كيف حاولت الحكومات حجب تور

تور يستخدم حالياً لحماية شخصية المستخدمين من المراقبة التي تفرضها الحكومات او الشركات على مواطنيها. هذه المقالة هي عبارة عن تلخيص لعرض قدمه القائمون على مشروع تور في مؤتمر 28C3. وأنصح الجميع بمشاهدة العرض:

المشروع بدأ كأداة للمجهولية (جعل شخصية المستخدم الحقيقية غير معروفة) عام 2002. وفي عام 2004 تم نشر ورقة حول تصميمه.

بداية في المحاربة

بدأت محاربة تور في ٢٠٠٦ عندما قامت حكومة تايلاند بعمل فلترة لموقع تور من خلال ال DNS (خدمة اسماء النطاق) حيث تمّ تحويل زوار الموقع الى صفحة تديرها الحكومة تظهر ان الموقع محظور. الحظر كان  من قبل بعض وليس كل مزودي الخدمة في تايلاند.

شركة smartfilter/websense  كانت اول شركة تعمل على الية لحظر تور.

تور كان يستخدم قناتين من أجل إخفاء نشاط المستخدمين،الاولى، قناة مشفرة لتشفير الاتصال عبر TLS والثانية غير مشفرة تعرف بخدمة الدليل وتستخدم لمعرفة  اين يوجد محول* تور آخر. عملية الحجب تتم عن طريق قطع اي طلب HTTP GET ل /tor/

شركة Websense و Cisco وغيرهما لازالوا يستخدم هذه الطريقة مع انها قد اصبحت من الماضي وذلك لاسباب تسويقية في الأغلب.

الحظر الذي قامت بهSmartfilter امتد الى دول اخرى مثل ايران في ٢٠٠٧ حيث تمّ تحديث قواعد الفلترة، هناك تمّ نقل خدمة الدليل من قبل المشروع الى قناة مشفرة. بعد ان طردت ايران الشركة عاد طور القديم (بدون تشفير الدليل للعمل)

الحالة الإيرانية

ايران تعتبر حالة فريدة حيث تعتبر رقم ٢ من حيث مستخدمي تور. ايران اعتمدت فلترة اي اتصال مشفر ليس بسبب تور بشكل مباشر ولكنها اثرت عليه بشكل فعلي  بطريقة غير مباشرة. في يناير (كانون ثاني) 2011 قامت ايران عن طريق DPI (Deep Packet Inspection) أو الفحص المعمق للحزم بحجب تور عن طريق فلترة معامل دوفي هلمان والذي يستخدم في التشفير. في حالة استخدام Socks Proxy كان يعمل بدون مشاكل في تلك الفترة حيث ان DPI لم يقم بفلترته. سوريا تشبه ايران في مراقبتها وسيأتي تفصيل ذلك لاحقاً.

في سيبتمبر (ايلول) 2011، ال DPI كان يقوم بالبحث عن صلاحية شهادة تور حيث كان يجري تدويرها كل ساعتين في حين غالب مواقع الانترنت تقوم بذلك بشكل سنوي وهذا يساعد في الكشف عنها. شهر اكتوبر (تشرين الأول) 2011 شهد تطور في طريقة التعامل مع تور. فبدلاً من أن يتم حجبه تمّ تحديد سرعته على سبيل المثال بدلاً من 20 كيلوبت في الثانية الى 4 كيلو بت في الثانية.

الحالة الصينية

كما ذكرنا أعلاه تور يعتمد على خدمة الدليل لايجاد محوّلات تور. هذه الخدمة تعتمد على عدد محدود من الخوادم. السلطات الصينية قامت بأخذ قائمة بهذه المحوّلات ومن ثمّ حجبتها. عمليات الحجب وتخطيها مرّة بأربع مراحل

1- عبر http://bridges.torproject.org حيث سيعطي عناوين بناء على وقت الطلب وموقع الطالب. هذه تمّ حجبها كما ذكر اعلاه.
2- عن طريق ارسال بريد الكتروني من خدمة gmail الى [email protected] وهم سيقومون بإرسال عناوين محولات بعدد محدود. هذه تمّ حجبها في الصين في شهر مارس (آذار) 2010.
3-عن طريق اعطاء العناوين لصديق في شانغهاي وهو يقوم بتوزيعها عبر شبكته الاجتماعية
4- كذلك يمكن لمستخدم انشاء جسر خاص به واخبار من يعرفهم به بشكل مباشر

طريقة اخرى قامت بها الصين، عمل فحص عميق ل SSL. ثم تتبع ذلك بفحص ماهية ال SSL. هل هو تابع لشبكة تور أو خلاف ذلك. ولكن لم يأخذوا اجراء بحقه.

الحالة التونسية

الحالة التونسية فريدة حيث كانت تتم الفلترة على مستوى خط المشترك الواحد. في صيف ٢٠٠٩ حالة فريدة حيث تم فلترة  جميع المنافذ باستثناء ٨٠ و ٤٤٣ وبعض خوادم خدمة اسماء النطاق. واذا كان شخص محور اهتمام للنظام فسوف يتم السماح له بمنفذ ٨٠ فقط. لحل ذلك قام جاكوب أحد مطوّري المشروع بعمل دليل  يدعم التشفير ويعمل على منفذ ٨٠. لا زالت اجهزة شركة smartfilter  مستخدمة في تونس ولكن حسب مسؤول محلي فقط في المدارس والحكومات والجيش. الشركة بيعت الى عدة شركات والان تملكها شركة انتل. الشركات والحكومات الغربية متورطة في المراقبة. الأجهزة داخل انظمة الحجب لايوجد تنسيق بينها فمثلاً يمكن لشخص أن يقوم بعمل حجب لبرنامج سكايب دون أن يُشعر أحداً بذلك وفقاً لمقدمي العرض. الاجهزة تديرها  شركات فرنسية.

الحالة المصرية

يناير (كانون الثاني) 2011. مصر استهدفت مواقع محددة بالحجب. توتير كان يمكن الوصول اليه لان الحجب لم يكن قد تم بشكل جيّد. بعد أن تمّ إغلاق الانترنت بشكل نهائي توقف تور عن العمل. بعد سقوط النظام المصري، التقى جاكوب في مصر في ندوة مع عدد من مزودي خدمة الانترنت وسألهم إن كانوا سيقومون بالرقابة على الانترنت بعد انهيار النظام. ولكنه لم يتلق جواباً شافياً. بل إن شركة فودا فون قالت بانّها تلتزم بالقانون من حيث القيام بالحظر بغض النظر عن صحته من عدمها. (القانون لو كان يمنع الناس من الادلاء برأيهم).

الحالة الليبية

في مارس (آذار) 2011 قام النظام الليبي بتحديد سعة الانترنت المستخدمة حيث جعلها محدودة جداً بشكل يجعلها غير قابلة للاستعمال.

الحالة السورية

الحالة السورية تشابه في بعض اجراءاتها الحالة الايرانية. ولكن ما يميزها هو انّه يجري مراقبة كل بايت داخل الى وخارج من سوريا. في الحالة السورية أجهزة BlueCoat يجري استخدامها بكثرة ويتمّ تحديثها بحيث تقوم بحجب حركة تور. نظراً لأن كل شيء تتم مراقبته فإن خطأ واحد يرتكبه المستخدم اثناء تصفحه قد يكلفه حياته وهو ما حصل بالفعل للبعض. تمّ ذكر بعض الحالات التي تعرضت للقتل في العرض. مجموعة Telex قامت بالكشف عن وجود أجهزة ال BlueCoat والكشف عن سجلاتها وهو ما اعتبر خطوة مستهترة لانها تسمح للنظام في تتبع المستخدمين بوسائل اخرى مثل قائمة الاصدقاء في برنامج دردشة.

قصة طريقتان لتجاوز الحظر

الاولى عبر Ultrasurf

– تصرفه يمكن تمييزه
-يقوم بتسجيل الكثير من البيانات داخل سجله
-أدلة على حركة غير مؤكدة

مثال لسجل UltraSurf

تور

-يشبه ال SSL
-لا يعطي بيانات زيادة في السجل

مثال لسجل تور

ملاحظات عامة

الفرق بين المحول والمكتشف
المحول: يبني دوائر تور ويقوم بارسال الحركة اليها مع  التشفير الصحيح
المكتشف:  يعلم عن اي المحولات متوفر

الجسور هي حل لمشكلة الدليل
الدليل عدد محدود يمكن الحصول عليه ومن ثم حجبه. الجسور موزعة على اعداد المستخدمين وهو يصعب بشكل كبير مسألة حجبها.

كيف يتمّ منع المستخدمين من الاتصال بتور

-عبر حجب إدارة الدليل
-عبر حجب جميع كل عناوين المحولات في الدليل. يمكن التحايل عليها بتزويدها بعناوين مسموح بها داخل الدولة وهو ما سيؤدي الى حجب هذه المواقع (مثل موقع حكومي لدولة ما)
– الحجب عبر بصمة شبكة تور
– عبر حجب موقع تور نفسه

يمكن من خلال هجمات تسميم خدمة النطاق ارسال المستخدمين الى موقع مزيف للمشروع تسيطر عليه الجهة المراقبة وتقوم عبره بوضع نسخة معدلة من البرنامج تحتوي على بوابة خلفية لتلافي ذلك يمكن (يجب) القيام بفحص التوقيع الخاص بالبرنامج وذلك عبر ارسال رسالة بريدية الى [email protected]

تور يجعل عملية المراقبة صعبة للغاية حيث يمكن لطرف معرفة أن مستخدم دخل الى شبكة تور ولكن لا يعرف ما هي وجهته، وقد يعرف أن الطلب الخارج من الشبكة هو لموقع توتير ولكن لا يعرف مصدر. الحماية الأخرى لشبكة تور عند الانتقال من عدد محدود من الجسور الى ملايين الجسور وهو ما يصعب عملية حجب الشبكة.

أين المشكلة؟

المشكلة ليست في الحجب في هذه الدولة أو تلك بل في الشركات الغربية التي تقوم بتطوير مثل هذه الأدوات. تأتي شركة مثل بيونغ وتطلب من شركة سيسكو فلترة الحركة. شركة سيسكو تطلب ملايين الدولارات لتطوير مثل هذا النظام والذي تحصل عليه الانظمة القمعية بثمن بخس. اعطاء هذه الانظمة مثل هذه الادوات يشبه اعطاء القاتل لسلاح كلاشنكوف ليطلق به النار على ضحاياه.

الجدر النارية للحكومات كانت عبارة عن اجهزة منع بدون معرفة للحالة (اجهزة حجب بسيطة). الان الشركات التجارية (الأمريكية) تنتج نظم مراقبة معقدة. شركات مثل

BlueCoat
Smartfilter
Websense
Nokia
Cisco

علينا ان نري هذه الشركات اقتصادياً (عبر المقاطعة ) وانسانيا  (حقوق الانسان) انها تقوم بعمل خطير يمكن ان يخسر اناس ارواحهم بسببه.

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (13)

  1. Seven قال:

    الآن لا يوجد حجب أو فلترة في تونس و قامت الوكالة التونسيّة للأنترنات ATI بإنشاء Mirror لمشروع Tor في تونس http://tor.mirror.tn

  2. زائر قال:

    شكرا جزيلا لك، سؤالي حول ssh و مراقبة bluecoat بالذات، هل هي آمنة فعلا وماهي أخطارها، هل هي الافضل أم التور؟

  3. خالد عوض قال:

    مقالك المميز يجب نشره في الشبكات الإجتماعية وشاكرين لتميزك الدائم في الساحة العربية .

  4. صرت متابع لكل مقالاتك في الفتره الأخير بشغف بارك الله فيك وزادك علما ,

    سؤالي هو / هل يتاح للحكومات القمعيه التجسس علي مواطنيها من الذين يستخدمون تو كأداه للتخفي ؟ فما فهمته من الموضوع هو انهم يقومون بحجب تور وهذا يعني انهم لا يستطيعون التجسس علي من يستخدمه لذا يقومون بحجبه , فهل ظهرت طريقه جديده للتجسس علينا حتي مع استخدام التور ؟ شكرا مقدما .

    • بشار قال:

      أخي علاء حياك الله،
      جرت هناك العديد من المحاولات من أجل التجسس على اتصالات تور. غالبها كان (ولا زال) يحاول وضع خوادم تور ويتجسس على الاتصالات التي تمّر عبر هذه الخوادم. إذا قام المستخدم باتباع الاجراءات الصحيحة حسب القائمين على المشروع فستظل هويته مخفية. هناك تقنيات يمكن ان تدل على استخدام تور وهنا يمكن للحكومات تتبع من يقومون باستخدام تور دون معرفة ما نوعية النشاط الذي يقومون به.

  5. فادي قال:

    لك كل الشكر
    وجزاك الله كل خير ولكن اكمل معروفك بطريقه يمكن معها تجاوز المراقبة بثقة تامة .

  6. نبراس القرشي قال:

    شكراً لك على المقال الرائع، أود أن أؤكد على كلامك فقد كنت مشاركاً مع شركتي في مؤتمر القاهرة، وقد قابلت جاكوب شخصياً، وفعلاً فإنه قام بتكرار السؤال عدة مرات لكن لم يجب أحداً من الشركات أو وزير اللإتصالات وغيرهم.

  7. ياسر قال:

    سؤال هام من يصرف على خدمة تور من اين ياتى الدعم المادى ولا اريد ان اسمع الكلمة الحمقاء ( تبرعات من المجتمع ) لانه ببساطة خدمة مثل هذه تسعى هشرات الدول من بينهم الصين وروسيا بكل ما لديهم من جيوش الكترونية واجهزة حاسوب فائقة القدرة على ضرب الخدمة …ا
    مما يستلزم وجود جدران نارية فائقة القدرة تتكلف عشرات الدولارات يوميا + اجور من يعملون على مثل هذه الخدمة .. والاهم
    هل الولايلات المتحدة الامريكية فعلا لا تستطيع ان تتحكم فى مثل هذه الخدمة على اساس انها تثق فى مواطينيها ثقة عمياء وانهم لن يقوموا باى شئ لانها ( امريكا ) تسير على السراط المستقيم …

    انا ارى انه تور ما هو الا خدمة مخابراتيه تقدمها مصلحة الامن القومى الامريكى

    • بشار قال:

      تبرعات المشروع تأتي من مصادر متعددة منها وزارة الخارجية الامركية ومؤسسات ودوائر أمريكية أخرى. بداية المشروع كانت من البحرية الأمريكية.

      المشروع مفتوح المصدر ولو كان فيه ما يثير الشبهات لأثار ضجة على مستوى عالمي.

      تبرع الحكومات الغربية يأتي في إطار ما يسمونه دعم حرية التعبير للمواطنين في دولة تقمع الحريات الشخصية مثل الصين وايران وغيرهما. ولكن الفريق المطور لا يفرض عليه شيء من قبل هذه الحكومات.

      آخيراً أمر استخدامه يرجع للشخص المستخدم…

      • ياس قال:

        شكرا على الرد ولكنى اشكك فى عدم قدرة المخابرات الامريكية على التحكم فى شبكة تور لانها ببساطة تقدم فرصة من ماس ولي ذهب للتجار البشر والمخدرات والاسلحة وما اكثرها على الحدود المكسيكية / الامريكية … ايضا الارهابيون اتنظيم القاعدة والمخابرات الروسية والصينية واكوريا الشمالية وايران

        فهل امريكا بهذا الغباء بان تسمح لاى شخص ان يعمل فى الخفاء فى الوقت التى تسعى وتصرف المليارات للتطوير تقنيات التجسس

        • بشار قال:

          لديك وجهة نظر أخي الكريم. ردي هنا ليس مبنيّاً على حقائق وانما افتراضات. حسب القضية التي يتم التعامل معها قد يكون هناك وسائل لدى المخابرات الامريكية أو غيرها للاطلاع على ومتابعة مستخدمي تور. مدى سهولة ذللك لا أدري. ولكن يمكنهم على سبيل المثال اضافة خوادم تكون جزء من شبكة تور ويمكنهم الاطلاع على الاتصالات القادم الى والخارج من هذه الخودام. هذه تطلب جهدا ووقتا. لذلك نعود الى الاولوية. هل الاولية متابعة أحد الارهابيين أو تاجر مخدرات؟ لا يوجد هناك شيء آمن 100%.

  8. !.! قال:

    هه تور فيه مخدرات والكوكايين حاليا …سبحان قبل لا اجي الي هنا الي هذا الموقع كنت داخل في عالم تور فيه اشياء غريبة جدا اذا صح القول هيا عالم خاص مثال توضيحي لها
    http://lh4.ggpht.com/-XsLL1tXB94E/Tkz4CnJFQ4I/AAAAAAAAAsY/g9a313v_eLo/image_thumb%25255B4%25255D.png
    شوف الصورة اخي هي عبارة عن انترنات مظلم او ما يسمى Deep/Dark Web
    تعرف لماذا سمى هذا الجزء من الانترنت invisible web أو deep web لأن محركات البحث لا يمكن أن تراه أو تجده بسهولة أو ببساطة هذا المحتوى غير مصمم ليفهرس أو ليتم رؤيته على محركات البحث كما هو معروف …بل غير معروف للعالم الي للاشخاص الذين لهم ميدان عريق في الهاك والمافيا هذا الجزء أنه أكبر بكثير من المحتوى المرئى من الانترنت و يقدر حجمه بأنه50 ضعف محتوى الويب المرئى…اخي عالم تور عالم خاص ومراقب من cia و fbi

أكتب تعليق