Abo
  • Services:
Anzeige
Das chinesische Zensursystem lernt regelmäßig dazu.
Das chinesische Zensursystem lernt regelmäßig dazu. (Bild: Philipp Winter/Screenshot:Golem.de)

Active Probing: Wie man Tor-Bridges in verschlüsseltem Traffic findet

Das chinesische Zensursystem lernt regelmäßig dazu.
Das chinesische Zensursystem lernt regelmäßig dazu. (Bild: Philipp Winter/Screenshot:Golem.de)

Chinas Internetzensoren sind offenbar erfindungsreich: Statt stumpf alle verschlüsselten Verbindungen zu blockieren, suchen die Zensoren aktiv nach Tor-Bridges, um diese zu unterbinden. Doch es gibt Möglichkeiten, die Zensur zu trollen.

Das Tor-Netzwerk wird in vielen Ländern zur Umgehung von Internetzensur genutzt. Doch immer wieder versuchen die staatlichen Zensoren, das Tool in ihren Netzen zu blockieren. Welche Technik dahintersteht, hat der Wissenschaftler Philipp Winter jetzt auf dem Hackerkongress 32C3 in Hamburg vorgestellt (Video).

Anzeige

Die chinesische Regierung nutzt seinen Angaben zufolge eine selbst entwickelte Technologie, die Winter Active Probing nennt. Denn nicht alle verschlüsselten Verbindungen enthalten Tor - und selbst China kann es sich wirtschaftlich nicht leisten, alle Verbindungen zu blockieren. Denn schon jetzt ist die Internetzensur eine Belastung für die Wirtschaft. Die Europäische Handelskammer in China hat in einer Umfrage ermittelt, dass 86 Prozent der europäischen Unternehmen im Land Internetzensur als großes Problem sehen.

Katz-und-Maus-Spiel

Vor einigen Jahren veröffentlichten die Tor-Entwickler noch vollständige Listen mit IP-Adressen - diese konnte die chinesische Führung einfach blocken. Dann versuchten die chinesischen Zensoren, bestimmte Eigenheiten des TLS-Handshakes von Tor herauszufiltern. Der Kampf um die Informationsfreiheit ist also ganz offensichtlich ein Katz-und-Maus-Spiel. Die Tor-Entwickler ändern ihre Traffic-Signatur immer wieder ab, um nicht entdeckt zu werden. "Wir haben mehrere Teams, die bei Tor nur an der Entwicklung neuer Methoden für 'Pluggable Transports' arbeiten", sagte Kate Krauss vom Tor-Projekt zu Golem.de. "Wenn autoritäre Staaten eine unserer Technologien blockieren, schalten wir einfach die nächste frei." Aktuell können Nutzer, wenn sie zum Beispiel den Tor-Browser starten, neben "Vanilla-Tor" auch "obsf2" und "obsf3" auswählen.

Um herauszufinden, welcher Server denn jetzt wirklich Tor spricht, schickt ein Netz chinesischer Proxy-Server einen Tor-Handshake an den verdächtigen Server im Ausland. Antwortet dieser mit einem gültigen Tor-Handshake wird der Server zu einer Blacklist hinzugefügt. Der anfragende Server beendet die Anfrage direkt, nachdem er festgestellt hat, dass es sich um einen Tor-Server handelt. Diese Blacklist wird regelmäßig aktualisiert - und auch um nicht mehr aktive Server bereinigt. Die von Winter und seinem Team erhobenen Daten deuten darauf hin, dass die Blockliste alle 25 Stunden erneuert wird - denn genau dann funktioniert der Blockmechanismus regelmäßig nicht.

Ein vergleichbares Verfahren wie bei Tor wendet die Firewall auch bei anderen Zensurumgehungstools wie VPNs an. Interessant ist, dass die Zensoren offenbar keine Vanilla-Installationen von Tor, OpenVPN und Co. verwenden, sondern die Programme für ihre Zwecke modifizieren. Was genau sie ändern, ist bislang aber nicht bekannt.

Die Firewall trollen

Winter stellte auch Wege vor, die chinesische Firewall zu trollen. Wenn man auf einem Server eine Tor-Bridge laufen lässt, könne man gezielt versuchen, die Aufmerksamkeit der Firewall zu wecken. Die Anzahl der möglichen Tor-Bridges, die parallel betrieben werden können, sei nur durch die verfügbaren Ports begrenzt, so Winter. Es sei also theoretisch möglich, mit nur einem /24-Netzwerk 16 Millionen Tor-Bridges zu erstellen. Dies könne die Große Firewall in ihrer Funktion beeinträchtigen - möglicherweise sei die Blocklist an einem Punkt schlicht voll.

Eine andere von Winter genannte Möglichkeit ist es, die anfragenden chinesischen Probes nicht aus der geöffneten Verbindung zu entlassen. Dann würden die Server einfach gar keine Antwort senden, so dass der Tracker länger beschäftigt sei. Dieses Vorgehen dürfte jedoch von der chinesischen Zensur recht einfach zu lösen sein, indem sie die Verbindung selbst beendet, wenn der Timeout zu lang wird. Die Probes selbst zu identifizieren dürfte außerdem schwer sein, denn während seiner Forschung hat Winter nach eigenen Angaben mehr als 16.000 verschiedene IP-Adressen entdeckt, die nach Tor-Bridges suchen, viele von ihnen waren nur einmal aktiv. Es könnte sich also auch um eine Art Botnetz handeln. Hier ist offenbar noch mehr Forschung erforderlich, um die chinesische Internetzensur vollständig zu entschlüsseln.

Nach Angaben des Tor-Projektes gibt es in China zahlreiche aktive Nutzer des Anonymisierungsdienstes. Diese würden sich in der Regel über die alternativen Protokolle verbinden, sagte Kate Krauss zu Golem.de.


eye home zur Startseite
Bouncy 30. Dez 2015

Deiner Meinung nach, und die begründest du nichtmal, vielmehr begründest du die...

narea 29. Dez 2015

Was erhoffst du dir denn daraus?



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Köln, Wissen im Westerwald
  2. TUI Deutschland GmbH, Hannover
  3. hmmh multimediahaus AG, Berlin
  4. GKC Dr. Öttl & Partner - Dairy and Food Consulting AG, Landshut bei München


Anzeige
Spiele-Angebote
  1. 54,85€
  2. 299,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Stiftung Warentest

    Mailbox und Posteo gewinnen Mailprovidertest

  2. Ausrüster

    Kein 5G-Supermobilfunk ohne Glasfasernetz

  3. SpaceX

    Warum Elon Musks Marsplan keine Science-Fiction ist

  4. Blau

    Prepaid-Kunden bekommen deutlich mehr Datenvolumen

  5. Mobilfunk

    Blackberry entwickelt keine Smartphones mehr

  6. Nvidia und Tomtom

    Besseres Cloud-Kartenmaterial für autonome Fahrzeuge

  7. Xavier

    Nvidias nächster Tegra soll extrem effizient sein

  8. 5G

    Ausrüster schweigen zu Dobrindts Supernetz-Ankündigung

  9. Techbold

    Gaming-PC nach Spiel, Auflösung und Framerate auswählen

  10. Besuch bei Dedrone

    Keine Chance für unerwünschte Flugobjekte



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Fitnessportale Die Spielifizierung des Sports

Forza Horizon 3 im Test: Autoparadies Australien
Forza Horizon 3 im Test
Autoparadies Australien
  1. Die Woche im Video Schneewittchen und das iPhone 7
  2. Forza Motorsport 6 PC-Rennspiel Apex fährt aus der Beta
  3. Microsoft Play Anywhere gilt für alle Spiele der Microsoft Studios

Interview mit Insider: Facebook hackt Staat und Gemeinschaft
Interview mit Insider
Facebook hackt Staat und Gemeinschaft
  1. Facebook 100.000 Hassinhalte in einem Monat gelöscht
  2. Nach Whatsapp-Datentausch Facebook und Oculus werden enger zusammengeführt
  3. Facebook 64 Die iOS-App wird über 150 MByte groß

  1. Re: warum Urheberrecht-Verletzung?

    crazypsycho | 18:56

  2. Re: "unter einer Millisekunde" ... ?

    tg-- | 18:55

  3. Als Passport Besitzer...

    grslbr | 18:54

  4. Re: Gmail auf dem letzten Platz...

    Snowi | 18:53

  5. Warum Elon Musks Marsplan doch Science-Fiction ist

    tg-- | 18:52


  1. 18:10

  2. 16:36

  3. 15:04

  4. 14:38

  5. 14:31

  6. 14:14

  7. 13:38

  8. 13:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel