Frage:
Wie blockiert ein Land seine Bürger am Zugriff auf eine Website?
blended
2014-04-03 20:28:53 UTC
view on stackexchange narkive permalink

Following Turkey's recent social site blocks, I am wondering how can you efficiently accomplish that as a country. Similar for a big company.

Blocking IPs → easy to circumvent, (proxys, tunnels, etc)Blocking/Redirecting DNS → type the address or similar as above

Deep Packet Inspection → very resource intensive, can it be done in a scale of a whole country? And again, encrypting traffic, HTTPS, SSH etc…

Terminating all connections at country gateways, inspecting traffic, and then encrypting traffic again? Seems very very time consuming.

Is there any (obvious?) or other way I missed?

I am talking generally and not for Turkey's example. And dropping all encrypted traffic does not seem to be an option for a country.

Die meisten Zensurinitiativen richten sich an weniger technisch versierte Internetnutzer. Außerdem besteht die politische Absicht der staatlichen Zensur normalerweise nicht darin, Informationen zu unterdrücken. Es geht darum, bestimmte Informationsquellen als böse zu dämonisieren und sie der Öffentlichkeit als nicht vertrauenswürdig erscheinen zu lassen.
Zensur ist nicht nur ein Angriff auf den Inhalt, sondern auch auf die Quelle. Warum (sorry, Godwin) haben die Nazis alle Bücher verbrannt, die von Juden geschrieben wurden, auch wenn ihr Inhalt in keiner Weise politisch war? Es war eine Propagandamaßnahme zu zeigen: "Sehen Sie: Diese Leute sind böse. Aber wir bekämpfen sie! Wir sind die Guten!"
Es ist schwierig, wenn nicht sogar unmöglich, selbst die einfachsten Blockierungsmethoden mit mobilen Geräten zu umgehen: Wie bringen Sie Ihr nicht gerootetes IPhone dazu, einen anderen DNS-Server über 3G zu verwenden?
Die meisten Länder verbieten Websites, indem sie ISPs dazu zwingen, sie von ihrem DNS zu blockieren. In den meisten Fällen werden sie sogar zu einer Nachricht mit weiteren Informationen zum Verbot weitergeleitet. ISPs können meines Wissens auch alle Anfragen an eine bestimmte IP blockieren. Das beste Beispiel dafür in meinem Land ist das Verbot von ThePirateBay. Sie können dies umgehen, indem Sie ein VPN, ein alternatives DNS (z. B. Google DNS) oder Websites verwenden, die als Proxy (z. B. FuckYouTimCook) für die reale Website fungieren.
@MartinSchröder: Ich habe dies nie selbst getan, da ich nicht der Herrscher einer Nation bin, aber ich bin mir ziemlich sicher, dass ich zunächst Gesetze verabschieden würde, nach denen Mobilfunkbetreiber Port 53 an ihrem Netzwerkrand blockieren oder abfangen müssen. Eigentlich wäre das Gesetz natürlich nicht so spezifisch, die Gesetzgebung würde einem Ministerium die Befugnis geben, die Kommunikation zu regulieren. Eigentlich ist dies natürlich ein Schritt weiter, als es viele Zensurnationen schaffen. Viele arbeiten auf DNS-Ebene, sie "sollten" das Routing einschränken.
@SteveJessop: Ich spreche von technischen Problemen. Können Sie den DNS-Server auf Ihrem nicht gerooteten IPhone einstellen?
@MartinSchröder: Oh, ISWYM. Ich habe kein iPhone, also keine Ahnung, sorry, vielleicht hätte ich schweigen sollen. Ich habe nur gemeint, dass das Netzwerk selbst sowieso nicht freundlich ist, also sollte das Ändern des DNS-Servers "nicht helfen", selbst wenn Sie es könnten.
Es ist natürlich kein Betrug, aber diese Frage unterscheidet sich möglicherweise weniger von https://security.stackexchange.com/questions/22619, als Sie intuitiv annehmen würden.
Deep Packet Inspection ist nicht so komplex, und wenn Ihr Land nur 1 oder 2 In / Out-Pipes hat, die es mit dem Rest des Netzwerks verbinden, können Sie sich dort konzentrieren (und auf den Ein- / Ausstiegspunkt). Es wird natürlich die Servicequalität für das Land verringern, was die Last betrifft. Wenn jedoch ein Land versucht, Inhalte zu blockieren, ist es unwahrscheinlich, dass die Servicequalität von höchster Priorität ist. - Und ja, alles ist furchtbar, schauen Sie sich nur an, was die Briten mit Pornofiltern versucht haben (und was nicht), sie sind ein Witz.
Fünf antworten:
#1
+36
Emily Shepherd
2014-04-03 20:44:52 UTC
view on stackexchange narkive permalink

Sie haben die wichtigsten behandelt. Kurz gesagt: Es ist sehr schwierig, wenn nicht unmöglich, eine gewünschte Site effektiv zu blockieren. Sie können es schwierig machen, indem Sie die von Ihnen erwähnten Techniken verwenden: Blockieren von IPs, Umleiten von DNS, Blockieren von HTTP-Anforderungen an bestimmte Websites / Enthalten bestimmter Schlüsselwörter.

Diese Methoden können von Proxys vereitelt werden (im Fall einer eingehenden Paketprüfung wären verschlüsselte Proxys erforderlich), sodass Sie in eine Verfolgungssituation geraten: Wenn Sie eine Site blockieren, entstehen Proxys und as Wenn Sie diese Proxys blockieren, wird noch mehr gestartet. Der nächstgelegene ist Nordkorea und verwaltet dies, indem er alle Websites im Intranet seines Landes kontrolliert.

Die effektivsten Methoden:

  • Whitelist (Nordkoreas Methode) - Nur die von Ihnen kontrollierten Sites zulassen.
  • Blockieren des gesamten verschlüsselten Datenverkehrs + Deep Packet Inspect (Chinas Methode) - Diese Lösung ermöglicht die Kommunikation, die Ihre Kriterien für akzeptable und akzeptable Anforderungen erfüllt blockiert Kommunikationen, deren Inhalt Sie nicht bestimmen können.

Beide Methoden erfordern die vollständige Kontrolle / Autorität über die gesamte Internetinfrastruktur in dem Bereich, den Sie zensieren möchten.

Wie Sie gesagt haben, funktioniert das Blockieren des gesamten verschlüsselten Datenverkehrs nicht wirklich - China hat dies auch festgestellt: Obwohl sie es versucht haben, umgehen die Leute dies mithilfe der Steganographie, die die Praxis des Verbergens ist Nachrichten, zum Beispiel:

  Ich illustriere eine versteckte Nachricht, weil ich es hasse, unbeantwortete Fragen zu sehen. Ich werde Ihnen beim Verstehen helfen.  

Das Lesen des ersten Wortes aus jeder Zeile enthüllt die versteckte Botschaft "Ich hasse dich" (es gibt natürlich intelligentere Wege zur Steganographie, aber das ist nur eine Abbildung)

Wissen Sie, wie viel zusätzliche Verzögerung Chinesen durch die Tiefenpaketfilterung jedes Pakets erhalten? Ich würde argumentieren, dass dies eine ziemlich große Entscheidung ist, Ihren Bürgern nicht den Schutz zu gewähren, den SSL bietet.
Ich kenne die genauen Auswirkungen auf die Zeit nicht, fürchte ich. Ja, die Entscheidung für einen reduzierten Schutz * sollte * eine große Entscheidung sein, aber das ist nicht etwas, mit dem sich die Art von Regierung, die es für in Ordnung hält, ihre Bürger zu zensieren / auszuspionieren, normalerweise zu sehr befasst;) x
Ein geringerer Schutz der Bürger könnte jedoch die allgemeine Sicherheit des Landes beeinträchtigen. Stellen Sie sich alle gestohlenen Passwörter und Bankkonten vor. Bei jeder einzelnen Suche, die von Rivalen abgefangen wird, ist die Integrität nicht garantiert. Die Möglichkeiten sind endlos: D.
China blockiert nicht den gesamten verschlüsselten Verkehr. Ich kann persönlich bestätigen, dass TLS, SSH und ähnliche verschlüsselte Dienste innerhalb Chinas einwandfrei funktionieren. Bei einigen Ressourcen, die verschlüsselte Inhalte bereitstellen, sind die IP-Adressen entweder blockiert oder DNS-vergiftet. Die Verschlüsselung ist jedoch kein automatischer Grund für die Blockierung.
China blockiert verschlüsselte Daten nicht, ABER sie machen sie weniger zuverlässig, indem sie zufällige Pakete verwerfen (Verhalten, das bei VPNs ausländischer Regierungen aus China beobachtet wird). In Bezug auf die Verzögerung sollten Sie sich China als ein großes Intranet mit einer Geschwindigkeit von etwa 15 MB in Großstädten vorstellen. Sobald Sie jedoch versuchen, auf ausländische Websites zuzugreifen, sinkt diese auf 1 oder 2 MB (aber wenn Sie ein VPN verwenden, erhalten Sie tatsächlich viel bessere Geschwindigkeiten als ohne)
#2
+12
Tom Leek
2014-04-03 20:40:12 UTC
view on stackexchange narkive permalink

"Effizienz" hängt von Ihren Zielen ab.

Ein wichtiger Punkt ist, dass alle Blockiertechniken zu einem Preis umgangen werden können. Beispielsweise kann eine Person ein Satellitentelefon verwenden, um eine Verbindung herzustellen, die von ihrem Land nur durch direkte physische Intervention der Streitkräfte blockiert werden kann. Die Verwendung solcher Systeme ist jedoch ziemlich teuer. Länder, die beabsichtigen, einen solchen illegalen Zugang zu externen Ressourcen zu blockieren, werden auch den Import solcher technologischer Elemente verbieten. Z.B. Versuchen Sie, ein Satellitentelefon nach Nordkorea zu importieren ... Weltweit ist die Anwendung einer strengen, wirksamen Zensur gegen Ihre gesamte Bevölkerung teuer, insbesondere wenn diese Bevölkerung ansonsten keinen Zugang zu Technologie hat (es ist einfacher, das gesamte Internet als nur einen Teil davon zu blockieren davon).

Wenn Sie dagegen nur eine Haltung wünschen, um den konservativsten Flügel Ihrer eigenen Partei zu besänftigen, ist eine gewisse IP-basierte Blockierung ausreichend. Dies ist kein Problem, da es mit Proxys und VPN leicht umgangen werden kann. Auf das -Symbol kommt es an. Als Variante kann das Verbot von legal einer Website ausreichen, um eine rechtliche Qualifikation zu erhalten, um Eindringlinge in Schwierigkeiten zu bringen. In einigen Ländern sind solche legalistischen Spielereien wichtig.

#3
+5
Janus Troelsen
2014-04-06 01:05:11 UTC
view on stackexchange narkive permalink

Some research on this topic:

Empirical Analysis of Internet Filtering in China (2003)

For some 1,043 of sites tested, we confirmed that DNS servers in China report a web server other than the official web sever actually designated via each site's authoritative name servers. We call this phenomenon "DNS redirection," though others sometimes refer to the situation as "DNS hijacking." Consistent with prior reporting by Dynamic Internet Technology, our data show that such sites were consistently unreachable in their entirety.

Filtering on the basis of keywords in URL. Beginning in September 2002, our data reflect that when a subscriber to a Chinese ISP submitted a URL request that itself contains certain words or phrases -- this typically happens for search engine searches, like http://www.google.com/search?q=jiang+zemin -- no response would be received.

Filtering on the basis of keywords or phrases in HTML response. Beginning in September 2002, the authors observed that certain keywords in HTML response pages seemed to be blocked by Chinese network infrastructure. In particular, even when a page came from a server not otherwise filtered, and even when the page featured a URL without controversial search terms, it might nonetheless be inaccessible if the page itself contained particular controversial terms. Such pages were often truncated, i.e. interrupted midway through their display.

Other Effects of Chinese Filtering: Routing. The authors have observed that some American ISPs route packets through China towards destinations beyond China (in particular, to Hong Kong). When the desired web servers are blocked from China, such a routing typically yields to filtering by network equipment in China of an American user's request. In response to this problem, affected American ISPs can address the situation by manually altering the routes used to reach hosts in Hong Kong and elsewhere. However, affected ISPs are often unaware of the situation, and an effective response requires delay and/or causes additional expense as an affected ISP finds the necessary partner ISPs and establishes peering relationships with them.

From the technical appendix: http://cyber.law.harvard.edu/filtering/china/appendix-tech.html

The Velocity of Censorship: High-Fidelity Detection of Microblog PostDeletions (2013)

Weibo and other popular Chinese microblogging sites are well known for exercising internal censorship, to comply with Chinese government requirements. This research seeks to quantify the mechanisms of this censorship: how fast and how comprehensively posts are deleted. Our analysis considered 2.38 million posts gathered over roughly two months in 2012, with our attention focused on repeatedly visiting “sensitive” users.

We found that deletions happen most heavily in the first hour after a post has been submitted. Focusing on original posts, not reposts/retweets, we observed that nearly 30% of the total deletion events occur within 5– 30 minutes. Nearly 90% of the deletions happen within the first 24 hours.

Paper: http://www.cs.unm.edu/~crandall/usenix13.pdf

ConceptDoppler (2007)

ConceptDoppler is a weather tracker for Internet censorship. Using ConceptDoppler we can track the list of keywords that a government uses to censor Internet traffic. For GFC keyword filtering, we can also locate the routers performing filtering and deduce the architecture of this censorship mechanism.

We use Latent Semantic Analysis to prioritize the words we check. Just as an understanding of the mixing of gases led to effective weather tracking, understanding the relationship between sensitive concepts and blocked keywords will lead to more effective tracking of Internet censorship. More details are available in the paper.

Paper: http://www.csd.uoc.gr/~hy558/papers/conceptdoppler.pdf

FAQ: http://www.cs.unm.edu/~crandall/cd/faq.html

Website with list of blocked keywords: http://www.conceptdoppler.org/

The third paper is a bit dated, but Jedidiah R. Crandall is now a professor and still working on combatting censorship; the second paper is from his department. Definitely worth checking out.

#4
+4
scuzzy-delta
2014-04-04 12:41:42 UTC
view on stackexchange narkive permalink

It's a question of resources actually. If a country were willing to devote a enormous amount of time, money, and expertise to the problem, I believe it would be possible to effectively block a few select sites.

The reasoning is that all the circumvention methods themselves need to be broadly publicized among the target audience to be successful. A well-resourced government could block each proxy, mirror, or tunnel as soon as they became aware of it. This would leave only a few lucky or specialized sources of access (e.g. The 0.0005% of the population who can use Tor), which may be enough to achieve their political goals.

However, without disconnecting from the internet entirely, I don't think broad blocking (e.g. all news sites) can be achieved. Thankfully, The Net interprets censorship as damage and routes around it. (Internet pioneer John Gilmore, co-founder of the Electronic Frontier Foundation)

Sie können nur Verbindungsprobleme umgehen. TCP und DNS haben keine integrierte Möglichkeit, die Integrität zu überprüfen. Das Zitat ist irreführend.
Ich bin sicher, wir alle wissen, dass das Zitat ein Kommentar zur Kultur des Internets im Allgemeinen ist, kein technischer Anspruch auf BGP oder ähnliches. Die Links Slashdot und EFF bieten Kontext.
#5
+3
Yan Z
2014-04-06 01:57:50 UTC
view on stackexchange narkive permalink

One censorship method that hasn't been mentioned yet is TCP Reset packet injection, which terminates undesired connections via forged TCP RST packets. The Great Firewall of China has been known to do this for years (source: http://www.icir.org/vern/papers/reset-injection.ndss09.pdf). Often this is used in conjunction with DPI, such as to do protocol fingerprinting on Tor connections (http://www.cs.kau.se/philwint/pdf/usenix-login-2012.pdf).

My employer (EFF) has written a good intro guide to detecting packet injection attacks: https://www.eff.org/wp/detecting-packet-injection



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...