211service.com
Nieuwe tool houdt censors in het duister
Een nieuwe benadering voor het overwinnen van internetcensuur op staatsniveau is, ironisch genoeg, afhankelijk van een techniek die beveiligingsexperts vaak in verband hebben gebracht met overheidstoezicht.
Huidige anti-censuurtechnologieën, inclusief de diensten doel en Dynaweb , directe verbindingen met beperkte websites via een netwerk van gecodeerde proxyservers, met als doel te verbergen wie dergelijke sites bezoekt voor censuur. Maar de censoren zijn voortdurend op zoek naar en blokkeren deze proxy's. Een nieuw schema, Telex genaamd, maakt het voor censoren moeilijker om communicatie te blokkeren. Het doet dit door verkeer dat bestemd is voor beperkte sites te nemen en het te vermommen als verkeer dat bedoeld is voor populaire, ongecensureerde sites. Om dit te doen, gebruikt het dezelfde methode voor het analyseren van gegevenspakketten die censoren vaak gebruiken.
Om internetcensuur op staatsniveau te omzeilen, hebben mensen vertrouwd op proxyservers buiten het land die de censuur uitvoeren, zegt J. Alex Halderman , assistent-professor elektrotechniek en informatica aan de Universiteit van Michigan. De moeilijkheid is dat je moet communiceren met die mensen waar de volmachten zijn, en het is heel moeilijk om dat te doen zonder ook de censuur van de overheid te laten uitzoeken waar de volmachten zijn.
Het Telex-systeem bestaat uit twee hoofdcomponenten: stations bij tientallen internetserviceproviders (ISP's) - de stations verbinden verkeer van binnen landen die censureren met de rest van internet - en het Telex-clientsoftwareprogramma dat draait op de computers van mensen die om censuur te vermijden.
Om de bestemming van het verkeer dat de gebruiker wil verzenden te verhullen, gebruikt Telex een vorm van cryptografie, steganografie genaamd, waarbij geheime berichten worden verborgen in leesbare berichten.
De Telex-clientsoftware begint met het maken van een uitgaande verbinding met een niet-geblokkeerde website, waarbij het verkeer op dezelfde manier wordt versleuteld als een e-commerce- of onlinebankiersite (het adres in de browserbalk begint met https:// in plaats van http:/ /). De identiteit van de gecensureerde site wordt vervolgens gecodeerd in een speciale tekenreeks of tag die is ingesloten in het versleutelde verzoek. Een Telex-station bij een ISP kan inkomend verkeer onderzoeken en de aanwezigheid van deze tags detecteren, mits het de juiste encryptiesleutel heeft. De tag zou niet te onderscheiden zijn van willekeurig gebrabbel zonder de sleutel.
Wanneer het Telex-station een inkomend verzoek met een tag detecteert, wordt die verbinding doorgestuurd naar de site die in het versleutelde bericht is gespecificeerd. Dit gedrag lijkt op een controversiële technologie genaamd deep packet inspection (DPI), die overheden en ISP's hebben gebruikt voor censuur en voor het blokkeren of beperken van bepaalde soorten internetverkeer, zoals peer-to-peer bestandsdeling.
DPI is notoir gebruikt als censuurmiddel, maar Telex gebruikt DPI op een heel andere manier, zegt Halderman. We zetten het concept in feite op zijn kop om iets te creëren dat een echt krachtige anti-censuurtool is.
Halderman zegt dat het ontwerp zo is dat het niet uitmaakt of de locatie van ISP's die Telex-stations gebruiken bekend is bij de censoren. Het belangrijkste is dat we de stations op voldoende punten in het internet willen plaatsen, zodat het blokkeren van alle routes die daar doorheen gaan, zou neerkomen op het onbeschikbaar maken van internet, zegt hij. De visie is dat als we Telex breed genoeg inzetten, het een alles-of-niets voorstel kan zijn om verbinding met internet te maken voor een overheid die aan censuur zou willen doen. Of je leeft met het feit dat mensen naar sites kunnen gaan die je wilt censureren, of je trekt in feite de stekker er helemaal uit.
In een paper over Telex ingediend bij de Usenix-beveiligingssymposium deze maand beschrijven Halderman en anderen in detail hoe hun systeem aanvallen van censoren zou weerstaan.
We hebben veel commentaar gekregen van mensen die het systeem niet begrijpen, die wijzen op manieren waarop ze denken dat het systeem kan worden verslagen, maar in bijna alle gevallen is het iets waar we over hebben nagedacht en in de krant op in zijn gegaan, zegt hij, eraan toevoegend dat het systeem is ontworpen om zich aan te passen aan steeds geavanceerdere censuurmethoden.
Gecensureerde gebruikers hebben tegenwoordig matig succes met het gebruik van normale proxyservers, maar wat we zien is dat grote landen die betrokken zijn bij censuur zich daar vrij snel aan aanpassen, zegt Halderman. China is bijvoorbeeld zeer effectief geworden in het blokkeren van Tor, en Iran heeft ook behoorlijk geavanceerde tegenmaatregelen genomen tegen Tor.
Bruce Schneier , een cryptografie-expert en chief security technology officer bij BT, noemt Telex goed doordacht en ontworpen, maar zegt dat het systeem niet zou werken zonder wijdverbreide acceptatie door ISP's over de hele wereld.
Er zijn twee manieren om dit systeem in te zetten: vriendelijk vragen of er een wet van maken [voor ISP's om het te implementeren], zegt Schneier. Het zou geweldig zijn als de regeringen van de wereld dit idee zouden steunen, want in het algemeen is dit de reden waarom deze technologieën niet op grote schaal worden toegepast. Niemand is bereid om voor hen te betalen, en niemand zal hen anderszins steunen.
De onderzoekers werken aan de uitbreiding van een testnetwerk van Telex dat ze al maanden gebruiken om op internet te surfen en zelfs om YouTube-video's te bekijken. Ze merken op dat het testsysteem met een acceptabele stabiliteit en weinig merkbare prestatievermindering werkt, en dat het goed presteerde ondanks enkele onverwachte stresstests. Een onderzoeker heeft per ongeluk een van de Telex-stations verkeerd geconfigureerd om als open internetproxy te fungeren; het duurde niet lang voordat het systeem werd gebruikt door buitenstaanders in de hoop hun identiteit te verbergen.