10:57
30/9/2011

Ciekawa historia miała miejsce tydzień temu. Iran na swoich routerach brzegowych dopisał regułę blokującą połączenia sieci TOR, odcinając tym samym swoim obywatelom możliwość “anonimowego” i “nieocenzurowanego” korzystania z internetu. Filtr udało się jednak ominąć…

TOR Iran

Blokada TOR-a w Iranie, wpływ na ruch

Blokada TOR-a — czy to w ogóle możliwe?

Czy da się skutecznie zablokować połączenia sieci TOR? Te pytania od dawna przewijały się na forach. Jedną z popularnych, choć nie idealnych, metod było odcięcie nowym klientom możliwości pobrania listy węzłów (blokada directory servers i połączeń na porty 9001-9030 wykorzystywane do synchronizacji listy w domyślnej konfiguracji klientów TOR-a).

Iran wpadł jednak na skuteczniejszy pomysł. Zauważono, że połączenia pomiędzy węzłami symulują ruch HTTPS. Węzły TOR-a popełniły tu jeden błąd — za każdym razem prezentowały certyfikat z czasem ważności 2 godziny, podczas gdy większość komercyjnych certyfikatów SSL wydawana jest na rok/dwa. Iran zaczął więc blokować nawiązywanie połączeń z serwerami, które legitymują się certyfikatami z 2h okresem ważności i tym samym skutecznie wyciął cały ruch TOR-a.

TOR obszedł filtr

Jak? To chyba zrozumiałe — wydał nową wersję, która na pośrednikach przestała generować certyfikaty z czasem ważności ustawionym na 2h. Aby obejść irańskie firltry nie trzeba łatać klientów — Irańczycy nic nie muszą zmieniać, wystarczy że nową wersję TOR-a zainstalują pośrednicy (czyli ci, którzy skonfigurowali TOR-a do pracy w trybie relay).

Tym razem fix był łatwy, prosty i przyjemny. Pytanie, kiedy Iran uderzy ponownie? I po czym będzie chciał odfiltrować ruch TOR-a? Przypomnijmy, że w styczniu 2011 Iran podjął pierwszą próbę blokady TOR-a. Wtedy skorzystał z faktu, że ruch od serwera do klienta miał ustawiony charakterystyczny TTL.

Kto tak naprawdę cenzuruje TOR-a?

Iran? Od strony decyzyjnej na pewno. A od strony technicznej? Wydaje mi się, że wielu z nas zapomina, że Iran, podobnie jak każde inne państwo, korzysta ze sprzętu (np. routerów) produkowanych przez firmy z tzw. Zachodu — i to te firmy umożliwiają Iranowi łatwe wdrożenie filtrowania/cenzury, dodając do swoich modułów content filteringowych coraz bardziej zaawansowane regułki i opcje… Jedyna różnica jest taka, ze Zachód z nich nie korzysta. Jeszcze ;>

Przeczytaj także:



51 komentarzy

Dodaj komentarz
  1. Iran poligonem doświadczalnym dla przyszłego cenzurowania internetu?

    • Pewnie tak, na pierwszy ogień zapewne pójdzie TPB, ale gdy to zrobią, to powstaną internetowe ruchy oporu. Już widzę, jak Anonymous walczy z cenzurą.

  2. nonsensowny ostatni akapit. poslugujac sie tym rozumowaniem mozna dojsc do wniosku, ze winnymi sa rozwniez programisci linuxa (bo rutery dzialaja na linuxach) a nawet producenci tranzystorow… :P

    • A słyszałeś o czymś takim jak embargo? Albo zakaz eksportu silnej kryptografii poza USA? Porównaj Kubę z Iranem i nie popadaj w skrajności ;) Osobiście jestem za tym, żeby wszystko sprzedawać wszystkim, ale jeśli X sprzeda broń Y, a następnie Y postrzeli X z tej broni, to jestem przeciwny twierdzeniu, że Y samodzielnie osiągnął cel w postaci anihilacji X ;)

    • true, true

    • co innego producent stali a co innego producent czołgów ,czy widzisz roznice? tranzystor czy linuks to nie gotowe rozwiązanie typu wcisnij przycisk celem upierdzielenia dostepu do TOR-a w twoim kraju.

      jest zakaz sprzedazy broni do wielu krajow. pytanie czy blokada tora to bron? wszelkiego rodzaju jammery radiowe sa czesto rozpatrywane w kategoriach broni. tu przeciez dzialanie jest podobne.

    • @jinx
      W takim razie twórcy Internetu są winni, bo opiera się o dnsy(przycisk do upierdzielenia neta) i nie jest anonimowy co pozwala na filtrowanie.
      Ciekawe, czy/kiedy cały ruch przeniesie się na coś w stylu netsukuku.

    • @PK
      mowimy o broni, czy o ruterach?
      jesli wedlug ciebie rutery mozna porownac do broni, to musisz sie tez zgodzic, ze linuxa do broni mozna przyrownac na tej samej zasadzie, bo przeciez moze zostac wykorzystany do niecnych celow, np. ataku hakerskiego, czy ucisku obywateli ;).

      mowiac “ruter” mam na mysli “zwykly” sprzet, a nie skrojony na miare dla iranczykow. IMO iranczycy to nie lesni ludzie, ktorzy nie potrafia samodzielnie skonfigurowac surowego sprzetu i dodac do niego “regulek”, ktore costam blokuja.

      jesli twierdzisz, ze firmy produkujace te urzadzenia dostarczaja gotowe rozwiazania do blokowania tora, to podaj zrodla.

      @jinx:
      a gdzie jest granica, miedzy stala a gotowym czolgiem? co bys dopuscil do sprzedazy, a co nie? zabronilbys eksportu dystrybucji backtracka, ale nie ubuntu?

    • @jurek ogórek: pierwszy z brzegu UTM od Fortineta: http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&externalId=13723

    • Winny jest ten, co naciska spust, ewentualnie ten, kto wydaje rozkaz. I tego się trzeba trzymać, bo inaczej, to osądzić będzie trzeba też Alana Turinga.

  3. Ostatni akapit jest do wyrzucenia. Przypomina mi próbę zrzucenia odpowiedzialności za crackowanie softu na producentów snifferów, debuggerów i deasemblerów. To jest po prostu naiwne myślenie i wprowadzanie zamętu szczególnie u osób nie siedzących w temacie.

    • Ostatni akapit jest o odpowiedzialności i możliwościach. To że możliwość blokowania jest, nie znaczy, że trzeba z tego korzystać. Z drugiej strony, to że jest, oznacza, że ktoś zgłosił zapotrzebowanie. Moim zdaniem po prostu warto zdać sobie sprawę, że goście którzy robią tora, mijają się na ulicy z tymi, którzy piszą regułki go blokujące. To gdzie/kto/jak tego używa to już osobna kwestia.

    • Nie mam nic przeciwko udostępnianiu takich narzędzi służących do blokowania internetu w routerach, oczywiście jeśli jest to router w rękach rodziców, którzy nie chcą by ich własne pociechy nie wchodziły tam gdzie wg. rodziców nie powinny i to jest jedyny wyjątek od tej zasady!

      Jeśli p. Kowalski wykupił internet – to nie powinno mu się tego internetu w żaden sposób blokować! Podobnie jak się nie robi tego z pączkami! Bo co będzie wart pączek z dżemem bez dżemu? To nie będzie już pączek!

  4. Mnie interesuje jak TOR wydedukował jak się odblokować, bo to nie jest oczywiste. Próbowali metodą prób i błędów?

    • “Thanks to help from a variety of friends around the world, we quickly discovered how they were blocking it and released a new version of Tor that isn’t blocked.”

      swoja droga, iran to ostatnimi czasy to jedno z ciekawszych miejsc w sieci

    • to jak sie w koncu mowi, Iran czy Irak?

  5. W Iranie wszystko jest możliwe.
    Czytając wasze komentarze szczególnie o tym ze winni są producenci, dostawczy sprzętu to śmiać się chce jak weszło na temat czołgu. Najprościej było nie dopuścić do wymyślenia koła i nie było by wojen ( pojazdy wojskowe) idt. Dziwne rozumowanie.

    Co to TORa to programiści chyba dość szybko uporali się z tym problemem omijając blokadę.

  6. “obejść irańskie firltry” – literówka :)
    Pytanie Adama K mnie zaciekawiło.

  7. Ech,
    W dzisiejszych czasach to proste.
    Weszli na “Fejsa” “Irańskiei Agencji Bezpieczeństwa” a tam był wpis:
    “Zablokowaliśmy TORa, głupki ustawiły certyfikat na 2h, no to my ich ciach, ale jesteśmy PRO.”

    JM :-)

  8. Właściwe to dobrze że Iran próbuje blokować tora bo w ten sposób tor staje się bardziej odporny na te blokady

  9. To nadal niewiele tłumaczy.

  10. Ostatni akapit to 100% prawda – niestety tak to jest, ile razy były newsy że zachodnie firmy (jak bodaj nokia i siemens, ale też inne których teraz nie pamiętam) link:
    http://wiadomosci.gazeta.pl/Wiadomosci/1,80708,6744006,_WSJ___Nokia_i_Siemens_cenzuruja_Iranczykow.html
    dostarczały potrzebne narzędzia do cenzurowania internetu (iran,birma itd).
    Cóż u nas chce się to wprowadzić – pod pozorem walki z PRZESTĘPCZOŚCIĄ własności intelektualnej, jak to w końcu się uda (n.p w UK już się udaje – cenzura stron z pornografią jest już od 2007 czy 2008 roku, ostatnio Newzbin też został dodany do filtru), to tylko dopisze się parę innych … możliwości jak “strony zagrażające bezpieczeństwu państwa” czy jak w chinach “należy dbać o nierozpowszechnianie plotek” i proszę gotowe…

  11. Ciekawe, kiedy do Debiana trafią uaktualnione pakiety… jakoś nienajlepiej tam idzie wdrażanie nowych wersji Tor do repozytoriów.

    @AdamK: Tor sam tego nie zrobił. Ludzie po prostu wydali nową wersję, która lepiej się maskuje. Owszem, tytuł jest mylący :P

  12. Wielu z nas zapomina, że amerykańskie podmioty Microsoft, Automattic, Massachusetts Institute of Technology, Stanford… mają wielki udział w tym, że możemy tu w języku polskim porozmawiać na niebezpieczniku. :] Ba, pewnie dzięki Oracle możecie mieć imię i nazwisko rejestrowane w Urzędzie Stanu Cywilnego. Buhahahaha :D

  13. Wiem, ze to nie do konca na temat, ale skoro juz sam redaktor NB poruszyl kwestie zakazu eksportu silnej kryptografii poza USA to ja mam mini pytanie …

    O ile mi wiadomo, to zarowno projekt, jak i fundacja TrueCrypt ma swoje miejsce w USA wlasnie. TrueCrypt wykorzystuje game silnych algorytmow kryptograficznych. Pytanie jest wiec oczywiste – o co chodzi, czy wolno im to robic, dlaczego USA nie dziala w tej sprawie, a moze uzyte algorytmy wcale nie sa silne?

    • algorytmy w truecrypcie sa silne. ale embargo dotyczy tylko formy elektronicznej. mozesz wydrukowac w stanach kod zrodlowy na papierze i w ramach wolnosci slowa wydac go jako ksiazke z instruckja zeskanowania i wprowadzenia do komputera i taka ksiazke w wywiezc za granice.

      gdyby tak nie bylo, to nielegalny emigrant ktoremu grozi deportacja moglby sobie wytatuowac
      najprostrza implementacje rsa na ciele (3 linijki w perlu) i wtedy nie mozna by go deportowac.

    • No tak, tylko truecrypt jest rozprowadzany wlasnie w formie elektronicznej … stad moje zdziwienie.

    • @Heinrich:
      no tak, ale tylko do sojuszników – jak my.
      w pozostałych krajach, TrueCrypt jest rozprowadzany tylko w formie papierowej.

      just kiddin’

  14. Przecież Zachód korzysta. Tor tak samo jest blokowany na Zachodzie ale w korporacyjnych sieciach. Może chodzi o to, że zachodnie rządy nie korzystają.

  15. Ja nie wiem dlaczego kwestia “niebezpieczeństwa internetu” tak bardzo zyskuje posłuch. Czyżby próbowano nam wmówić, że potrzebna jest kontrola bo dzieją się w internecie straszliwe rzeczy? Może to wszystko jest wyolbrzymiane aby wprowadzić po prostu kontrolę treści służącą głównie politykom i korporacjom? Przecież wolność słowa NIE jest im na rękę. Są więc lulzseki i inne anonimusy aby wskazać palcem na skrajność i powiedzieć – patrzcie, to cały internet taki jest. Niebezpieczny i zły. Trzeba coś z tym zrobić. Co? Zablokować i kontrolować!

    • no jeszcze jakby bylo wiecej ludzi takich jak ty to by bylo super, niesty wiekszosc ludzi ma papke zamiast mozgu wiec dlatego pozniej glosuja na bencwalow ktorzy proboja kontrolowac internet, co im i tak nie wyjdzie. mnie najbardziej mierzi podszywanie sie pod ochrone patentow/praw autorskich, i probowanie kontroli od tej strony.

    • Moim zdaniem kontrola treści w internecie jest na rękę każdej opcji politycznej, niezależnie od lewa czy prawa. To czego można się obawiać, to nie tyle blokowania internetu ze strony polityków i korporacji, co zgnojenia sieci przez samych userów. Pomijam już infantylność która niekiedy aż boli np. w postaci uśmiechniętych ikonek z wielkimi oczami czy odpustowych prostackich designów. Problem jest w tym, że traktuje się sieć jak ścianę w kiblu w której można napisać wszystko i na wszystkich a biorąc pod uwagę siłę słowa pisanego, niestety ludzie traktują treści wpisywane w necie zbyt poważnie. Z czasem więc, przy aprobacie tych którym na wprowadzeniu kontroli będzie zależało, ludzie zaczną traktować net jak niepoważne miejsce i przestaną temu mediu ufać. Wówczas nawet jeśli coś będzie wiarygodne i prawdziwe, zostanie z automatu obaczone nieufnością.
      Na szczęście net to miejsce bardzo różnorodne i każdy znajdzie coś dla siebie. Tylko znaleźć coś wartościowego będzie coraz trudniej w zalewie shitu. Tak jak jest obecnie z muzyką czy filmem lub inną sztuką. No ale jak będzie to zobaczymy.

    • @sebastian – No tak, bo Lulzsec i Anoni tylko i wyłącznie biją w Iran czy Chiny. Nic innego nie robią, tylko ratują tych ludzi przed cenzurą. Już dawno byśmy w obozach koncentracyjnych bez nich skończyli, całe szczęście że są!

    • @sergi – nie demagogizuj ;) Nie można zestawiać obozów koncentracyjnych w kontekście lulzseków i anonymusów. To jak przyrównywać poglądy Palikota na kościół w kontekście jakiejś polskiej rewolucji. To żadna rewolucja tak samo jak lulzseki zagrożenie, ale ci którzy chcą ludziom zabronić swobody wyrażania poglądów, właśnie tak zestawiają ze sobą skojarzenia. Jest więc rewolucja, czyli obrazy rewolucji francuskiej ze ścinaniem księży czy napady swołoczy na pałac zimowy i carobójstwo. Jest też lulzsek i anonimusy czyli zagrożenie straszliwe, znikanie pieniędzy z kont bankowych, ataki terrorystyczno-hakerskie na instytucje państwa i demokracji przeprowadzane przez sfrustrowane klasowe pierdoły, rachityków z przetłuszczonymi włosami. Nie chciałbym być źle zrozumiany. Ja nie krytykuję niebezpiecznika.pl ani innych podobnych serwisów zajmujących się bezpieczeństwem sieciowym. Absolutnie. Ja krytykuję pewien pogląd jaki próbuje się nam internautom narzucić czyli kreowanie niebezpieczeństw, zagrożeń i innych rzeczy które wymagają powzięcia przez rządy lub korporacje stanowczych działań aby nas ochronić. Na siłę rzecz jasna bo tłum jest zbyt głupi i trzeba go chronić przed nim samym – nawet w necie. Na końcu pozostanie nam podziękować tym co wprowadzą cenzurę, że nas przed nami samymi ochronili bośmy tacy głupi.

    • Ja to doskonale rozumiem i wyobrażam sobie sytuację w bardzo nieodległej przyszłości, gdy bojownicy o wolność Internetu są niezbędni, ale LulzSec i Anoni to nie są ci ludzie.
      Ich działania – już pomijam pobudki i motywacje – są raczej argumentem dla rządów, by właśnie nas przed Internetem chronić. Nie można walczyć o powszechny dostęp do broni strzelając do przeciwników takiego rozwiązania.

  16. Blokowanie Tora było jednym z motywów tego, że już nigdy nie kupię produktów firmy Nokia. O współpracy tej spółki z reżimami dowiedziałem się podczas wystąpienia Appelbauma na którymś z CONFidence’ów.

    • Nokia jest jeszcze zabawna, bo się 4 lata temu przenosiła z Bochum w Niemczech do Cluj w Rumunii, a teraz i Rumunów 3500 zwalnia.

    • Jeśli nie Nokia – znalazłby się ktoś inny, dlaczego więc miano by odmówić współpracy? Europejskie firmy starają się wykorzystywać swój (w miarę) neutralny wizerunek po tamtej stronie reżimu. Jest to ich sporą przewagą – dlatego starają się to wykorzystywać.

    • Nie to, żebym bronił Nokie (+Micro$oft sic!) ale taką blokadę to nie trzeba zatrudniać Nokii do tego (btw. ichniejszy projekt DPI – chyba zwał się ECOS – został pogrzebany przy poprzednim kryzysie) możesz to równie dobrze zrobić sam: iptables + l7filter http://l7-filter.sourceforge.net/protocols – oczywiście trzeba całkiem niezłego sprzętu do tego, głownym zadaniem Noki było przeportowanie Linux’a na płyty z procesorami strumieniowymi, ale coś im nie wyszło…

      Swoją drogą, trzeba przyznać, że skubańcy nieźle to wykombinowali i jedni jak i drudzy. Znaleźć schemat TOR’a to jest coś.

  17. A jak z innymi sieciami? ant, freenet, mute?
    też blokują?

  18. A od kiedy TOR to dobra rzecz dla anonimowosci ?

  19. O jak fajnie widzę mój koment nie przeszedl przez moderację? Ciekawe…

    Cóż – to może skrócę jeszcze raz, – co do ostatniego akapitu, siemens i nokia wykonały na zlecenie Iranu odpowiednie narzedzią do cenzurowania internetu (na wyborczej artykuł z 2009 roku był o tym). I to że zachód jeszcze nie korzysta – zależy gdzie: chociażby Włosi, Wielka brytania już tak…

  20. Mam okazję bywać w Iranie i mogę dodać, że próby blokowania sieci TOR uderzają tylko w biedniejszą część społeczeństwa. Normalnie korzysta się z połączeń przez VPN. Ale to zazwyczaj wiąże się z opłatami. Przez Skype’a nie da się porozmawiać używając TOR’a. Internet jako całość nie jest blokowany. Blokowane są tylko niektóre treści i serwisy np. erotyczne lub z newsami. Pogrupowane jest na kategorie. Ostatnio nawet na niektórych podstronach onetu czy wp wyskakiwała blokada :).

    • No proszę, nie ma tak źle. Przecież powinno się blokować pornografię i hazard. Iran? Nie, Polska. BTW, czy niebezpiecznik jest zarejestrowany jako gazeta?

  21. Alternatywą staje się FreeNet. Brak serwerów i rozproszona archiwizacja zawartości sieci. Coś takiego trudno będzie zbanować pod pretekstem np. niepoprawności politycznej.

    • Pomijając potrzebną do tego szybkość łącz, moc komputerów i pojemność dysków zwykłych szaraczków – jak sobie wyobrażasz zabezpieczenie poufnych danych w takiej sytuacji?

  22. Serwis allegro.pl też ceściowo blokuje TOR-a min. nie mozna się przez cebulkę zalogować ;) [img]http://images8.fotosik.pl/2861/8a9e6b8138a586c0.jpg[/img]

  23. Hmm, imo pytanie raczej brzmi czy te dodatkowe regułki powstają na zlecenie/ z intencją blokowania specyficznie Tor’a. Bo jeśli tak…
    Czy producent stali produkuje ja po to, żeby zabijać innych ludzi? Czy produkując ją stara się maksymalnie umożliwić to działanie? Nie. A producent czołgów?
    Jeśli intencja nie ma tu znaczenia, to równie dobrze rząd irański nie jest niczemu winien.. .
    Ps. zanim ktoś powie “intencje to nie czyny”, tworzenie regułek do blokowania Tora na zamówienie, to czyn.
    Ps.2 “Producent czołgów nie jest niczego winien. Gdyby zaprzestał ich produkcji, to wcale nie poprawiło by sprawy”. Tak, tylko to się akurat imho ni jak ma do Tora.
    Ps.3 Aczkolwiek faktem jest, że tworzenie regułek blokujących tora na terenach korporacji itp. akurat nie wydaje mi się być niczym złym.

  24. cytat z Johna Gilmore’a, jednego z pionierów Internetu:
    “Sieć [Internet] interpretuje cenzurę jako uszkodzenie i po prostu przesyła informacje okrężną drogą.”
    Zawsze znajdzie się jakaś dziura.

  25. Całe szczęście w wolnej i demokratycznej Polsce ma powstać program, który umożliwi monitorowanie TORa na komputerach użytkowników… Żeby nikt nie ważył się podnieść ręki na okupanta!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: