Çin’in hızlı UDP (QUIC) internet bağlantıları kullanarak taşınan trafiği sansürleme girişimleri kusurludur ve ülkeyi sansür aparatını düşüren veya hatta açık deniz DNS kararlarına erişimi azaltan saldırılar riski altında bırakmıştır.
Bu keşifler geçen hafta bir kağıt Massachusetts Üniversitesi Amherst, Stanford Üniversitesi, Colorado Boulder Üniversitesi ve Büyük Güvenlik Duvarı Rapor Aktivistleri grubundan araştırmacılar tarafından yazılmıştır. “Çin’in Büyük Güvenlik Duvarı’nın SNI’sına dayalı Quic sansürünün açığa çıkması ve eğitimi” başlıklı makale, önümüzdeki hafta bir sunumun konusudur. Usenix Güvenlik Sempozyumu.
Quic benimsemek için acele etmiyor: TCP’den daha hızlı yapmak için bir slogan
QUIC, taşıma kontrolü (TCP) yerine Datagram Protokolü (UDP) kullanan bir taşıma katmanı ağı protokolüdür. Google’daki ağ Boffins protokolü icat etti ve daha sonra Standart oldu Çünkü bir istemcinin ve bir sunucunun, bir TCP bağlantısı kurmanız gerekenden daha az mermi ile veri alışverişi yapmasına izin verir. İnternet ölçüm Wonk, web sitelerinin en az yüzde onunun Meta ve Google tarafından sağlanan birçok hizmet de dahil olmak üzere QUIC kullandığını düşünüyor.
Çin, her iki şirket sitesini de engellemek için büyük güvenlik duvarını (GFW) kullanıyor, bu nedenle Quic güncellemesi yaygın sansür rejiminin makul bir uzantısıdır.
Araştırmacılar, “QuiC sansüründen sorumlu cihazların mevcut GFW cihazlarıyla aynı LEAP’de ortak aile olduğunu göstermek için Tnceroute’a benzer tablo ölçümleri kullandılar, bu da paylaşılan altyapıları kullanabileceklerini veya benzer yönetime sahip olduklarını gösteriyorlar”.
Yazarlar, büyük Çin güvenlik duvarının operatörlerinin Nisan 2024’te belirli sektörlerle QuiC bağlantılarını engellemeye başladığını, ancak ayrım gözetmeden göründüğünü belirtiyorlar.
Belgede, “GFW blok listesi quic, Çin’deki TLS, HTTP veya DNS sansürü için kullanılan engelleme listelerinden önemli ölçüde farklıdır.” Diyor. “Özellikle, QUIC’in blok listesi, alan sayısı açısından DNS blok listesinin boyutunun yaklaşık yüzde 60’ıdır. Şaşırtıcı bir şekilde, bu alanların çok sayıda kısmı Quic’i bile desteklemiyor, bu da Quic için belirli bir sansürle sonuçlandıkları neden belirsizdir.”
Araştırmacılar ayrıca, GFW’nin standartlarda belirlenen gereksinimleri karşılamayan yük Quic’i işlemeye çalıştığını gören “özdeyiş analizi” de fark ettiler, bu da yasaklanmış web sitelerine ulaşmaya çalışılamayacak paketleri işlemeye çalışırken zaman harcadığı anlamına geliyor.
Belge ayrıca Çin’in tüm Quic trafiğini ve başarılı sansür girişimlerinin yüzdesinin günün saatine göre yüzemediğini keşfetti.
Pekin, Şangay ve Guangzhou şehirlerindeki quic bloğunu test ettikten sonra, araştırmacılar “her üç şehirde de açık bir gündüz modeli buldular, sabahın erken saatlerinde zirve yapan ve gün boyunca en düşük seviyelere inen blok yüzdeler buldular.
Engelleme oranı, Çin’deki internet kullanım modellerinden etkileniyor
“Bu model, engelleme oranının Çin’deki İnternet kullanım modellerinden etkilendiğini ve düşük ağ trafiği dönemlerinde gözlenen en yüksek bloke oranları ile etkilendiğini göstermektedir.”
Quic’in tasarımı bu dalgalanmaların nedenlerinden biri olabilir.
Belgenin açıkladığı gibi, “Hedef sunucunun adının net olarak gönderildiği TL’lerin aksine, tüm paketlerin quic şifrelemesi. QuiC’de, ilk el mesajı, ilk Quic istemcisi, pasif bir ağ gözlemcisinden türetilmiş bir anahtar altında bile şifrelenir.”
“Bu, SNI Adı Sunucusu (SNI) alanına göre QuiC bağlantılarını engellemek isteyen bir sansürün, hedef siteyi ortaya çıkarmak için her Quic bağlantısının ilk paketini şifresini çözmesi gerektiği anlamına gelir.”
“İlk paketler quic’in şifre çözme işleminin operasyonel maliyeti, büyük ölçekte önemlidir, bu da gün boyunca değişen yük yüküne blok hızının hızını elde eder” belgeyi öne sürüyor.
İlk Paketler Quic’i ayrıntılandıran bu sorunlar, belgenin yazarlarının, GFW’ye Quic paketleri göndererek Çin’in sansür yeteneklerini kasıtlı olarak bozmanın mümkün olup olmadığını yansıttığını yansıtıyor. Çin internetini kesmeyecek deneyler tasarlamaya dikkat ettikten sonra, araştırmacılar GFW görüntüleri altyapılarını Çin’in dışından düşürmenin mümkün olduğu sonucuna vardı.
DNS DOS
Araştırmacılar ayrıca, GFW QuiC-blocker’ın bir sansür mekanizmasını kasten tetikleyen bir saldırı biçimi olan bir “kullanılabilirlik saldırısı” başlatmanın yeni bir yolunu sunduğunu keşfettiler. Belge, sansür sistemlerinin genellikle birkaç dakika sonra trafik bloklarını yükselttiğini açıklıyor. Bir kullanılabilirlik saldırısı, saldırganların sansürün devam edebilmesi için kasıtlı olarak karışıklık paketleri gönderdiğini görüyor.
Yazarlar, QUIC engelleme mekanizmasının, “Çin dışındaki tüm açık veya radikal DNS çözünürlüklerini engelleyebilecek ve ülkede yaygın DNS başarısızlıklarına yol açabilecek” kullanılabilirlik saldırılarına duyarlı olduğunu keşfettiler.
Sansürlerin QUIC’de hedeflenen blokları uygulamasına izin vermek için dikkatli mühendisliğe ihtiyaç duyulacaktır.
Kart, “Hala sansür yaparken kendinizi bu saldırıya karşı savunmak, UDP paketlerinin istikrarsız doğası ve kimlik sahtekarlığı kolaylığı nedeniyle zor” diyor. Diyerek şöyle devam etti: “Sansürlerin hedeflenen QuiC bloklarını uygulamasına izin vermek için dikkatli bir mühendisliğe ihtiyaç duyulacak ve aynı zamanda kullanılabilirlik saldırılarını önleyecek.”
Araştırmacılar, çalışmalarının İnternet’e ve Çin vatandaşlarına zarar verebileceğinden endişe duyuyorlar ve bu nedenle Ocak 2025’te çalışmalarını Çin yetkililerine açıkladılar. Mart ayında yazarlar Mart ayında GFW’nin davranışında değişiklikler gözlemlediler.
Belgedeki bu ayrıntılı değişikliklerin analizi, GFW Mainner’ların sadece kısmi bir hafifletmeyi yönettiğini göstermektedir. Yazarlar, GFW’yi Çin yetkililerine düşürme yeteneğini açıklamadılar ve bunun yerine çalışmalarını sansür karşıtı topluluklarla paylaştılar ve ardından bu belgenin yayınlanmasıyla halka açık bir yayılma izlediler.
“Bu yaygınlaştırma stratejisini seçtik, çünkü bozulma saldırısı sadece kullanıcıların değil, GFW’nin altyapısını etkiliyor. Sansüre özel bir açıklama, en büyük sansür karşıtı topluluğun farkında olmaya ve bu savunmasızlıktan öğrenmeden önce sansür mekanizmalarını güçlendirme fırsatı sunacaktı” diyor. ®