Abo
  • IT-Karriere:

Active Probing: Wie man Tor-Bridges in verschlüsseltem Traffic findet

Chinas Internetzensoren sind offenbar erfindungsreich: Statt stumpf alle verschlüsselten Verbindungen zu blockieren, suchen die Zensoren aktiv nach Tor-Bridges, um diese zu unterbinden. Doch es gibt Möglichkeiten, die Zensur zu trollen.

Artikel veröffentlicht am ,
Das chinesische Zensursystem lernt regelmäßig dazu.
Das chinesische Zensursystem lernt regelmäßig dazu. (Bild: Philipp Winter/Screenshot:Golem.de)

Das Tor-Netzwerk wird in vielen Ländern zur Umgehung von Internetzensur genutzt. Doch immer wieder versuchen die staatlichen Zensoren, das Tool in ihren Netzen zu blockieren. Welche Technik dahintersteht, hat der Wissenschaftler Philipp Winter jetzt auf dem Hackerkongress 32C3 in Hamburg vorgestellt (Video).

Stellenmarkt
  1. WBS GRUPPE, Berlin
  2. dreisechzig ITC GmbH, Dreieich

Die chinesische Regierung nutzt seinen Angaben zufolge eine selbst entwickelte Technologie, die Winter Active Probing nennt. Denn nicht alle verschlüsselten Verbindungen enthalten Tor - und selbst China kann es sich wirtschaftlich nicht leisten, alle Verbindungen zu blockieren. Denn schon jetzt ist die Internetzensur eine Belastung für die Wirtschaft. Die Europäische Handelskammer in China hat in einer Umfrage ermittelt, dass 86 Prozent der europäischen Unternehmen im Land Internetzensur als großes Problem sehen.

Katz-und-Maus-Spiel

Vor einigen Jahren veröffentlichten die Tor-Entwickler noch vollständige Listen mit IP-Adressen - diese konnte die chinesische Führung einfach blocken. Dann versuchten die chinesischen Zensoren, bestimmte Eigenheiten des TLS-Handshakes von Tor herauszufiltern. Der Kampf um die Informationsfreiheit ist also ganz offensichtlich ein Katz-und-Maus-Spiel. Die Tor-Entwickler ändern ihre Traffic-Signatur immer wieder ab, um nicht entdeckt zu werden. "Wir haben mehrere Teams, die bei Tor nur an der Entwicklung neuer Methoden für 'Pluggable Transports' arbeiten", sagte Kate Krauss vom Tor-Projekt zu Golem.de. "Wenn autoritäre Staaten eine unserer Technologien blockieren, schalten wir einfach die nächste frei." Aktuell können Nutzer, wenn sie zum Beispiel den Tor-Browser starten, neben "Vanilla-Tor" auch "obsf2" und "obsf3" auswählen.

Um herauszufinden, welcher Server denn jetzt wirklich Tor spricht, schickt ein Netz chinesischer Proxy-Server einen Tor-Handshake an den verdächtigen Server im Ausland. Antwortet dieser mit einem gültigen Tor-Handshake wird der Server zu einer Blacklist hinzugefügt. Der anfragende Server beendet die Anfrage direkt, nachdem er festgestellt hat, dass es sich um einen Tor-Server handelt. Diese Blacklist wird regelmäßig aktualisiert - und auch um nicht mehr aktive Server bereinigt. Die von Winter und seinem Team erhobenen Daten deuten darauf hin, dass die Blockliste alle 25 Stunden erneuert wird - denn genau dann funktioniert der Blockmechanismus regelmäßig nicht.

Ein vergleichbares Verfahren wie bei Tor wendet die Firewall auch bei anderen Zensurumgehungstools wie VPNs an. Interessant ist, dass die Zensoren offenbar keine Vanilla-Installationen von Tor, OpenVPN und Co. verwenden, sondern die Programme für ihre Zwecke modifizieren. Was genau sie ändern, ist bislang aber nicht bekannt.

Die Firewall trollen

Winter stellte auch Wege vor, die chinesische Firewall zu trollen. Wenn man auf einem Server eine Tor-Bridge laufen lässt, könne man gezielt versuchen, die Aufmerksamkeit der Firewall zu wecken. Die Anzahl der möglichen Tor-Bridges, die parallel betrieben werden können, sei nur durch die verfügbaren Ports begrenzt, so Winter. Es sei also theoretisch möglich, mit nur einem /24-Netzwerk 16 Millionen Tor-Bridges zu erstellen. Dies könne die Große Firewall in ihrer Funktion beeinträchtigen - möglicherweise sei die Blocklist an einem Punkt schlicht voll.

Eine andere von Winter genannte Möglichkeit ist es, die anfragenden chinesischen Probes nicht aus der geöffneten Verbindung zu entlassen. Dann würden die Server einfach gar keine Antwort senden, so dass der Tracker länger beschäftigt sei. Dieses Vorgehen dürfte jedoch von der chinesischen Zensur recht einfach zu lösen sein, indem sie die Verbindung selbst beendet, wenn der Timeout zu lang wird. Die Probes selbst zu identifizieren dürfte außerdem schwer sein, denn während seiner Forschung hat Winter nach eigenen Angaben mehr als 16.000 verschiedene IP-Adressen entdeckt, die nach Tor-Bridges suchen, viele von ihnen waren nur einmal aktiv. Es könnte sich also auch um eine Art Botnetz handeln. Hier ist offenbar noch mehr Forschung erforderlich, um die chinesische Internetzensur vollständig zu entschlüsseln.

Nach Angaben des Tor-Projektes gibt es in China zahlreiche aktive Nutzer des Anonymisierungsdienstes. Diese würden sich in der Regel über die alternativen Protokolle verbinden, sagte Kate Krauss zu Golem.de.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,99€
  3. 0,49€
  4. 4,99€

Bouncy 30. Dez 2015

Deiner Meinung nach, und die begründest du nichtmal, vielmehr begründest du die...

narea 29. Dez 2015

Was erhoffst du dir denn daraus?


Folgen Sie uns
       


Zenbook Pro Duo - Hands on

Braucht man das? Gut aussehen tut das Zenbook Pro Duo jedenfalls.

Zenbook Pro Duo - Hands on Video aufrufen
Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
    Final Fantasy 7 Remake angespielt
    Cloud Strife und die (fast) unendliche Geschichte

    E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

    1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
    2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
    3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

    Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
    Doom Eternal angespielt
    Die nächste Ballerorgie von id macht uns fix und fertig

    E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

    1. Sigil John Romero setzt Doom fort

      •  /