Регистрация06.08 // Система Telex: как власти одних стран могут нейтрализовать интернет-цензуру в других
Свободный обмен идеями, новостями и другой информацией в интернете может способствовать различным социальным изменениям. Разработчики системы Telex обосновывают это традиционной риторикой, включающей термины “арабская весна 2011 года” и “репрессивные режимы”. Отбросив в сторону морально-политические аспекты (а данный проект потенциально способен поставить их достаточно радикальным образом), интересно рассмотреть техническую сторону вопроса.
Предположим, что в некоторой стране существует жёсткая интернет-цензура. Под предлогом борьбы с различными опасными и нежелательными для общества явлениями власти блокируют доступ к определённым веб-сайтам и другим сетевым сервисам. Также они регулярно следят за разного рода прокси-сервисами, виртуальными частными сетями, сетями анонимного доступа (наподобие Tor, Freedom или I2P). Все узлы, через которые может быть предоставлен анонимный доступ, также регулярно отыскиваются, вносятся в чёрный список и блокируются.
Пусть блокирование и отслеживание производится не только по IP-адресам, но и на основе т.н. глубокой инспекции пакетов – анализа содержимого трафика. Даже если пользователь смог пробиться через незаблокированный ресурс, его гипотетически могут вызвать на допрос позднее, когда факт использования ресурса выявится на основе анализа предыдущих перехваченных данных, после чего могут задать вопросы вида: “зачем вы использовали шифрованный туннель с сервером, на котором вы не являетесь администратором хостинга?” и т.д. Сам факт привлечения внимания попытками обойти цензуру может быть критически компрометирующим для пользователя, например в случае участия в секретных организациях, занимающихся деятельностью, преследуемой государством.
Можно ли обойти жёсткую интернет-цензуру такого рода и при таких ограничениях? Не считая конечно самых крайних вариантов – полное отключение интернета или превращение его в интранет, ограниченный пределами одной страны (на данный момент такой вариант существует в Северной Корее – содержимое общедоступного интернета частично “копируется” во внутреннюю ограниченную изолированную сеть практически ручной работой цензоров).
Авторы проекта Telex отвечают утвердительно при некоторых дополнительных допущениях:
- Трафик за пределы страны должен быть разрешён.
- Должен допускаться трафик, шифрованный https, хотя бы к одному произвольному адресу. Это допущение считается разумным в рамках необходимости доступа к интернет-коммерции, сайтам с безопасным вводом паролей и др. Такой адрес не является прокси-сервером и его владельцы не будут подозревать, что он используется для прикрытия.
- Противоцензурная система Telex разворачивается не поверх интернета, а путём внедрения в его инфраструктуру. Это практически исключает участие добровольцев и требует усилий госслужб противоборствующих государств.
- Противник системы (цензор) не является глобально контролирующим систему интернета (глобальным цензором) и не может контролировать весь путь прохождения пакетов в сети.
Остальные ограничения, преимущества, возможности и необычные особенности противоцензурной системы Telex можно понять из описания принципов её работы.
У пользователя на компьютере должна быть установлена клиентская программа. Он может скрытно получить её даже на флэшке (“из рук-в-руки”). Кроме самого факта наличия программы ему не потребуется что-либо скрывать или иметь какие-то долгосрочные секреты от цензоров (типа секретных прокси-серверов).
Во все современные браузеры встроен протокол шифрованного соединения https и всё больше сервисов в интернете его поддерживают для ввода паролей и другого типа безопасного обмена данными. Пользователю достаточно сделать такой запрос к любому безобидно выглядещяму сервису, находящемуся зарубежом. Клиентская программа на компьютере пользователя перехватит этот запрос и модифицирует определённым образом, используя сочетание криптографии с открытым ключом и простейших элементов сетевой стеганографии.
Https запрос к серверу включает в себя поле ClientHello. В нём содержится метка времени и случайные данные (т.н. nonce, “соль”). Это необходимо в протоколе для защиты от атак подмены (“человека посредине”) – сервер должен вернуть правильный ответ на такой случайный запрос, а любое вмешательство в протокол покажет несоответствие.
Клиент системы Telex под видом случайного запроса внедрит в это поле неотличимый от случайного тэг (метку). Эта метка будет сгенерирована на основе запроса с использованием коротких ключей, используемых в криптографии на эллиптических кривых. Противник-цензор или другой наблюдатель не смогут выявить факт такого запроса, или его отличие от случайной строки, так как у них нет закрытого ключа. Этот ключ будет только у системы Telex.
Система Telex будет развёрнута на точках прохождения трафика у крупнейших телекоммуникационных операторов противоборствующих стран при поддержке со стороны их правительств. Они будут прослушивать сетевой трафик (примерно так же как это делает система Эшелон и на основе такой же глубокой инспекции пакетов, которую применяют сами цензоры). Если в ходе пассивного прослушивания https-трафика в нём выявится метка-запрос, то система Telex внедрит в https-соединение свой трафик и установит скрытый контакт с пользователем. Она будет имитировать соединения пользователя с тем безобидным сервером, который он выбрал для отвлечения внимания, а на самом деле откроет ему туннель для связи с заблокированным сайтом, внедряя всю информацию в этот же https-сеанс, так, как будто она исходит от безобидного сервера.
Таким образом, цензор будет наблюдать лишь факт связи с безобидным https-сайтом. Сам сайт не является прокси и ничего не подозревает о том, что играет роль прикрытия. Если его заблокируют, то пользователь может попытаться выбрать другой https-сайт. Главное, чтобы маршрут до него прошёл через узлы сети интернет, на которых установлена система перехвата https-трафика Telex.
Авторы, которые изобрели систему Telex – Ян Голдберг (Школа компьютерных наук Черитона, Университет Ватерлоо – Канада), Джей Алекс Хальдерман, Эрик Вастроу и Скот Волчок – кафедра компьютерных наук Мичиганского Университета. В своей работе они рассматривают различные атаки, которые может предпринять противник, начиная от DoS-атак и до атак подмены маршрута следования пакетов в сети и запуска противником собственных узлов сети Telex. Исследователи приводят аргументы в пользу того, что противник не сможет эффективно блокировать сеть, а в тех случаях, когда он сможет затруднить её использование и ухудшить связь для пользователя, он не сможет определить факт использования такой сети. По определению, кроме атак “глобального цензора” сеть не является стойкой к атакам с подменой сертификатов и использования недостатков глобальной системы инфраструктуры открытых ключей (PKI). Однако, такие атаки могут быть выявлены опытным пользователям до установления соединения. Расширение поддержки различных протоколов и противодействие статистическим атакам планируется авторами в будущем.
Авторами было написано простейшее ПО для клиентов и узлов сети и было выявлено, что накладные расходы на пользование такой сетью крайне незначительны как для пользователей, так и для узлов. Они испробовали работу сети из Китая и смогли получить доступ ко всем ста заблокированным адресам из списка. Хотя это нельзя считать чистым экспериментом – ведь пока цензоры мало знают об этой сети. Также они долгое время пользовались своим узлом в США и не заметили никаких замедлений работы или неудобств.
Пока что сеть Telex не развёрнута по-настояещму. Есть лишь один демо-узел, принадлежащий авторам. Поскольку авторы не устанавливали никакого ПО у т.н. “дружественных провайдеров” – точек перехвата и противоцензурной обработки трафика, то работа “сети” и программы носит чисто демонстрационный характер и в настоящее время легко выявляется любым, кто может выступить в роли цензора.
Интересна концепция сети – она не может быть развёрнута независимыми добровольцами, а лишь крупнейшими телекоммуникационными узлами под влиянием правительств и секретных агентств. При этом трафик пользователя не является анонимным или секретным для владельцев сети – они открыто предупреждают, что могут (и по протоколу должны) его прослушивать. На первый взгляд, такое положение дел может подойти шпионам или прочим агентам влияния иностранных держав, но оттолкнёт от пользования сетью обычных пользователей. Но, на самом деле такое неоправданное доверие своих секретов к сети нежелательно даже для "секретных агентов" – ведь в случае взлома или предательства изнутри они будут скомпрометированы. Поэтому авторы предусмотрели в своём программном обеспечении совместную работу с сетью Tor: через Telex-узлы пользователь сможет тайно соединяться не с заблокированными цензурой сайтами, а бридж-узлами сети Tor. Для этого в ПО предусмотрен специальный публичный ключ для внесения запросов на соединение с сетью Tor и совместная работа с Tor Browser Bundle.
Пока ни сеть, ни ПО не могут осуществлять никакой реальной защиты, но демоверсия полностью показывает реальность её развёртывания. Доклад о сети представлен на конференции USENIX security 2011, проходящей 8 — 12 августа 2011 года.
Источник: Telex — проект противоцензурной сетевой инфраструктуры
примерно так же как это делает система [раз "также" заменить на "тоже" здесь нельзя, надо писать раздельно, что есть аналог "таким же образом"].
комментариев: 9796 документов: 488 редакций: 5664
Новость ещё интереснее, чем может показаться на первый взгляд — если бы только внедрялись сами данные в пакеты, то пропускная способность действительно была бы очень низкой и выявляемость высокой. Здесь же нужно только передать запрос 160 бит в поле, которое по протоколу должно быть случайной строкой. Остальное сделает не стеганография, а виртуализация перехваченного шифрованного трафика. В этом новизна идеи.
Здесь речь идёт о высокой пропускной способности — авторы смотрели через Telex из китайского узла заблокированные ролики Youtube в реальном времени без задержек. Они назвали это сетевой стеганографией, но на самом деле это не совсем она, они просто не придумали удачный терпин.
Стеганография используется только в передаче запроса. Предположим, https://Notblocked.telex.cc незаблокирован и содержит безобидный контент (можете посмотреть). Клиент внедряет в запрос на соединение с этим сайтом шифрованную метку. Система Telex разрывает его соединение с этим сайтом (или разделяет его на два потока). Далее, клиент передаёт все секретные параметры, которые он использовал для связи с этим сайтом и система просто вклинивает в этот шифрованный сеанс свой туннель, перенаправляя куда захочет пользователь (но трафик идёт внутри туннеля, имитирующего связь с безобидным сайтом, хотя на самом деле связь с ним разорвана или отделена в другой поток этого туннеля).
Когда соединение установлено, это уже не стеганография в традиционном виде, а подмена одного шифрованного трафика другим шифрованным трафиком по принципу виртуализации (так можно было бы атаковать сеть Tor — используя принцип виртуализации — если у противника есть ключи от корневых узлов и контроль над сетью).
Так же можно создавать и некие аналоги скрытых сервисов, невидимых ресурсов — чего угодно (узел https://blocked.telex.cc, который авторы используют в демоверсии своей программы отчасти является и скрытым сервисом). Изначально система не предназначена для анонимности, а только для обхода цензуры, поэтому малое количество пользователей роли не играет. Важнее большое количество узлов — хотя можно выкрутиться и на малом. Например, эмигранты из небольшой страны могут под благовидным предлогом посещать https-сайты своей родины, часть трафика разумеется пройдёт по каналам этой страны, ну и родина встроит туда свои инструкции к действию.
Тем, кому уж сильно не нужно светиться ("шпионы") действительно могут прибегать к использованию такого канала связи только эпизодически и с небольшими объёмами трафика. Ну а если будут развёрнуты Telex-узлы широкого использования,то их смогут массово использовать все прижатые цензурой желающие для входа в сеть Tor.
Важен ещё один интересный принцип: поставить цензоров перед выбором — или дать гражданам полностью свободный доступ в интернет (признать практическую неэффективность цензуры и сетевой слежки) или вообще никакого (объявить себя сетевым изгоем).
Кроме того, сами компании и службы, которые выполняют госзаказы на создание средств прослушивания и эксплуатируют их, могут заниматься и защитой от прослушивания (для зарубежных стран), получая деньги и за то и за другое сразу. В тот же Иран системы сетевой цензуры поставляли в т.ч. и американские фирмы в обход всяких там эмбарго, что им мешает ради прибыли нарушить запутанную мораль и в другом направлении?
P.S. "Так же" исправлено на "также"
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Дальше нагрузка идёт только на предварительный обмен данными для продолжения протокола и предоставление данному клиенту ssl-туннеля для проброски и имитации трафика.
комментариев: 11558 документов: 1036 редакций: 4118
Суть в том, что никаких особых входных узлов нет. Telex-узел устанавливается на площадке магистральных интернет-провайдеров. Пока через них осуществляется маршрутизация обычного интернет-трафика, система будет работать.
комментариев: 11558 документов: 1036 редакций: 4118
Правда, работать это будет только при "мягкой" цензуре на манер китайской. Северокорейцам, скажем, это вряд ли поможет (там, правда, и компьютеров-то нет у населения).
HTTPS — наилучший для того, чтобы маскироваться под него (даже непрофи его используют, причём для вполне повседневных задач — про ssh такое же сказать нельзя). Не вижу никаких ограничений в обобщении такого протокола на случай любого другого (ssh и др.), поддерживающего шифрование.
Имхо, это уже общий тренд: вместо сокрытия одного в другом (типа стеганографии) используется просто подмена одного другим. Действительно, поскольку шифрованные данные, как и деньги, не пахнут, ими можно пользоваться везде, где допустима случайность. Невольно хочется привести аналогию "подход TC с его скрытой ОС vs сокрытие ОС/данных в [якобы] неиспользуемом месте диска" [последнее обсуждалось в /comment44799].
[PFG mode]
Вы что, это же грубейшее нарушение действующего законодательства! Если бы там на фотографиях были взросыле коты, никто бы и слова не сказал, но там размещены несовершеннолетние неполовозрелые котята с неустоявшейся психикой в провокационных позах, которые в силу объективных причин не могут отдавать себе отчёт в том, кто и с какими целями производит данные фотографии, а так же как и кем они позже будут использоваться. Это преступление против морали и
человечностикошачести! Европейская Конвенция по Правам Котёнка предписала всем странам-участникам соглашения привести свои национальные законодательства в соответствие с хартией, а потому размещение фотографий котят возрастом до полугода преследуется по закону и наказывается сроком от 3 до 10 лет с конфискацией имущества или без такового. Каждый, нарушивший закон о правах котят, навечно вносится в реестр хищников — кошачьих преступников, — и ему пожизненно запрещается как работать с животными, так и проживать поблизости от среды их обитания (в городах, посёлках, вблизи ферм, хозяйств и любых других мест, где могут жить люди, так как рядом всегда могут оказаться котята).[/PFG mode]
ДокторSATtva, откуда у вас такие картинки?!В таком разе это уже тянет на инфовойну одного гос-ва против другого. Остается только поголовно всем
гражданампользователям ставить троянов, нейтрализующих "Эшелон-клиентов".Ещё направления – удалённый аппаратный контроль за компьютером пользователя (типа INTEL vPro) и тотальные облачные вычисления, а у пользователя только удалённый терминал (типа OnLive.com)
комментариев: 9796 документов: 488 редакций: 5664
SATtva ответил. Добавлю — нет секретов от противника (это первый противоцензурный протокол с такими свойствами): противнику разрешается получать эту программу, ключи доступа, пользоваться этой сетью. Нельзя и заблокировать узлы — они лишь пассивно слушают сеть, а когда подменяют, можно лишь установить на каком маршруте это всё происходит — они могут сфальсифицировать в принципе и весь путь до https-сервера, выдавая подложные айпишники пакетов. Можно конечно вдоль всей сети физически пройтись и подключаться в разных местах, но толку.
Нельзя заблокировать узлы. Пожалуйста, не в меру цивилизованные страны могут открыто заявить, что поставят такую систему на точках обмена трафика в Финляндии и Швеции, через которые идёт почти весь российский трафик в Европу и США. Что сделает Россия, Белоруссия и др. — отключит свой интернет от Европы и США?
Всё открыто — протокол, ключи, узлы, программа.
Ещё по поводу возможных недоразумений в понимании.
Это не для файлшаринга, а для "твиттерных революций", к примеру. Новости прочесть, шифровку скинуть. Там много трафика не надо, хотя авторы упоминают о статистическом анализе в своей работе, разумеется. Но не по чрезмерным объёмам трафика (это очевидно), а по паттернам. Если качаете свои гигабайты — ССЗБ. Осторожный пользователь этой же сети никак от этого не пострадает, даже если случайно выберет такой же сайт для прикрытия.
Ну не только же бомбами можно насаждать своё представление о демократии, свободе и счастливой жизни. Загоним железной рукой человество к счастью ©. В любом государстве можно найти что-то плохое и оправдать вмешательство. А тут и вмешательства то почти никакого нет. Раньше вон интервенцию и геноцид оправдывали, но не будем о политике, просто как факт отметим.
Противоборствующие государства могут разворачивать такие системы друг против друга. При этом они даже не будут друг другу мешать. Мелким государствам просто сложнее сделать масштабную сеть, но прикрытие для своих эмигрантов и шпионов получится. Возможно, будет много цензоров и антицензоров разного калибра — они будут довольны тем, что будут получать деньги и за то, что будут лечить, и за то, что калечить, не понимая, какой случай к какому относится. Пользователь просто сможет выбирать, ключ какого государства выбрать и подключить к программе в соответствии со своими высокими идейными помыслами или низкими шкурными интересами. Исследователи получат новые гранты и напишут новые теоретические работы. Так все будут довольны.
Авторы не зря сказали, что проект поднимает много моральных вопросов и оставили их рассмотрение за скобками. Им главное протолкнуть теперь это дело на реализацию.
После каждого предложения надо ставить смайлик? — все ведь понимают, что чем больше в таких работах псевдопарадоксов, меняющих привычные представления, тем они выше ценятся.