Anzeige
Das chinesische Zensursystem lernt regelmäßig dazu.
Das chinesische Zensursystem lernt regelmäßig dazu. (Bild: Philipp Winter/Screenshot:Golem.de)

Active Probing: Wie man Tor-Bridges in verschlüsseltem Traffic findet

Das chinesische Zensursystem lernt regelmäßig dazu.
Das chinesische Zensursystem lernt regelmäßig dazu. (Bild: Philipp Winter/Screenshot:Golem.de)

Chinas Internetzensoren sind offenbar erfindungsreich: Statt stumpf alle verschlüsselten Verbindungen zu blockieren, suchen die Zensoren aktiv nach Tor-Bridges, um diese zu unterbinden. Doch es gibt Möglichkeiten, die Zensur zu trollen.

Das Tor-Netzwerk wird in vielen Ländern zur Umgehung von Internetzensur genutzt. Doch immer wieder versuchen die staatlichen Zensoren, das Tool in ihren Netzen zu blockieren. Welche Technik dahintersteht, hat der Wissenschaftler Philipp Winter jetzt auf dem Hackerkongress 32C3 in Hamburg vorgestellt (Video).

Anzeige

Die chinesische Regierung nutzt seinen Angaben zufolge eine selbst entwickelte Technologie, die Winter Active Probing nennt. Denn nicht alle verschlüsselten Verbindungen enthalten Tor - und selbst China kann es sich wirtschaftlich nicht leisten, alle Verbindungen zu blockieren. Denn schon jetzt ist die Internetzensur eine Belastung für die Wirtschaft. Die Europäische Handelskammer in China hat in einer Umfrage ermittelt, dass 86 Prozent der europäischen Unternehmen im Land Internetzensur als großes Problem sehen.

Katz-und-Maus-Spiel

Vor einigen Jahren veröffentlichten die Tor-Entwickler noch vollständige Listen mit IP-Adressen - diese konnte die chinesische Führung einfach blocken. Dann versuchten die chinesischen Zensoren, bestimmte Eigenheiten des TLS-Handshakes von Tor herauszufiltern. Der Kampf um die Informationsfreiheit ist also ganz offensichtlich ein Katz-und-Maus-Spiel. Die Tor-Entwickler ändern ihre Traffic-Signatur immer wieder ab, um nicht entdeckt zu werden. "Wir haben mehrere Teams, die bei Tor nur an der Entwicklung neuer Methoden für 'Pluggable Transports' arbeiten", sagte Kate Krauss vom Tor-Projekt zu Golem.de. "Wenn autoritäre Staaten eine unserer Technologien blockieren, schalten wir einfach die nächste frei." Aktuell können Nutzer, wenn sie zum Beispiel den Tor-Browser starten, neben "Vanilla-Tor" auch "obsf2" und "obsf3" auswählen.

Um herauszufinden, welcher Server denn jetzt wirklich Tor spricht, schickt ein Netz chinesischer Proxy-Server einen Tor-Handshake an den verdächtigen Server im Ausland. Antwortet dieser mit einem gültigen Tor-Handshake wird der Server zu einer Blacklist hinzugefügt. Der anfragende Server beendet die Anfrage direkt, nachdem er festgestellt hat, dass es sich um einen Tor-Server handelt. Diese Blacklist wird regelmäßig aktualisiert - und auch um nicht mehr aktive Server bereinigt. Die von Winter und seinem Team erhobenen Daten deuten darauf hin, dass die Blockliste alle 25 Stunden erneuert wird - denn genau dann funktioniert der Blockmechanismus regelmäßig nicht.

Ein vergleichbares Verfahren wie bei Tor wendet die Firewall auch bei anderen Zensurumgehungstools wie VPNs an. Interessant ist, dass die Zensoren offenbar keine Vanilla-Installationen von Tor, OpenVPN und Co. verwenden, sondern die Programme für ihre Zwecke modifizieren. Was genau sie ändern, ist bislang aber nicht bekannt.

Die Firewall trollen

Winter stellte auch Wege vor, die chinesische Firewall zu trollen. Wenn man auf einem Server eine Tor-Bridge laufen lässt, könne man gezielt versuchen, die Aufmerksamkeit der Firewall zu wecken. Die Anzahl der möglichen Tor-Bridges, die parallel betrieben werden können, sei nur durch die verfügbaren Ports begrenzt, so Winter. Es sei also theoretisch möglich, mit nur einem /24-Netzwerk 16 Millionen Tor-Bridges zu erstellen. Dies könne die Große Firewall in ihrer Funktion beeinträchtigen - möglicherweise sei die Blocklist an einem Punkt schlicht voll.

Eine andere von Winter genannte Möglichkeit ist es, die anfragenden chinesischen Probes nicht aus der geöffneten Verbindung zu entlassen. Dann würden die Server einfach gar keine Antwort senden, so dass der Tracker länger beschäftigt sei. Dieses Vorgehen dürfte jedoch von der chinesischen Zensur recht einfach zu lösen sein, indem sie die Verbindung selbst beendet, wenn der Timeout zu lang wird. Die Probes selbst zu identifizieren dürfte außerdem schwer sein, denn während seiner Forschung hat Winter nach eigenen Angaben mehr als 16.000 verschiedene IP-Adressen entdeckt, die nach Tor-Bridges suchen, viele von ihnen waren nur einmal aktiv. Es könnte sich also auch um eine Art Botnetz handeln. Hier ist offenbar noch mehr Forschung erforderlich, um die chinesische Internetzensur vollständig zu entschlüsseln.

Nach Angaben des Tor-Projektes gibt es in China zahlreiche aktive Nutzer des Anonymisierungsdienstes. Diese würden sich in der Regel über die alternativen Protokolle verbinden, sagte Kate Krauss zu Golem.de.


eye home zur Startseite
Bouncy 30. Dez 2015

Deiner Meinung nach, und die begründest du nichtmal, vielmehr begründest du die...

narea 29. Dez 2015

Was erhoffst du dir denn daraus?

Kommentieren



Anzeige

Stellenmarkt
  1. OCLC GmbH, Böhl-Iggelheim bei Mannheim
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. IVU Traffic Technologies AG, Berlin, Aachen
  4. medizinfuchs GmbH, Berlin


Anzeige
Top-Angebote
  1. ab 219,00€
  2. (u. a. Core i7-6700K, i5-6600K, i7-5820K)

Folgen Sie uns
       


  1. Kompressionsverfahren

    Dropbox portiert Brotli auf Rust

  2. Amazon

    Smartphone-Kauf wird durch Werbeeinblendungen billiger

  3. EM-Drive

    Der Warp-Antrieb muss noch warten

  4. Faster

    Googles Seekabel ist fertig

  5. Uncharted 4

    Nathan Drake mit Level 70

  6. BVG

    U-Bahn nutzt für WiFi-Hotspots eigenes Glasfasernetz

  7. Brexit

    Nordrhein-Westfalen wirbt um Vodafone-Konzernzentrale

  8. Like-Buttons

    Facebook darf Daten von Nicht-Nutzern weiter speichern

  9. Linux-Distributor

    Canonical drängt Hoster zu Ubuntu-Markenlizenzen

  10. Klage gegen Apple

    Angeblicher iPhone-Erfinder will 21 Milliarden US-Dollar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

Mobbing auf Wikipedia: Content-Vandalismus, Drohungen und Beschimpfung
Mobbing auf Wikipedia
Content-Vandalismus, Drohungen und Beschimpfung
  1. Freies Wissen Katherine Maher wird dauerhafte Wikimedia-Chefin

  1. Re: Amazon ist sehr Kulant!

    tribal-sunrise | 12:23

  2. Re: Kann man die wirklich verwenden?

    ElDiablo | 12:23

  3. Re: Wirklich übel!

    ElDiablo | 12:21

  4. Re: Egal wie es ausgeht, GB ist der dumme

    AllDayPiano | 12:21

  5. Re: An alle die wegen PCI nun verunsichert sind

    ElDiablo | 12:21


  1. 12:20

  2. 12:17

  3. 12:06

  4. 12:05

  5. 11:18

  6. 11:15

  7. 10:03

  8. 09:36


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel