Come può il traffico crittografato bypassare il Great Firewall della Cina quando viene bloccato?

Potresti usare sidechannels con larghezza di banda ridotta. Ad esempio, si potrebbe creare un sito che offre immagini e il sito potrebbe contenere un "muro di miniature". Il protocollo HTTP consente di richiedere tali miniature in qualsiasi ordine, il che significa che utilizzando venti immagini è possibile codificare fino a 20! (cioè circa 60 bit) nello schema di richiesta. Non c'è modo di rilevare o bloccare un tale schema a corto di analisi statistiche computazionalmente irrealizzabili, proponendo con randomizzazione dell'ordine di richiesta o HUMINT, naturalmente.

Uno schema più facilmente rilevabile, con più larghezza di banda, consente di codificare le informazioni nelle intestazioni ETag e Proxy.

Quindi, si potrebbero provare più schemi cloak-e-pugnali: ad esempio si potrebbero rimbalzare pacchetti ICMP con indirizzo sorgente simulato contro un host attendibile (dal governo). Questo tipo di attività dannosa apparentemente non è (ancora) ritenuto pericoloso, e molti host firewall respingeranno beatamente il pacchetto ICMP verso la sorgente apparente, penetrando così nel firewall.

Inoltre, incredibilmente, il Grande Firewall della Cina non sembra preoccuparsi dello spam. Sareste sorpresi dalla quantità di e-mail commerciali non richieste, spesso contenenti immagini ingombranti, che raggiungono il resto del mondo dalla Cina. Probabilmente, qualsiasi traffico sufficientemente asimmetrico verso la porta 25 / tcp è considerato sintomatico della presenza di un criminale cinese e il firewall ha altre priorità. Grazie ad alcuni spammer utili nel Guangdong, posso confermare che l'invio di messaggi di errore codificati, compressi e basati su Base64 a 1 Kb non ha alcun effetto, e la connessione in entrata continua a richiedere relay per sempre più spam, che è accettato (e scartato). Questo canale sembra capace di circa 64 kbit bidirezionali.

Tutto ciò richiede l'incapsulamento del traffico VPN in protocolli diversi, simile a quello che ha fatto Haystack. Esistono altre soluzioni, ad es. FreeGate -, ma ovviamente, più ampiamente conosciuti, il più veloce Golden Shield sta per (provarci) a sballarli . Strategie più semplici volte a sconfiggere un firewall potrebbero semplicemente comportare l'occultamento di un protocollo esistente utilizzando il pad singolo e fornire endpoint esterni in rapido mutamento (questo è ciò che l'utilità ultrasurf ha fatto), e scommettere che si possono ottenere più offuscamenti e più veloci rispetto al Le persone GFC possono trovare delle soluzioni.

Il rischio, tuttavia, è che il GFC passa dall'operazione "blacklist" a "whitelist": prima abbattendo il traffico verso dimensioni gestibili, quindi riscrivendo piuttosto che reindirizzamento tutti i protocolli noti, che applicano forti controlli grammaticali e rilevamento anomalie. Ad esempio, rifiutando HTTPS e TLS a meno che non si accetti un certificato non cumulativo generato da GFC per consentire la decrittazione SSL man-in-the-middle (sostenendo che questo "non limita i cittadini responsabili", a meno che "abbiano qualcosa da nascondere"), e altrimenti rifiutando tutti i pacchetti che non capisce completamente. Questa è più o meno una risposta alla dichiarazione di Ai Weiwei, secondo cui l'unico modo per controllare Internet è quello di spegnerlo . E la risposta sarebbe "Bene allora, che ne dici di fare proprio questo".

Steganography è stato progettato proprio per questi scenari. Più in generale, cerca il concetto di plausibile negazione che aiuta le persone a far fronte ai pericoli di attività non contate in ambienti ostili.

Naturalmente, nello scenario della Cina, deve essere stabilito un servizio dedicato nel mondo esterno per supportare le comunicazioni abilitate alla steganografia con la rete oppressa cinese. Non credo che sia un problema, perché di solito c'è abbondanza di volontari che sostengono i valori della libertà nella comunicazione.

In realtà ultimamente ho dovuto farlo. Abbiamo un set di server a Pechino che deve essere in grado di comunicare con i nostri uffici statunitensi in modo sicuro (principalmente per l'invio di registri e dati di audit). Usiamo openvpn per farlo in tutte le altre geolocalizzazione, ma abbiamo rapidamente scoperto che il traffico di openvpn è rapidamente riconosciuto e bloccato in Cina - perché l'handshake di openvpn ha segni rivelatori.

La soluzione un po 'ridicola di questo è avvolgere il traffico openvpn in stunnel . Posso confermare che funziona e non è stato bloccato finora. Chiaramente non è una grande soluzione, visto che oltre alla latenza di tutte le connessioni dalla Cina, si aggiunge di nuovo la latenza di openvpn su tcp su TCP, due volte criptata, ma almeno funziona, invece di non affatto .

Questo "algoritmo di apprendimento" probabilmente significa che GFC rileva innanzitutto il traffico crittografato che potrebbe essere una VPN o Tor e quindi riconnette alla destinazione della comunicazione e cerca di "parlare" VPN o Tor per verificare questo sospetto. Questo sondaggio attivo è confermato per la rete Tor (i dettagli sono qui ) e la tecnica potrebbe essere simile se non uguale per il recente blocco di connessioni VPN.

Ora ci sono molte interessanti ricerche nel campo della comunicazione resistente ai blocchi. Da un lato, le persone stanno lavorando su protocolli di trasporto che sembrano "casualità". Esempi sono Obfs2 e Dust. Altri protocolli di elusione imitano i protocolli esistenti e, di conseguenza, sopravviverebbero a un censore che sceglie di autorizzare Internet. Esempi sono Code Talker Tunnel o StegoTorus. La simulazione di altri protocolli di solito fornisce una resistenza più strong ma un throughput ridotto a causa del sovraccarico steganografico. Dopo tutto, ci sono molti censori che agiscono in modo molto diverso. Il GFC è solo un esempio. Pertanto, abbiamo bisogno di diversi protocolli di elusione per affrontare tutte le diverse tecniche di censura.

Anche se sarà sempre possibile trasmettere un paio di bit in modo nascosto, la sfida risiede nei sistemi a bassa latenza che consentono una navigazione web constrongvole. Questo è ciò che la gente vuole, dopo tutto. Una panoramica della ricerca sulla sicurezza relativa alla censura è disponibile qui .

Al di sopra della mia testa, posso pensare a molti modi per battere la Grande Muraglia cinese, e alcune di queste cose possono essere utili solo una volta e sono al limite dello spionaggio.

• Puoi sempre provare a fare ciò che il capo della CIA ha fatto per spostare messaggi intorno a
• come affermato in precedenza, utilizzare la steganografia per comunicare in un altro canale e quindi caricare un'immagine o un video in una posizione in cui i partner possono visualizzarli o intercettarli mentre vengono caricati e scambiarli con immagini che non contengono il codice in modo che possano essere studiati e i messaggi nascosti saranno già stati eliminati. Chissà, forse il proprietario del bar è coinvolto ... e non si saluta mai l'un l'altro.
• da un veicolo in movimento, come un furgone, che non può essere facilmente rintracciato, utilizzare un telefono cellulare satellitare con un collegamento a un computer portatile per scoppiare un messaggio completo
• utilizzare una parabola satellitare per comunicare (ricevere messaggi) con un satellite in orbita in testa
• usa lo spazio nelle intestazioni TCP / IP che non vengono utilizzate nei pacchetti e, se i pacchetti non sono normalizzati, i dati passeranno a qualcuno nel mezzo che può quindi normalizzare i messaggi e rimuovere il messaggio crittografato
• pubblicare i punteggi per i giochi in uno sport, che non hanno alcun significato noto, oltre al partner che desideri comunicare anche
• Non sono sicuro che i messaggi SMS vengano "salvati" in Cina, quindi se usi SMS per inviare un messaggio, quando sapranno che stai conducendo lo spionaggio potrebbero aver cancellato i messaggi inviati
• pubblica un messaggio nei necrologi, per una persona che non è mai esistita, in modo da trasmettere un messaggio
• scambia un dizionario con un sistema, settimanalmente, e usa il dizionario per creare un significato che è incorporato nelle parole scelte per creare il tuo messaggio, ma quel sottoinsieme, se usato, è il messaggio ... e questo può sicuramente essere fatto perché ci sono dozzine di parole in inglese che significano la stessa cosa, e mentre alcuni possono essere arcaiche che rendono il dizionario abbastanza grande, e quindi alcune parole completamente scambiabili per altre parole, in certi giorni, che hanno altri significati e l'uso di una o più parole in una frase significherebbe qualcosa oltre quella della frase.
• vai ai siti di gioco d'azzardo che possono essere monitorati per il tuo login, e fai le tue scommesse sul gioco d'azzardo e il modo di giocare per ogni mano un codice
• raccogli il bug informatico! Scrivi in una lingua che la Grande Muraglia non può sperare di comprendere, come nel linguaggio assembly, e quindi pubblicare il codice
• A quanto ho capito, ci sono molte persone che vendono CD rubati in mercati aperti in Cina, quindi quello che farei sarebbe salvare il disco che volevo lasciare, per un acquirente molto speciale ... e solo dopo lo installano e decodificano il messaggio sarebbero in grado di capirlo. I messaggi non devono essere molto lunghi e potresti condividere il nuovo alfabeto / dizionario e non il messaggio
• ordina merci e crea il numero di determinati beni che ordini da un catalogo condiviso il tuo codice, come la data in cui verrà inviato il tuo prossimo messaggio
• creare, fabbricare o rubare qualcosa di top secret e spedirlo, in cui il mittente o il destinatario conosce quale contenitore e quale pallet contiene il dispositivo elettronico di contrabbando rubato, le immagini (possibilmente su un chip flash) che potrebbero essere incollate a qualsiasi assemblea , ma che non è elettronica nel circuito, che deve quindi essere rimosso e montato su un lettore, decodificato e letto per essere compreso
• fai monitorare il viaggio dai tuoi partner e imposta l'ora del giorno in cui accendi le luci in alcune stanze, esci da casa e il giorno della settimana e del mese hanno un significato ... in un insieme di dati da quando qualcuno può aspettarsi la consegna dei messaggi segreti. avere questi dati trasmessi da un intermediario.
• organizza un viaggio in un altro paese e una volta in quel paese, fai il rapporto
• pubblicare storie anonime su Internet, in un blog e rendere il titolo soggetto di cui parli ha significato sop che la storia possa essere trovata, ma il contenuto non rivela il messaggio
• vai in un Internet cafè e fai in modo che tu stia seduto a indicare che hai informazioni da eliminare ... e lascia l'unità flash nella porta USB "accidentalmente". Chiedi al tuo partner di recuperare l'unità flash e poi allontanati.
• posiziona un film o un chip flash all'interno di una capsula che può essere ingerita, quindi vai in un caffè, ordina il caffè con il tuo partner e lascia cadere la capsula, quindi scambia tazze di caffè facendole ingoiare la capsula con il supporto