Abo
  • Services:
Anzeige
Das chinesische Zensursystem lernt regelmäßig dazu.
Das chinesische Zensursystem lernt regelmäßig dazu. (Bild: Philipp Winter/Screenshot:Golem.de)

Active Probing: Wie man Tor-Bridges in verschlüsseltem Traffic findet

Das chinesische Zensursystem lernt regelmäßig dazu.
Das chinesische Zensursystem lernt regelmäßig dazu. (Bild: Philipp Winter/Screenshot:Golem.de)

Chinas Internetzensoren sind offenbar erfindungsreich: Statt stumpf alle verschlüsselten Verbindungen zu blockieren, suchen die Zensoren aktiv nach Tor-Bridges, um diese zu unterbinden. Doch es gibt Möglichkeiten, die Zensur zu trollen.

Das Tor-Netzwerk wird in vielen Ländern zur Umgehung von Internetzensur genutzt. Doch immer wieder versuchen die staatlichen Zensoren, das Tool in ihren Netzen zu blockieren. Welche Technik dahintersteht, hat der Wissenschaftler Philipp Winter jetzt auf dem Hackerkongress 32C3 in Hamburg vorgestellt (Video).

Anzeige

Die chinesische Regierung nutzt seinen Angaben zufolge eine selbst entwickelte Technologie, die Winter Active Probing nennt. Denn nicht alle verschlüsselten Verbindungen enthalten Tor - und selbst China kann es sich wirtschaftlich nicht leisten, alle Verbindungen zu blockieren. Denn schon jetzt ist die Internetzensur eine Belastung für die Wirtschaft. Die Europäische Handelskammer in China hat in einer Umfrage ermittelt, dass 86 Prozent der europäischen Unternehmen im Land Internetzensur als großes Problem sehen.

Katz-und-Maus-Spiel

Vor einigen Jahren veröffentlichten die Tor-Entwickler noch vollständige Listen mit IP-Adressen - diese konnte die chinesische Führung einfach blocken. Dann versuchten die chinesischen Zensoren, bestimmte Eigenheiten des TLS-Handshakes von Tor herauszufiltern. Der Kampf um die Informationsfreiheit ist also ganz offensichtlich ein Katz-und-Maus-Spiel. Die Tor-Entwickler ändern ihre Traffic-Signatur immer wieder ab, um nicht entdeckt zu werden. "Wir haben mehrere Teams, die bei Tor nur an der Entwicklung neuer Methoden für 'Pluggable Transports' arbeiten", sagte Kate Krauss vom Tor-Projekt zu Golem.de. "Wenn autoritäre Staaten eine unserer Technologien blockieren, schalten wir einfach die nächste frei." Aktuell können Nutzer, wenn sie zum Beispiel den Tor-Browser starten, neben "Vanilla-Tor" auch "obsf2" und "obsf3" auswählen.

Um herauszufinden, welcher Server denn jetzt wirklich Tor spricht, schickt ein Netz chinesischer Proxy-Server einen Tor-Handshake an den verdächtigen Server im Ausland. Antwortet dieser mit einem gültigen Tor-Handshake wird der Server zu einer Blacklist hinzugefügt. Der anfragende Server beendet die Anfrage direkt, nachdem er festgestellt hat, dass es sich um einen Tor-Server handelt. Diese Blacklist wird regelmäßig aktualisiert - und auch um nicht mehr aktive Server bereinigt. Die von Winter und seinem Team erhobenen Daten deuten darauf hin, dass die Blockliste alle 25 Stunden erneuert wird - denn genau dann funktioniert der Blockmechanismus regelmäßig nicht.

Ein vergleichbares Verfahren wie bei Tor wendet die Firewall auch bei anderen Zensurumgehungstools wie VPNs an. Interessant ist, dass die Zensoren offenbar keine Vanilla-Installationen von Tor, OpenVPN und Co. verwenden, sondern die Programme für ihre Zwecke modifizieren. Was genau sie ändern, ist bislang aber nicht bekannt.

Die Firewall trollen

Winter stellte auch Wege vor, die chinesische Firewall zu trollen. Wenn man auf einem Server eine Tor-Bridge laufen lässt, könne man gezielt versuchen, die Aufmerksamkeit der Firewall zu wecken. Die Anzahl der möglichen Tor-Bridges, die parallel betrieben werden können, sei nur durch die verfügbaren Ports begrenzt, so Winter. Es sei also theoretisch möglich, mit nur einem /24-Netzwerk 16 Millionen Tor-Bridges zu erstellen. Dies könne die Große Firewall in ihrer Funktion beeinträchtigen - möglicherweise sei die Blocklist an einem Punkt schlicht voll.

Eine andere von Winter genannte Möglichkeit ist es, die anfragenden chinesischen Probes nicht aus der geöffneten Verbindung zu entlassen. Dann würden die Server einfach gar keine Antwort senden, so dass der Tracker länger beschäftigt sei. Dieses Vorgehen dürfte jedoch von der chinesischen Zensur recht einfach zu lösen sein, indem sie die Verbindung selbst beendet, wenn der Timeout zu lang wird. Die Probes selbst zu identifizieren dürfte außerdem schwer sein, denn während seiner Forschung hat Winter nach eigenen Angaben mehr als 16.000 verschiedene IP-Adressen entdeckt, die nach Tor-Bridges suchen, viele von ihnen waren nur einmal aktiv. Es könnte sich also auch um eine Art Botnetz handeln. Hier ist offenbar noch mehr Forschung erforderlich, um die chinesische Internetzensur vollständig zu entschlüsseln.

Nach Angaben des Tor-Projektes gibt es in China zahlreiche aktive Nutzer des Anonymisierungsdienstes. Diese würden sich in der Regel über die alternativen Protokolle verbinden, sagte Kate Krauss zu Golem.de.


eye home zur Startseite
Bouncy 30. Dez 2015

Deiner Meinung nach, und die begründest du nichtmal, vielmehr begründest du die...

narea 29. Dez 2015

Was erhoffst du dir denn daraus?



Anzeige

Stellenmarkt
  1. Continental AG, Regensburg
  2. ADAC SE, München
  3. Syna GmbH, Frankfurt am Main
  4. über Ratbacher GmbH, Raum Nürnberg


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. 5K-Display

    LG Ultrafine 5K mit Verbindungsproblemen zum Mac

  2. IOS, TVOS, MacOS und WatchOS

    Apple aktualisiert seine Betriebssysteme

  3. Ohrhörer

    Apples Airpods verlieren bei Telefonaten die Verbindung

  4. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  5. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  6. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  7. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  8. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  9. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  10. Internetzensur

    China macht VPN genehmigungspflichtig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. Potus Donald Trump übernimmt präsidiales Twitter-Konto
  2. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  3. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

  1. Re: Die Qualität der Autofahrer lässt eh immer...

    david_rieger | 08:02

  2. Re: 2019 Ausgeliefert, bis dahin gibts 5 neue...

    kellemann | 07:54

  3. Re: "Wir bauen mehr Glasfaser als jeder andere...

    NaruHina | 07:51

  4. Re: Das einzige was diese Mouthbreather verstehen...

    Reudiga | 07:47

  5. Re: Endlich :-)

    merodac | 07:46


  1. 07:59

  2. 07:39

  3. 07:23

  4. 18:19

  5. 17:28

  6. 17:07

  7. 16:55

  8. 16:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel