¿Cómo puede el tráfico encriptado eludir el Gran Cortafuegos de China cuando se está bloqueando?

12

El Gran Cortafuegos de China está controlado por el gobierno y ha implementado un "algoritmo de aprendizaje" para bloquear el tráfico cifrado no aprobado. La única forma de obtener tráfico cifrado a través del firewall es obtener la aprobación del gobierno.

Aquí hay un enlace para obtener más información .

¿Qué tipo de enfoques ya existen para evitar esto?

¿Hay algún enfoque teórico que pueda eludir esto?

    
pregunta ponsfonze 22.12.2012 - 18:03
fuente

5 respuestas

11

Puede utilizar canales laterales de ancho de banda bajo. Por ejemplo, uno podría configurar un sitio ofreciendo imágenes, y el sitio podría lucir una "pared de miniaturas". El protocolo HTTP permite solicitar esas miniaturas en cualquier orden, lo que significa que con veinte imágenes puede codificar hasta 20. (es decir, alrededor de 60 bits) en el esquema de solicitud. No hay forma de detectar o bloquear un esquema de este tipo que no sea un análisis estadístico computacionalmente inviable, mediante la asignación al azar de la solicitud de asignación aleatoria, o HUMINT, por supuesto.

Un esquema más fácilmente detectable, con más ancho de banda, permite la codificación de la información en los encabezados ETag y Proxy.

Luego, uno podría probar más esquemas de encubrimiento y daga: por ejemplo, podría rebotar paquetes ICMP con una dirección de origen falsificada contra un host confiable (por parte del gobierno). Este tipo de actividad maliciosa aparentemente no se considera (aún) peligrosa, y varios hosts con cortafuegos devuelven el paquete ICMP hacia la fuente aparente, por lo que penetran en el cortafuegos.

De nuevo, increíblemente, el Gran Cortafuegos de China no parece preocuparse por el spam. Le sorprendería la cantidad de correos electrónicos comerciales no solicitados, que a menudo contienen imágenes voluminosas, que llegan al resto del mundo desde China. Probablemente, cualquier tráfico suficientemente asimétrico hacia el puerto 25 / tcp se considera un síntoma de la presencia de un criminal chino, y el firewall tiene otras prioridades. Gracias a algunos spammers útiles en Guangdong, puedo confirmar que enviar mensajes de error codificados, comprimidos y codificados en base64 de hasta 1 Kb no tiene ningún efecto, y la conexión entrante sigue solicitando retransmisión de más y más spam, lo cual es aceptado (y descartado). Este canal parece ser capaz de alrededor de 64 kbit bidireccionales.

Todo esto requiere encapsular el tráfico VPN en diferentes protocolos, similar a lo que hizo Haystack. Existen otras soluciones, por ejemplo, FreeGate -, pero por supuesto, cuanto más conocidos sean, más rápido será el Golden Shield para (tratar de) destruirlos . Las estrategias más simples dirigidas a derrotar a un cortafuegos podrían implicar ofuscar un protocolo existente mediante el uso del teclado de una sola vez y el suministro de puntos finales externos que cambian rápidamente (eso es lo que hizo la utilidad de ultrasurf), y apostar a que puede crear más confusiones y más rápido que el La gente de GFC puede encontrar arreglos.

Sin embargo, el riesgo es que el GFC cambie de operación de "lista negra" a "lista blanca": primero reduzca el tráfico a tamaños manejables, luego reescribiendo en lugar de redireccionando todos los protocolos conocidos, aplicando controles gramaticales sólidos y detección de anomalías. Por ejemplo, rechazar HTTPS y TLS a menos que acepte un certificado no coincidente generado por GFC para permitir el descifrado de SSL en el intermediario (afirmando que esto "no limita a los ciudadanos responsables", a menos que "tengan algo que ocultar"), y de lo contrario rechazar todos los paquetes que no entiende completamente. Esto es más o menos una respuesta a la declaración de Ai Weiwei, de que la única forma de controlar Internet es apagarlo . Y la respuesta sería "Bueno, entonces, ¿qué tal si hacemos eso"?

    
respondido por el LSerni 23.12.2012 - 13:42
fuente
4

Steganography fue diseñado para tales escenarios exactamente. Más ampliamente, busque el concepto de negación plausible que ayuda a las personas a enfrentar los peligros de actividades no contabilizadas en entornos hostiles.

Por supuesto, en el escenario de China, debe establecerse un servicio dedicado en el mundo exterior para respaldar la comunicación habilitada por esteganografía con la red oprimida china. Sin embargo, no supongo que sea un problema, ya que generalmente existe una gran cantidad de voluntarios que apoyan los valores de libertad en la comunicación.

    
respondido por el Van Jone 23.12.2012 - 14:01
fuente
4

En realidad, muy recientemente tuve que hacer eso. Tenemos un conjunto de servidores en Beijing que deben poder comunicarse con nuestras oficinas de EE. UU. De forma segura (principalmente para enviar registros y datos de auditoría). Usamos openvpn para hacerlo en todas las demás geolocalizaciones, pero hemos descubierto rápidamente que el tráfico de openvpn se reconoce y bloquea rápidamente en China, ya que openvpn handshake tiene signos reveladores.

La solución un tanto ridícula a esto es envuelva el tráfico openvpn en stunnel . Puedo confirmar que funciona y no ha sido bloqueado hasta ahora. Claramente, no es una gran solución, ya que además de la latencia de todas las conexiones fuera de China, está agregando la latencia de openvpn sobre tcp sobre tcp de nuevo, dos veces encriptadas, pero al menos funciona, a diferencia de no hacerlo. .

    
respondido por el mricon 12.04.2013 - 16:00
fuente
3

Este "algoritmo de aprendizaje" probablemente significa que el GFC primero detecta el tráfico encriptado que podría ser una VPN o Tor y luego se vuelve a conectar al destino de comunicación y trata de "hablar" VPN o Tor para verificar esto sospecha. Se confirma que este sondeo activo ocurre en la red Tor (los detalles están aquí ) y la técnica podría ser similar si no es el mismo para el reciente bloque de conexiones VPN.

Ahora hay muchas investigaciones interesantes en el campo de la comunicación resistente al bloqueo. Por un lado, las personas están trabajando en protocolos de transporte que parecen "aleatoriedad". Los ejemplos son obfs2 y polvo. Otros protocolos de elusión imitan los protocolos existentes y, como resultado, sobrevivirían a un censor que elige incluir en la lista blanca de Internet. Algunos ejemplos son Code Talker Tunnel o StegoTorus. Imitar a otros protocolos generalmente proporciona resistencia más fuerte pero reduce el rendimiento debido a la sobrecarga esteganográfica. Después de todo, hay muchos censores que actúan de manera muy diferente. El GFC es solo un ejemplo. Por lo tanto, necesitamos muchos protocolos de elusión diferentes para abordar todas las diferentes técnicas de censura.

Si bien siempre será posible transmitir un par de bits de forma encubierta, el desafío radica en los sistemas de baja latencia que permiten una navegación web cómoda. Eso es lo que la gente quiere, después de todo. Se encuentra disponible una descripción general de la investigación de seguridad relacionada con la censura en aquí .

    
respondido por el John Doe 27.12.2012 - 13:01
fuente
1

Desde lo alto de mi cabeza, puedo pensar en muchas maneras de vencer a la Gran Muralla China, y algunas de estas cosas solo pueden ser útiles una vez y están al borde del espionaje.

  • Siempre se puede intentar hacer lo que hizo el jefe de la CIA para mover mensajes alrededor
  • como se indicó anteriormente, use la esteganografía para comunicarse en otro canal, y luego cargue una imagen o video en una ubicación donde sus socios puedan verlos o interceptarlos en su camino para ser cargados, e intercambiarlos con imágenes que no contengan Código para que puedan ser estudiados y los mensajes ocultos ya habrán sido eliminados. Quién sabe, tal vez el dueño del café esté involucrado ... y ni siquiera se saludan.
  • desde un vehículo en movimiento, como una camioneta, que no se puede rastrear fácilmente, use un teléfono celular satelital con una conexión a una computadora portátil para reventar un mensaje completo
  • use una antena parabólica para comunicarse (recibir mensajes) con una sobrecarga en órbita de satélite
  • use el espacio en los encabezados TCP / IP que no se están utilizando en los paquetes, y si los paquetes no están normalizados, los datos se enviarán a alguien del medio que podrá normalizar los mensajes y eliminar el mensaje cifrado
  • publicar puntajes para juegos en un deporte, que no tienen un significado conocido, excepto para el compañero que desea comunicar también
  • No estoy seguro de si los mensajes SMS se están "guardando" en China, por lo tanto, si utiliza SMS para enviar un mensaje, en el momento en que sepan que está realizando espionaje, es posible que hayan eliminado los mensajes enviados
  • publicar un mensaje en los obituarios, para una persona que nunca existió, a fin de transmitir un mensaje
  • intercambie un diccionario con un sistema, semanalmente, y use el diccionario para crear el significado que se incrusta en las palabras elegidas para elaborar su mensaje, pero ese subconjunto cuando se usa, es el mensaje ... y esto definitivamente se puede hacer porque hay docenas de palabras en inglés que significan lo mismo, y si bien algunas pueden ser arcaicas que hacen que el diccionario sea bastante grande, y por lo tanto, algunas palabras son completamente intercambiables por otras palabras, en ciertos días, que tienen otros significados, y el uso de una o más palabras en una oración significaría algo más allá de la oración.
  • vaya a los sitios web de apuestas que pueden ser monitoreados para su inicio de sesión, y haga sus códigos de juego y la forma de jugar para cada mano un código
  • recoger el error de computación! Escriba en un idioma que la Gran Muralla no pueda comprender, como en lenguaje ensamblador, y luego publique el código
  • como lo entiendo, hay muchas personas que venden CD robados en mercados abiertos en China, así que lo que haría sería guardar el disco que quería dejar, para un comprador muy especial ... y solo después lo instalan y descifran el mensaje si pudieran entenderlo. Los mensajes no tienen que ser muy largos, y podría estar compartiendo el nuevo alfabeto / diccionario, y no el mensaje
  • haga un pedido de productos y haga que el número de ciertos productos que solicite de un catálogo compartido sea su código, como la fecha en que se enviará su próximo mensaje
  • cree, fabrique o robe algo de alto secreto y envíelo, en el que el remitente o el destinatario saben qué contenedor y qué pallet contiene el dispositivo electrónico robado de contrabando, imágenes (posiblemente en un chip flash) que podrían pegarse a cualquier ensamblaje , pero que no se encuentra electrónicamente en el circuito, que luego se debe quitar y montar en un lector, descifrar y leer para que se entienda
  • haga que sus socios controlen su viaje y establezca la hora del día en que enciende las luces en ciertas habitaciones, sale de su hogar, y el día de la semana y el mes tienen significado ... en un conjunto de datos con respecto a Cuando alguien puede esperar la entrega de los mensajes secretos. tener esos datos transmitidos por un intermediario.
  • configurar un viaje a otro país y una vez en ese país, ser interrogado
  • publique historias de forma anónima en Internet, en un blog, y haga que el título del tema del que usted habla tenga un significado para que se pueda encontrar la historia, pero el contenido no revela el mensaje
  • ir a un cibercafé y hacer que te sientes significa que tienes información para dejar ... y dejar tu unidad flash en el puerto USB por "accidente". Haga que su compañero recupere la unidad flash y luego salga.
  • coloque una película o un chip dentro de una cápsula que se pueda tragar, luego vaya a un café, pida un café con su compañero y coloque la cápsula, y luego intercambie tazas de café que se tragan la cápsula con el medio
respondido por el T I 24.12.2012 - 04:21
fuente

Lea otras preguntas en las etiquetas