Simovits

Kinesiska brandväggen

Bakgrund

I dagens blogg tänkte jag ta upp hur Kina med teknik reglerar sina medborgares åtkomst till information genom en storskalig brandvägg. Den kinesiska brandväggen är troligtvis det mest omfattande tekniska tryckfrihetshindret i världen och kan därmed vara ett bra varnande exempel på hur tryckfriheten tekniskt kan begränsas.

Genom en brandvägg kan oönskad trafik filtreras vilket har många praktiska tillämpningar såsom att blockera webbsidor med skadlig kod och cyberangrepp men Kina tillämpar även politisk censur.

Kina blockerar bland annat:

[1]

Internationella internetaktörer väljer att antingen filtrera sina tjänster eller blockeras i sin helhet. [2] Kinas regering dementerar att de hindrar tryckfrihet och beskyller USA för driva propaganda om Kinas censur och FBI för att sprida desinformation och manipulera den internationella opinionen. [3]

Hur trafik filtreras

Den kinesiska brandväggen filtrerar all trafik mellan Fastlandskina och omvärlden. Enkla metoder som används är IP-adressblockering på kinesiska ISP-ers gateway routrar, DNS-manipulering så att domännamn slås upp till felaktiga IP-adresser [4], nyckelordsskanning som ständigt uppdateras för att stävja nya oönskade trender och TCP resets. [5]

Mer avancerade metoder är Deep Packet Inspection och maskininlärning för att identifiera och blockera åtkomst till misstänkta VPN-tunnlar, proxyservrar och Tor-reläer. [6]

En incident 2015

CNNIC (China Internet Network Information Center) hanterar Kinas nationella toppdomän .cn och dess certifikat inkluderades i de flesta root-stores innan Google uppmärksammade 2015 oauktoriserade digitala certifikat för Google-domäner från en mellanliggande certifikatsutfärdare MSC Holding med certifikat från CNNIC. [7][8]

Motåtgärder

Den kinesiska brandväggen har utvecklats i en kapplöpning med tillvägagångssätten för att kringgå censuren. Då trafikprofiliering och detektion av Tor och VPN utvecklats krävs idag ytterligare obfuskeringsåtgärder för en tillförlitlig åtkomst till blockerad information. En kort översikt av dessa ytterligare åtgärder presenteras nedan.

Tor

För Tor-protokollet rekommenderas idag Snowflake, privata och olistade obfs4-bryggor eller Meek-azure. [9]

Pluggable Transports förkläder Tor-protokollet så det ser ut som någonting annat.

Snowfalke är ett pluggable-transport som bygger på volontärer som kör kortlivade Snowflake-proxyservrar i sina webbläsare och en tillhörande proxyserverförmedlningsfunktionalitet. Snowflake proxynätverket använder domain-fronting där en icke-blockerad domän anges i det omgivande paketet t.ex. i TLS-headerns SNI-fält medan den blockerade-domänen döljs inkapslat i det krypterade HTTP-paketets Host fält. [10]

Domain-fronting använder olika domännamn i TLS-paketet och i det krypterade HTTP-paketet.

Obfs4 är ett pluggable-transport  som använder idéer och koncept från ScrableSuit-protokollet. ScrableSuit skyddar dels från aktivt intrång i sessionen genom en delad hemlighet som skickas på en separat kanal genom Tor BridgeDB (en databas med olika Tor-reläer [11]), dels tillförs slump i protokollet vad gäller paketlängd och timing för att förebygga trafikanalys.  [12] [13][14]

Meek-azure maskerar Tor-trafik som Microsoft-molntrafik baserat på meek som är ett pluggable-transport protokoll som använder domain-fronting likt i Snowflake men maskerat till Azure-domäner. [15]

VPN

VPN-tjänster ställs mot samma utmaningar som Tor att maskera den tunnlade trafiken och undvika detektion av den kinesiska brandväggen. Tekniker som används här är frekvent IP-adressrotation [16], obfuskering av trafik och stark kryptering.

Slutord

Certifikatsincidenten 2015 belyser att Kina genom sin centrala roll som förvaltare av toppdomänen .cn har möjligheten att ge ut certifikat för mellanliggande certifikatsutfärdare. Detta skulle tekniskt skulle kunna utnyttjas för att dekryptera viss TLS-trafik genom en man-in-the-middle position ifall dessa certifikat betros för att filtrera HTTPS-trafik.

Den tekniska kapplöpningen mellan tunnelleverantörer och den kinesiska brandväggen pågår för fullt och sporrar teknisk utveckling. Dekryptering av TLS-trafik skulle kraftigt förvärra situationen då till exempel domain-fronting bygger på att trafiken är krypterad genom brandväggen.

Källor