Iran blokiral TOR, popravek na voljo še isti dan

Kot poroča H Onine, naj bi iranska vlada na večer na sredo na svojih izhodnih usmerjevalnikih vklopila blokado prometa po anonimizacijskem omrežju TOR (the Onion Router). Blokada je bila še isti dan odkrita in odpravljena, s čimer se delovanje omrežja počasi obnavlja.

TOR je anonimizacijsko omrežje, ki promet od uporabnika (izvor) pa do ciljnega strežnika (ponor, npr. mail.google.com) spelje skozi večje število posrednikov, imenovanih TOR relays. Relaye poganjajo uporabniki z odvečno internetno pasovno širino (zadostuje že 20KB/s). Uporabnikovi paketki vstopijo v omrežje skozi vhodno točko, nato večkrat odskočijo čez računalnike posrednikov, in na koncu zapustijo omrežje čez izhodno točko. Ves promet od uporabnika pa do vključno izhodne točke je tudi dodatno širiran. Vsa ta infrastruktura znatno otežuje nadzor internetne komunikacije, saj nepridipravi ali vladne obveščevalne službe težko določijo, kdo je pravi izvor prometa, ter kakšna je njegova vsebina. Za to bi morali kontrolirati celotno pot skozi TOR omrežje, ali vsaj vse vhodne in izhodne točke. Teh pa je razmeroma veliko in so geografsko razpršene čez mnoge države.

TOR ves promet enkapsulira v HTTPS povezavo, ki niti ne zgleda toliko drugače od tiste z Gmailom, spletno trgovino ali slo-techom (poskusite). Manjša neprilika je bila, da so TOR relayi pri vzpostavitvi povezave (SSL handshake) ponudili certifikate, ki veljajo kvečjemu par ur. To je normalno, saj jih TOR redno zamenjuje, vendar močno izstopa v primerjavi z običajnimi SSL certifikati, ki se izdajajo vsaj za obdobje enega leta. Na to dejstvo so se obesili iranski požarni zidovi in tako učinkovito blokirali poskuse vzpostavitve TOR povezav. Popravek to razliko popravi in zdaj vrača obdobje veljavnosti 1 leta, čeprav se interno certifikat še vedno prekliče po par urah. Edina negativna posledica je, da je Iranska vlada vmesnem času pridobila prvovrstno bazo TOR hostov, tudi neobjavljenih (ti. bridges).

Avtorji so ob tej priložnosti povedali, da je tovrstnih specifik še kar nekaj, vendar jih v tej fazi ne bodo vseh popravili. Ideja je, da zanje že vejo in da jih lahko v primeru, da se kakšna vlada obesi na njih, takoj popravijo. Če pa bi zdaj polikali vse, bi bila naslednja blokada verjetno tako sofisticirana, da bi omrežje ostalo nedosegljivo za dlje časa.

Za Irance je TOR še posebnega pomena, sploh zato, ker naj bi obveščevalne službe s pomočjo pri DigiNotarju izdanih ponarejenih SSL certikatov izvajale man-in-the-middle napade na priljubljene spletne servise. Če gre promet čez TOR, se tem vladnim strežnikom na daleč izogne.