Active Probing: Wie man Tor-Bridges in verschlüsseltem Traffic findet

Chinas Internetzensoren sind offenbar erfindungsreich: Statt stumpf alle verschlüsselten Verbindungen zu blockieren, suchen die Zensoren aktiv nach Tor-Bridges, um diese zu unterbinden. Doch es gibt Möglichkeiten, die Zensur zu trollen.

Artikel veröffentlicht am ,
Das chinesische Zensursystem lernt regelmäßig dazu.
Das chinesische Zensursystem lernt regelmäßig dazu. (Bild: Philipp Winter/Screenshot:Golem.de)

Das Tor-Netzwerk wird in vielen Ländern zur Umgehung von Internetzensur genutzt. Doch immer wieder versuchen die staatlichen Zensoren, das Tool in ihren Netzen zu blockieren. Welche Technik dahintersteht, hat der Wissenschaftler Philipp Winter jetzt auf dem Hackerkongress 32C3 in Hamburg vorgestellt (Video).

Stellenmarkt
  1. Absolvent (m/w/d) für Rechenkernbetreuung in der Krankenversicherung
    Württembergische Krankenversicherung AG, Stuttgart
  2. IT System Administrator (m/w/d)
    Gesellschaft für Grund- und Hausbesitz mbH, Heidelberg
Detailsuche

Die chinesische Regierung nutzt seinen Angaben zufolge eine selbst entwickelte Technologie, die Winter Active Probing nennt. Denn nicht alle verschlüsselten Verbindungen enthalten Tor - und selbst China kann es sich wirtschaftlich nicht leisten, alle Verbindungen zu blockieren. Denn schon jetzt ist die Internetzensur eine Belastung für die Wirtschaft. Die Europäische Handelskammer in China hat in einer Umfrage ermittelt, dass 86 Prozent der europäischen Unternehmen im Land Internetzensur als großes Problem sehen.

Katz-und-Maus-Spiel

Vor einigen Jahren veröffentlichten die Tor-Entwickler noch vollständige Listen mit IP-Adressen - diese konnte die chinesische Führung einfach blocken. Dann versuchten die chinesischen Zensoren, bestimmte Eigenheiten des TLS-Handshakes von Tor herauszufiltern. Der Kampf um die Informationsfreiheit ist also ganz offensichtlich ein Katz-und-Maus-Spiel. Die Tor-Entwickler ändern ihre Traffic-Signatur immer wieder ab, um nicht entdeckt zu werden. "Wir haben mehrere Teams, die bei Tor nur an der Entwicklung neuer Methoden für 'Pluggable Transports' arbeiten", sagte Kate Krauss vom Tor-Projekt zu Golem.de. "Wenn autoritäre Staaten eine unserer Technologien blockieren, schalten wir einfach die nächste frei." Aktuell können Nutzer, wenn sie zum Beispiel den Tor-Browser starten, neben "Vanilla-Tor" auch "obsf2" und "obsf3" auswählen.

Um herauszufinden, welcher Server denn jetzt wirklich Tor spricht, schickt ein Netz chinesischer Proxy-Server einen Tor-Handshake an den verdächtigen Server im Ausland. Antwortet dieser mit einem gültigen Tor-Handshake wird der Server zu einer Blacklist hinzugefügt. Der anfragende Server beendet die Anfrage direkt, nachdem er festgestellt hat, dass es sich um einen Tor-Server handelt. Diese Blacklist wird regelmäßig aktualisiert - und auch um nicht mehr aktive Server bereinigt. Die von Winter und seinem Team erhobenen Daten deuten darauf hin, dass die Blockliste alle 25 Stunden erneuert wird - denn genau dann funktioniert der Blockmechanismus regelmäßig nicht.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    6.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Ein vergleichbares Verfahren wie bei Tor wendet die Firewall auch bei anderen Zensurumgehungstools wie VPNs an. Interessant ist, dass die Zensoren offenbar keine Vanilla-Installationen von Tor, OpenVPN und Co. verwenden, sondern die Programme für ihre Zwecke modifizieren. Was genau sie ändern, ist bislang aber nicht bekannt.

Die Firewall trollen

Winter stellte auch Wege vor, die chinesische Firewall zu trollen. Wenn man auf einem Server eine Tor-Bridge laufen lässt, könne man gezielt versuchen, die Aufmerksamkeit der Firewall zu wecken. Die Anzahl der möglichen Tor-Bridges, die parallel betrieben werden können, sei nur durch die verfügbaren Ports begrenzt, so Winter. Es sei also theoretisch möglich, mit nur einem /24-Netzwerk 16 Millionen Tor-Bridges zu erstellen. Dies könne die Große Firewall in ihrer Funktion beeinträchtigen - möglicherweise sei die Blocklist an einem Punkt schlicht voll.

Eine andere von Winter genannte Möglichkeit ist es, die anfragenden chinesischen Probes nicht aus der geöffneten Verbindung zu entlassen. Dann würden die Server einfach gar keine Antwort senden, so dass der Tracker länger beschäftigt sei. Dieses Vorgehen dürfte jedoch von der chinesischen Zensur recht einfach zu lösen sein, indem sie die Verbindung selbst beendet, wenn der Timeout zu lang wird. Die Probes selbst zu identifizieren dürfte außerdem schwer sein, denn während seiner Forschung hat Winter nach eigenen Angaben mehr als 16.000 verschiedene IP-Adressen entdeckt, die nach Tor-Bridges suchen, viele von ihnen waren nur einmal aktiv. Es könnte sich also auch um eine Art Botnetz handeln. Hier ist offenbar noch mehr Forschung erforderlich, um die chinesische Internetzensur vollständig zu entschlüsseln.

Nach Angaben des Tor-Projektes gibt es in China zahlreiche aktive Nutzer des Anonymisierungsdienstes. Diese würden sich in der Regel über die alternativen Protokolle verbinden, sagte Kate Krauss zu Golem.de.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fälschung
Wieder Abmahnungen wegen Youporn-Streaming

Diesmal hat sich ein besonders dummer Betrüger an Abmahnungen zum Streaming bei Youporn versucht. In dem Brief stimmt fast keine Angabe.

Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
Artikel
  1. Zweirad-Elektromobilität: Erscheinungsdatum des E-Bikes Sondors-Metacycle verkündet
    Zweirad-Elektromobilität
    Erscheinungsdatum des E-Bikes Sondors-Metacycle verkündet

    Das Elektromotorrad Metacycle von Sondors fährt 130 km/h, kommt 130 km weit und wird teurer als gedacht. Auch das Produktionsdatum steht fest.

  2. Deutsche Telekom: Netflix, Facebook und Amazon sollen für Netzausbau zahlen
    Deutsche Telekom
    Netflix, Facebook und Amazon sollen für Netzausbau zahlen

    Deutsche Telekom, Vodafone und 11 weitere große europäische Netzbetreiber wollen jetzt Geld von den Content-Konzernen aus den USA sehen.

  3. 800 MHz: Bundesnetzagentur dürfte nächste Auktion absagen
    800 MHz
    Bundesnetzagentur dürfte nächste Auktion absagen

    1&1 wird sich das neue Vorgehen nicht gefallen lassen. 800 MHz bietet wichtige Flächenfrequenzen auf dem Lande.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: Bis zu 75% auf Switch-Spiele • Bis zu 300€ Direktabzug auf TVs, Laptops uvm. bei MM/Saturn • Blizzard-Geschenkkarten für WoW uvm. • AMD Ryzen 7 5800X 348€ • Bis 50% auf beyerdynamic + Gratis-Kopfhörer [Werbung]
    •  /