Исследователи из Университета штата Мичиган и Университета Ватерлоу представили начальную реализацию программного комплекса Telex (https://telex.cc/), предназначенного для обхода систем интернет-цензуры, используемых для блокирования нежелательных интернет-ресурсов в некоторых странах мира. По словам создателей их система будет прозрачна для пользователей, абсолютно невидима для межсетевых экранов и очень трудна в блокировании.В отличие от большинства других подобных систем, предполагающих наличие прокси-серверов с постоянно изменяемым IP-адресом, Telex позволяет скрыть прокси-сервер, используемый для получения доступа к заблокированным ресурсам так, что его местоположение и даже факт существования будет очень трудно вычислить. Достигается это путем перехвата HTTPS-соединений к неблокируемым ресурсам и перенаправления их трафика на адрес, указанный пользователем. Для этого на машины пользователей устанавливается специальный прокси-сервер, который перехватывает все попытки установ...
URL: https://freedom-to-tinker.com/blog/jhalderm/anticensorship-i...
Новость: http://www.opennet.me/opennews/art.shtml?num=31222
> На маршрутизаторы интернет-провайдеров, стоящих на пути к незаблокированному HTTPS-ресурсу, также устанавливается Telex-проксиМне кажется вот здесь подвох
Угу ... это будет зашито во все циски ...Ну IMHO в хуавеях не будет.
Ты совершенно прав. Запрет со стороны государтсва на подобный софт отправит это поделие на помойку истории.
Насколько я понял, идея в том что прокси установлен в _другом_ государстве, через территорию которого проходят проксируемые запросы.
Мда ... все равно подход интересный ... зачем провайдерам одной страны наживать (забесплатно) врагов в лице гос. органов другой страны.
> Мда ... все равно подход интересный ... зачем провайдерам одной страны наживать
> (забесплатно) врагов в лице гос. органов другой страны.То же самое можно и про Tor сказать. И ничего, поднимают ноды, живет помаленьку.
...попутно сниффая пароли выходными нодами в случае незащищенных протоколов, что является неплохим профитом для операторов ноды. Всяких ништяков типа пятизначных асек можно надергать, если повезет :)
> Ты совершенно прав. Запрет со стороны государтсва на подобный софт отправит это поделие на помойку историине будет запрета, будет обязаловка для всех провайдеров. И ваш https траффик будут прозрачно направлять "куда надо".
> не будет запрета, будет обязаловка для всех провайдеров. И ваш https траффик
> будут прозрачно направлять "куда надо".А клиента добровольно-принудительно внедрят?
а им Verisign тогда RFID капсулы тоже принудительно под кожу загонял? Сами побежали, как только первую коврижку показали
> Ты совершенно прав. Запрет со стороны государтсва на подобный софтНельзя запретить быть свободными. Более того - сложно приставить к каждому по жандарму.
Я так понял, что эти хитрые маршрутизаторы должны стоять на внешних интернет-провайдерах. То есть запрос на, допустим, открытый YouTube, выходя из Китая, пройдет через цепочку роутеров (уже не кетайских), один из которых может оказаться Телексовским, который и перенаправит запрос куда надо.
Если такой запрос имеет место быть, прокси извлекает из него случайное число, передаваемое клиентом в рамках сообщения ClientHello и пытается расшифровать его содержимое с помощью секретного ключа. В случае удачи прокси позволяет серверу и клиенту завершить процедуру TLS-рукопожатия, обрывает соединение с HTTPS-сервером и, используя его идентификационные данные, создает HTTPS-туннель с клиентом, все пакеты которого будут перенаправлены на полученный из сообщения ClientHello адрес и порт. Обычные HTTPS-соединения, не содержащие зашифрованного сообщения, будут без изменений отправлены по месту назначения.А кто мешает на стороне не заинтересованной в прохождении данной инфы обработать это "случайное число, передаваемое клиентом в рамках сообщения ClientHello", понять что к чему и распорядиться трафиком по своему усмотрению? Самый простой способ поставить маршрутер с этой технологией у себя, а когда он обработает пакеты и попытается их послать "куда надо" уже тогда резать трафик. Непонятная технология. Либо она должна быть жестко пропиетарной и упарвляться из единого центра, либо все это блокируется защищающимися без особых проблем.
это проимерно так же как A5/0 шифрование gsm , которое сша подарило развивающимся странам
> это проимерно так же как A5/0 шифрование gsmНовость не читай, сразу отвечай?
Цитирую:
> The client secretly marks the connection as a Telex request by inserting a cryptographic tag into the headers. We construct this tag using a mechanism called public-key steganography. This means anyone can tag a connection using only publicly available information, but only the Telex service (using a private key) can recognize that a connection has been tagged.
Чтобы отличить сообщение от псевдослучайного числа — в идеале — нужно знать волшебную циферку (aka закрытый ключ). А оную циферку знает только провайдер Telex-роутера.
Поломают одну схему — схему можно и поменять, исследований полон гугль, на "public-key steganography" вся первая страница PDFками усеяна.
не, это я к тому что в очередной раз "развитая" страна предлагает некую технологию, которая якобы должна бы помочь в защите определённых прав индивидуумов, судя по определению "обходить цензуру" с прицелом на "развивающиеся" страны, потому как было бы странно если бы кто-то в USA заявлял что у них самих есть цензура и попрание этих самых прав отдельных индивидуумов. При том что сея очередная технология даёт только видимость защиты, реально позволяя госорганам получить ещё больше контроля чем без неё. По принципу "подарить им лохотрон, пока они сами чего-нибудь серьёзного не наизобретали". Потому как, в данном случае, систему независимых анонимных прокси подменяют прозрачными прокси у провайдеров. Провайдер не может быть неподконтролен государству, нигде, по определению.Для справки, A5/0 это "шифрование" без шифрования, gsm траффик открытым текстом.
Каким образом она дает видимость защиты? Все тот же TLS от эндпоинта до эндпоинта, с отличием что в роутинг, по заказу отправителя, можно внести изменения. Или злобное NSA знает секреты AES число-666-евреи-масоны?Провайдеры, кстати, лицензируются только в странах пост-совка и прочем Китае. В европах, вон (франция не в счет, они там все реально упоротые), провы и организуются проще и пирятся между собой на ура, и государство их может нагнуть только используя старые (со времен PTSN и почты) и подновленные (где продавили) законы по обеспечению розыскных мероприятий. И то провы (см. историю у шведов, вокруг прова TPB того же - классика же) очень не любят, когда к ним лезут.
Да и когда нагибают - пров нехотя дает послушать трафика на нужного клиента (а не как в Роиссе - зеркальный порт на бордере на юнит СОРМ-2'а вынь да положь, да еще ключи от TACACS+ отдай) а если клиент криптографии там гоняет - это прова не заботит. Вот ваш трафик, сами с ним и мучайтесь.
И заменять Tor (I2P, Freenet, GNUnet, ...) на это никто не предлагает. Предлагается дополнять и создавать новые решения. Всегда хорошо, когда есть N+1 методов пролезть, нежели N.
Алсо, я в курсе что такое A5/0, спасибо. Это к A5/0 отношения не имеет, здесь нет какого-либо "слабого" шифрования. Или покажите что Telex где-то скомпрометирован. У него, пожалуй, единственная большая уязвимость — что на трафик AS где стоят Telex-роутеры будут реагировать как на красную тряпку.
Ошибаетесь насчёт Европы, тут в последние годы очень много чего случилось на законодательном уровне. Вот тут можете почитать для начала : http://en.wikipedia.org/wiki/Telecommunications_data_retention
У нас в Германии это началось с того что в 2005-том обязали всех e-mail провайдеров оборудование для прослушки ставить (за свой счёт), чтобы BKA мог в любой момент траффик снайфить. Сейчас вот который год бурные дискуссии по поводу этого "data retention" идут, с переменным успехом, при том что EU сверху это дело явно стимулирует. Про мобильную связь молчу, там это всё года с 98-го уже было.
Ещё скажу, что у криминальной полиции достаточно возможностей арестовать оборудование фирмы, к примеру по ложному подозрению (было с нами такое, сталкивались). Они даже потом всё вернут на место, но протянуться это всё может не один месяц, а издержки полиция сама не возмещает, если только суд с обвиняемого сдерёт. Поэтому провайдеры, если что, врядли станут сильно упираться по поводу конфиденциальных данных клиентов, им свой бизнес дороже. Опять же, полиции здесь доверяют, поэтому смысла запираться вообще не видят.Это я к тому, что по сабжу получается что один из эндпоинтов вашего TLS находится у провайдера, как минимум для "запрещённых" не шифрованых http ресурсов. А провайдер, повторюсь ещё раз, в отличии от анонимного прокси не может быть неподконтрольным государству.
По ссылке читаю что ничего не реализовано там, директиву-то выпустили, а выполнять никто ее не собирается:> Sweden has not yet implemented Directive 2006/24/EC.
> On 2 March 2010, the Federal Constitutional Court of Germany ruled the law unconstitutional as a violation of the guarantee of the secrecy of correspondence. As such, the directive is not currently implemented in Germany.
> However, Constitutional Court of Romania struck down the transposing acts as violating constitutional rights. The court held that the transposing act violated the constitutional rights of privacy, of confidentiality in communications, and of free speech.Что споры шли - слышал. Что в UKшке дела плохие (хотя как сказать, по сравнению с Роиссей-то) - слышал. Что у немцев были проблемы и обязывали - слышал, как и читал тогда, в 2010, что судом сказано "неконституционно".
Или там суд решает свое, а местная кровавая гэбня слушает, да требует все равно?
я видимо не сразу понял в чём Ваша ошибка. Вы рассматриваете защищённость этой системы для пользователя. Если, скажем, spiegel.de выложит статью, компроментирующую правительство Белоруссии, и его там запретят, то житель этой страны сможет с помощью telex познакомиться с этим материалом, без риска что органы узнают что он это делал; тут конечно система надёжная, максимум что могут инкременировать пользование неким шифрованным соединением.
Я рассматриваю ту же ситуацию с другой стороны: соответствующие органы в Германии, зная что spiegel.de в Белоруссии запрещён, получают возможность точно узнать сколько белоруссов им нелегально воспользовались, что они читали, а теоретически и модифицировать контент на лету, так чтобы эти люди получали несколько более специализированную информацию чем остальные посетители. А поскольку люди эти в своей стране являются уже нарушителями, никто по их поводу шум поднимать не станет и права защищать не будет.
Не-не-не, Вы ошиблись. Не могут владельцы telex-роутера узнать что белорусы читают. Могут только узнать что на spiegel.de ходит трафик с таких-то хостов в такое-то время. И путь и все прочее - внутри TLS потока, который они проксируют.Т.е. они ловят предназначенный им clientHello, а дальше перенаправляют _шифрованый_ трафик (начиная с настоящего, скрытого хендшейка), в котором ничего не понимают. Внутрь хендшейка со Шпигелем они не могут влезть по тем же принципам, по которым туда не может _влезть_ Бацька со своего пограничного роутера. Заблочить могут, и все.
И подменить, тем более, не могут. Если только не выпустят поддельный сертификат с CNAME spiegel.de, но это уже весьма другая беда.
Владельцы spiegel.de могут узнать, что к ним ходят белорусы только если скооперируются с владельцами telex-роутера на предмет "кто (IP) был оригинатором вот этого трафика". Анонимность за telex-роутером такая же как за обычным "анонимным" SOCKS-прокси, ничего нового тут нет.
Кстати, если telex-роутеры выстроить в цепочку - можно получить этакий onion routing. Протокол, вроде как, не запрещает.
> Не могут владельцы telex-роутера узнать что белорусы читаютпочему не могут, если spiegel.de не даёт https, он только открытый http даёт? Тогда ведь TLS эндпоинт у telex рутера заканчивается, а от него и дальше всё открытым текстом. И большинство таких "цензируемых" ресурсов будут информационного характера, а не банки или магазины, поэтому почти всегда это http будет. Если модифицировать софт рутера, можно делать с траффиком что угодно.
Единственная сложность какие-то статистики с этих рутеров собирать, это то что нет гарантии что рутер будет находиться в той же стране что и конечная цель. Но imho вероятность будет довольно большая.
А, да. В отличие от Tor, где пользователь явно указывает куда идет, тут пользователь влияет на Telex-роутер только указывая направлением.Т.е. наш белорус публично говорит "хочу на thepiratebay.org", надеясь, что пакет пройдет нужный роутер у шведов и роутер, увидев стеганографическое "а на самом деле я хочу на spiegel.de" перенаправит данные в Германию.
Облом тут такой, что не факт, что трафик на пути к thepiratebay.org пройдет нужную AS. Но если не пройдет - никто, в общем-то, не узнает, что наш белорус хотел не скачать бесплатно кино без sms и регистрации, а spiegel.de почитать. Просто белорусу облом.
> А кто мешает на стороне не заинтересованной в прохождении данной инфыСтеганография и незнание приватного ключа, которым данные будут расшифровываться. Публичный ключ провайдер вывесил на всеобщее обозрение, приватный держит в своем роутере и сливать не собирается.
Нет ключа для расшифровки — нет понимания, что летит в TLS-хендшейке — случайное число или шифрованное сообщение.
Ну, это, если о-о-о-чень грубо — типа как скрытые тома в TrueCrypt. Знаешь ключик (тут шифрование, правда, симметричное, как делают стеганографию с ассиметричными алгоритмами — я не очень в курсе) — знаешь где в куче данных искать том и как его расшифровывать. Не знаешь ключика — перед тобой куча вполне себе случайно выглядящих данных.
но ведь провайдера, который вывесил такой ключик, "потерпевшее" государство может занести в списочек, и весь https траффик через него по умолчанию считать подозрительным?
А если все провы по всему периметру такие? Всех заблокировать и остаться со своей локалкой? Хотя могут и так, конечно же.
по периметру всё равно врядли будет, подобный маразм скорее в отдельных странах пройдёт. В самых развитых наверняка, вот в Германии например уже с 2005-го года провайдеры обязаны по закону у себя оборудование для снайфинга устанавливать, чтобы у криминальной полиции всегда доступ на траффик в реальном времени был.
А для гипотетического китайского студента это палка о двух концах - будут например такие провайдеры в том-же США радкими, значит их использование с китайской стороны легко засечь, а будут они там часто - окажутся китайские нелегалы под надзором американских спецслужб
Подвоха здесь два.
Подвох первый - манипуляция информацией. Проще говоря нужную информацию для Вас готовят определенным образом. Полицейское государство Вас держит в определенном информационном вакууме, этот вакуум ключевое условие для промывки мозгов необходимой информацией. Нечто подобное можно наблюдать в сектах. Эти механизмы хорошо изучены социологами и психологами. Это очень сильное средство, особенно если участников несколько.Подвох второй. Скажем так, из спортивного интереса есть желание подменить сервер Blocked.com :). Дальше полет фантазии не ограничен.
Ну и почти подвох третий. Интересно, например сколько за эти "штучки" заплатит наркомафия? С учетом того что их фактически создают для противоправных действий, пусть даже и в "плохом" государстве, вещь получается весьма обоюдоострая.
Резюме сложилось следующее. Защите реальных свобод не способствует вообще, других созидательные вещи как бы "изначально не закладываются в конструкцию". Разработка получается вредная и деструктивная.
К тому же не опенсорз, так что сразу в треш.
Вот это им RIAA/MPAA спасибо скажет!
Та просто браузер в Skype встроили бы и вся цензура пошла бы прахом.
В Opera уже давно встроен bittorrent с шифрованием :)
А я думал они китайские сервера используют для турбо режима.
> В Opera уже давно встроен bittorrent с шифрованием :)Они все с шифрованием, только вот оно в основном для усложнения троттлинга и изучения траффика "наобум". А если цензурить прицельно, так, на подумать: чтобы скачать файл, вам надо показать всем у кого он есть что вы хотите этот файл. Если среди тех кто готов его аплоадить "завелась крыса" - вы, очевидно, качнете с уродца файл, а уродец соответственно узнает что вы этот файл качали. Это потенциально светит вам неприятностями, несмотря на шифрование.
Кстати, торрент-клиент в опере один из наиболее убогих которые вообще можно найти. Он даже DHT вроде как не умеет, и магнеты. А трекеры цензор может и заблочить, или даже менее паливно - перехватывать сообшения к ним и слать в ответ фэйк. Например завирая что на процензуреные файлы не нашлось ни одного пира. Одно дело прибить или заMITMить десяток трекеров, и другое - 30 000 000 пиров в DHT, половина которых к тому же на динамических айпи.
Вывод: оперу - в треш. И ее убогие торрент-клиенты, и ее централизованные сервера сжатия траффа, и ее закрытый код.
вот на что уходят деньги омериканских налогоплатильшиков. на твиттерные революции, да...
Уже есть TOR.
что только непридумают, чтобы не ставить opera turbo.
> что только непридумают, чтобы не ставить opera turbo.... сервера которой не шибко сложно удавить. Кроме того, зависимость от серверов оперы ничем не лучше зависимости от указанных серверов.
И что только люди не придумают, лишь бы не пользоваться I2P.
На опеннете готовят цветную? То про "неправительственную" Ви-Фи сеть, то про это?
Скажите ещё что гугл готовит, так как в его ссылках на эту фразу есть соответствующие статьи :)
Гугл точно. Он с ЦРУ сотрудничает!
возьмите простой ICMP, бложите в него шифрованный payload и не парьтесь. Схема - полный отстой начиная с ресурсозатрат на его поддержание на строне "дружественного" провайдера. Этот "дружественный" провайдер должен быть ну очень заинтересован в том, чтобы не просто искать себе врага в лице руководства соседнего государства, а траить свои средства на "благую" задачу, в которой по большей-то части будет заинтересованы спецслужбы определенных стран
> возьмите простой ICMP, бложите в него шифрованный payload и не парьтесь.Даже смекалистый школьник эту схему прихлопнет в один чих.
За'throttle'ив ICMP-пакеты и все, досвиданья. Пока объемы маленькие — и пинги будут ходить и PMTUD работать, а только шифрованым пейлодом попробует кто-то пообщаться посерьезнее — ему ICMP (по направлению или вообще) и зарежут.
А речь именно о постоянных читаниях всяких педивикий с сотнями килобайт информации.
С TLS такое сложнее — там легитимный трафик имеет вполне похожую структуру, выделять Telex школьными методами не получится. Хотя Китай в криптографиях силен нынче, что не бумага так регулярно всякие Янги да Вонги в авторах.
В Китае с этим просто, периодически весь шифрованный трафик объявляется "нелигитимным" и режется. А что, кому это надо - пусть пишет объяснительную в местное отделение партии, зачем и с какой целью.Так смешно, все эти хакерские идеи основываются на том, что инет-то должен быть всегда, как электричество и воздух. А то что товарищ полиционер может просто на рубильник нажать как в Египте - об это гении виртуального мира как-то забывают.
> Этот "дружественный" провайдер должен быть ну очень заинтересован
> в том, чтобы не просто искать себе врага в лице руководства соседнего государстваОй, придут мужички в пиджачках из NSA к какому-нибудь Comcast'у и пообщаются плотно. В итоге и NSA и Comcast получат свои ништяки, ну а какое им тогда дело до правительства Китая.
Байки ведь говорят, что Tor-то тот же NSA выдумало, чтобы своим агентам им пользоваться. Добавят к Telex'у onion routing (вроде как его можно даже сейчас реализовать, как я понял) и все, старая песня на новый лад. Как раз Tor позиции присдал, его блокировать стали слишком активно.
> возьмите простой ICMP, бложите в него шифрованный payload и не парьтесь.1) Излишнее количество icmp как бы сдает диссидента как стеклотару.
2) Кто-то должен разгребать на другой стороне туннеля эти запросы.Итого: более паливно и каких-то внятных преимуществ нет.
вполне возможно, что если китайский студент воспользуется Telex чтобы полазить по американскому ютубу, то китайские партийные товарищи и не просекут, будут думать что он какой-нибудь ebay ходит. Вот только американские партийные товарищи врядли откажутся от возможности узнать, сколько на их ютуб ходят нелегально китайцев, а то даже и подсунуть им чего-нибудь. А ходили бы китайцы через какой-нибудь тьмутараканьский анонимный прокси - никто бы уже не просёк, кто они и зачем. С риском, конечно, что китайские погранцы этот прокси когда-нибудь зарубят, но тут уж "как карта ляжет", без гарантий.
т.е. главе министерства цензуры некоторого государства достаточно запретить весь https-трафик (всё равно он редко используется), и всё эта система станет бесполезной?
зачем запретить - смотреть, кто им пользуется и как, и разговаривать персонально.
> зачем запретить - смотреть, кто им пользуется и как, и разговаривать персонально.Он "немного используется" всеми пользователями банков и прочими. Персонально разговаривать со всеми кто пользуется онлайн-банкингом можно и подзадолбаться.
Изобрели торрент в результате, но забыли что достаточно заблокировать трекеры.Да и любой, обращающийся к серверам системы, автоматически может помещаться в список потенциально неблагонадёжных, особенно если частота таких обращений кореллирует с какими-то значительными событиями. В общем, как и Tor, ещё один инструмент для спецслужб.
> Изобрели торрент в результате, но забыли что достаточно заблокировать трекеры.В современной инкарнации - недостаточно. Ибо есть dht и magnet links. Удачи в их блокировке :)
Гы.. за 2 месяца - 5е сообщение о том что США стоит на страже доступа к "свободной" информации для определенных индивидумов - которые почему-то хотят развалить какое-то госсударство. И каждый раз - разработку делают на деньги ГосДеп`а.Это уже становится очень странно.
А что странного. Первая идея потдеркжа оппозиции и оранжевых революций.
да что странного, просто видать универы в штатах просекли как от политиков сейчас проще гранты получать, держат нос поветру. А кого всякие конспирологические теории мучают, так может зомбоящик поменьше смотреть надо бы ;)
да да - а то что США пропихнули что доступ в интернет это неотъемлемое право человека и государство не должно это блокировать - видимо тоже придумали?
право - это ещё не свобода. Свободу нельзя дать, её можно только не забирать, а за выданное право всегда хотят что-то взамен. Если не влиять, то как минимум наблюдать, кто и как этим правом пользуется. И любое государство будет в первую очередь заботиться о "соблюдении" прав своих граждан (при том чем более развито государство, тем более изощрёнными методами), хотя бы потому что имеет с них больше дохода и меньше риска чем с забугорных. А всякие конспирологии возникают imho от чуства собственной неполноценности, что-бы хоть так убедить себя в собственной значимости.
Интересно, а как с этим дело обстоит в Туркмении? Кроме того я читал, что сайт uznews.net запрещен в Узбекистане. Еще есть слух что в Белоруссии скайп запрещен (хотя народ пользуется. Есть страны, где давят на него серьезно). Кроме того блокировать его могут и мобильные операторы. Если это где то есть, то тогда кто знает, подскажите,- а как это обойти?
> кто знает, подскажите,- а как это обойти?OpenVPN до своего (или не своего) сервера. Брутально. Гробит анализ траффа на корню. Работает. Единственная проблема: без изменения дефолтов сие как бы несколько заметно цензуряющим :)
Это как создание уголка с запретными ништякаи в общем загоне?
> Это как создание уголка с запретными ништякаи в общем загоне?Тебе ж там наверху написали: как дружить с иностранной разведкой через посредство нагнутого ею иностранного провайдера _против своей родной отечественной разведки и своего родного отечественного государства с целью доступа к подрывным сайтам. С точки зрения УК - статья измена родине или типа того, с т.з. ЦРУ США - "поддержка" цветасто-фруктовых революций, когда уже все везде смекнули, как "эти ваши фейсбуки с твитерами" фильтровать.
Кибервойна -- за неимением Скайнета пишем на простой?..