Изследователи стигнаха до заключението, че опитите на Китай да цензурира

Изследователи стигнаха до заключението, че опитите на Китай да цензурира трафика, излъчен посредством Quick UDP Internet Connections (QUIC) са неправилни и излагат страната на риск от офанзиви, които отслабват системата ѝ за цензура или даже лимитират достъпа до различни DNS резолвери.

Операторите на „ Златния щит “, прочут още като „ Великата китайска защитна стена “ (GFW) започнаха да блокират някои QUIC връзки още през април 2024 година, само че го вършат безредно.

Тези констатации бяха оповестени предходната седмица в документ, направен от откриватели от Масачузетския университет в Амхърст, Станфордския университет, Университета на Колорадо в Боулдър и активистката група Great Firewall Report. Статията, озаглавена „ Exposing and bypassing SNI-based QUIC censorship in the „ Great Firewall of China “ “ („ Разкриване и заобикаляне на цензурата въз основата на SNI във “Великата китайска защитна стена„ ), ще бъде показана на симпозиума по сигурността на USENIX идната седмица.

QUIC е интернет протокол, създаден от Гугъл в края на 2012 година. Той употребява протокола UDP (User Datagram Protocol) вместо TCP (Transmission Control Protocol), разрешава мултиплексиране на голям брой потоци от данни и съдържа благоприятни условия за криптиране, еквивалентни на TLS и SSL. QUIC има по-ниска инертност на връзката и предаването спрямо TCP, като в същото време разрешава известна загуба на пакети заради положителното равнене на границите на криптографските блокове с границите на пакетите. Експертите настояват, че през днешния ден най-малко 10% от уебсайтовете употребяват QUIC, в това число доста услуги, предоставяни от Meta и Гугъл.

Китай употребява „ Великата китайска защитна стена “, с цел да блокира уебсайтовете на двете компании, тъй че актуализацията на QUIC наподобява рационално разширение на цялостния режим на цензура. Изследователите означиха, че устройствата, виновни за цензурата на QUIC, са ситуирани в същия сектор от мрежата като съществуващите устройства, което допуска, че те имат обща инфраструктура и сходни подходи за ръководство.

„ Черният лист на QUIC от „ Великата китайска защитна стена “ се разграничава доста от черните описи, употребявани за цензура на TLS, HTTP или DNS в Китай. “

се споделя в документа

По-конкретно, черният лист на QUIC е към 60% от размера на черния лист на DNS във връзка с броя на домейните. Изненадващо е, че доста от тези домейни даже не поддържат QUIC, заради което не е ясно за какво са попаднали в черния лист, предопределен за QUIC.

Изследователите са забелязали и „ особености при обработката “, при които „ Великата китайска защитна стена “ се пробва да обработи несъответстващия на QUIC потребен товар, изразходвайки запаси за обработка на пакети, които не са опити за достъп до неразрешени уеб сайтове.

В публикацията се твърди също, че Китай не може да блокира целия трафик на QUIC и че успеваемостта на опитите за цензура варира според от времето на деня. Тествайки блокирането на QUIC в Пекин, Шанхай и Гуанджоу, откривателите откриват „ ясна дневна картина и в трите града: процентът на блокиране доближава своя връх в ранните утринни часове и понижава до най-малко денем “.

Както е обяснено в публикацията, „ QUIC криптира всички пакети, за разлика от TLS, при който името на сървъра на местоназначението се изпраща в свободен текст. В QUIC даже първото известие за здрависване е криптирано, въпреки и с ключ, който може да бъде получен от въздържан мрежов наблюдаващ. “ Това значи, че цензорът, който желае да блокира QUIC връзки въз основа на полето Server Name Indication (SNI), би трябвало да декриптира първия пакет на всяка QUIC връзка, с цел да дефинира уеб страницата на местоназначението, което фрапантно усилва оперативните разноски и прави степента на блокиране сензитивна към натоварването на мрежата, което варира денем.

Установените проблеми с обработката на първичните пакети QUIC подтикнаха създателите на публикацията да обмислят опцията за ориентиране към опциите за цензура на Китай посредством изпращане на пакети QUIC към GFW. Провеждайки опити, които не нарушават работата на китайския интернет, откривателите стигат до заключението, че е допустимо по този метод да се отслаби доста инфраструктурата на WCF извън, от Китай.

Изследователите откриха също по този начин, че блокерът QUIC от GFW разрешава инициирането на „ офанзива за наличност “, която съзнателно задейства механизъм за цензура. Системите за цензура постоянно отстраняват блокирането на трафика след няколко минути, само че нападателите могат съзнателно да изпращат спомагателни подправени пакети, с цел да поддържат цензурата. Такава офанзива може да докара до блокиране на достъпа от Китай до всички отворени или вкоренени задгранични DNS резолвери, което да докара до необятно публикувани разстройства в разрешаването на имена на домейни в страната.

„ Защитата против тази офанзива за едновременна цензура е сложна заради лекотата на подправяне на UDP пакети. Необходим е деликатен дизайн, който да разреши на цензорите да ползват целеустремено блокиране в QUIC, като в същото време предотвратяват офанзивите за досегаемост. “

се споделя в документа

Изследователите се притесняват, че работата им може да навреди на китайския интернет и на жителите, по тази причина я разкриват пред китайските управляващи през януари. През март създателите следят промени в държанието на GFW, чийто разбор демонстрира, че разработчиците на системата до момента са обезвредили уязвимостта единствено отчасти.

Авторите не са разкрили пред китайските управляващи опцията за утежняване на работата на „ Великата китайска защитна стена “ при увеличение на натоварването на мрежата, само че са споделили тази информация с антицензурните общности, след което информацията е била обществено оповестена.

През февруари група учени и специалисти по киберсигурност оповестиха за уязвимостта Wallbleed във „ Великата китайска защитна стена “, открита през 2021 година. Те я експлоатират непрестанно в продължение на четири години в опит да научат механизмите на системата, за която има малко обществена информация. По-специално те откриха, че данните остават в паметта на хардуера сред 0 и 5 секунди и че процесорите му са с архитектура x86_64. Експертите откриха също, че уязвимите междинни възли са обработвали трафик от стотици милиони китайски IP адреси, т.е. от съвсем цялата страна.

Wallbleed не е първата накърнимост, открита в китайската система за блокиране на запаси. През 2010 година в интернет беше оповестен скрипт, който позволяваше извличането на 122 байта спомагателни данни от паметта на сървърите на защитната стена заради накърнимост в DNS.