Che cos’è XOR Obfuscation? Una guida a tutto ciò che riguarda Scramble OpenVPN

OpenVPN Scramble è un modo per nascondere (offuscare) il traffico OpenVPN in modo che non assomigli al traffico OpenVPN. È altamente efficace contro molte tecniche di ispezione di pacchetti profondi (DPI) ed è bravo a bypassare anche sofisticati blocchi VPN.

OpenVPN Scramble utilizza l'algoritmo di crittografia XOR. È molto facile da applicare e anche molto leggero. Molti servizi VPN si stanno rivolgendo a OpenVPN Scramble per sconfiggere i blocchi VPN avanzati del tipo usato da Cina ed Egitto.

Il codice XOR

XOR è generalmente pronunciato Ex-o e sta per Exclusive o, un tipo di operazione matematica utilizzata dal codice XOR. L'algoritmo XOR è fondamentalmente un semplice codice di sostituzione. In altre parole, sostituisce ogni alfanumerico in una stringa che viene inserita in esso con un altro numero.

Fondamentalmente, l'algoritmo è reversibile. Quindi, se si reinserisce la stringa di output nello stesso algoritmo, si finisce con la stringa originale con la cifra rimossa.

Questo tipo di codice è anche chiamato codice additivo ed è il tipo di codice più semplice che esista. È il tipo di cifra ROT13 che i bambini intelligenti usano spesso per creare messaggi segreti. Solo che utilizza un algoritmo molto più sofisticato di quello che la maggior parte dei bambini può escogitare.

Qual è il codice XOR

OpenVPN Scramble

Se questo non sembra molto sicuro, non lo è. In effetti, un semplice codice XOR può essere facilmente interrotto utilizzando semplici tecniche di analisi della frequenza (cercando schemi nella stringa di output).

OpenVPN Scramble non utilizza il codice XOR per proteggere i tuoi dati. OpenVPN lo fa.

OpenVPN, tuttavia, fornisce ai dati crittografati una firma distintiva che può essere rilevata tramite DPI. Sostituendo il valore di ciascun bit di dati protetto da OpenVPN con un altro valore, XOR mescola i dati in un modo che rende questa firma molto difficile da rilevare.

E per i servizi VPN, l'oro XOR non si ferma qui. La patch open source openvpn_xor scramble rende quasi banale per loro implementare XOR Scramble e offrirlo ai propri clienti.

Quanto è efficace OpenVPN Scramble?

Scrambling di dati crittografati OpenVPN con il codice XOR rende più difficile il rilevamento di sistemi come il Great Firewall della Cina.

L'offuscamento di XOR ha raggiunto un certo livello di notorietà. Le sue dimensioni ridotte e la facilità di implementazione lo rendono una scelta popolare per gli sviluppatori di malware che desiderano nascondere i loro cattivi frammenti di codice dal rilevamento anti-malware.

Molti sviluppatori di malware sono felici di utilizzare solo un valore di 1 byte per fungere da chiave. Il codice offuscato da questa chiave quindi scorre attraverso ogni byte dei dati che devono essere codificati, XOR'in ogni byte con la chiave selezionata.

I dati offuscati con una chiave valore di 1 byte sono relativamente facili da individuare in quanto creano modelli ripetitivi nel codice apparentemente casuale. Un certo numero di programmi è stato sviluppato per fare proprio questo.

È possibile selezionare chiavi più lunghe, tuttavia, fino al valore in byte dei dati da offuscare. L'efficacia della funzione XOR nel mescolare i dati dipende completamente dalla casualità della chiave che utilizza.

Cosa significa tutto ciò? Bene, l'uso diffuso di offuscamento XOR per malware è una testimonianza della sua efficacia.

NordVPN è una società VPN che offre la crittografia XOR, quindi abbiamo chiesto al suo esperto di privacy digitale, Daniel Markuson, di commentare quanto sia efficace nel sconfiggere i blocchi VPN. Suggerisce di eseguire il seguente esperimento utilizzando l'analizzatore di pacchetti Wireshark:

1. Attiva la VPN normale. Wireshark vede il traffico come OpenVPN.

Apri VPN scramble XOR

2. Attiva la VPN offuscata su TCP (l'opzione XOR di NordVPN). Wireshark non identifica più il traffico come OpenVPN.

VPN offuscata su TCP

“XOR funziona sicuramente. È sempre efficace contro gli sforzi del governo per bloccare il traffico OpenVPN? No, per niente. Ma come mostra l'esperimento sopra, è più complicato identificare il traffico VPN se viene utilizzato XOR. È quindi più difficile bloccare ".

Controversia

Nonostante i suoi vantaggi, openvpn_xorpatch è alquanto controverso. In effetti, gli sviluppatori di OpenVPN hanno rifiutato di implementarlo in qualsiasi versione ufficiale di OpenVPN e sconsigliano il suo utilizzo.

"Noi (sviluppatori OpenVPN) non incoraggiamo le persone a creare le proprie versioni di OpenVPN modificando il protocollo wire in questo modo, senza che la patch sia sottoposta a una corretta revisione della patch e abbia valutato i possibili rischi per la sicurezza correlati a tale modifica.

E in particolare scoraggiamo l'uso di un tale approccio quando esiste una soluzione molto migliore, utilizzata dalla comunità TOR. Si chiama obfsproxy e può essere utilizzato insieme a OpenVPN senza necessità di ricompilare OpenVPN. "

Nonostante questi avvisi, tuttavia, gli sviluppatori del client VPN macOS open source, Tunnelblick, hanno scelto di includere una versione modificata della patch XOR nel loro software:

"Indipendentemente dalla decisione degli sviluppatori OpenVPN di non includere la patch in OpenVPN, la patch è attraente perché è così facile da implementare: è sufficiente applicare la patch sia al server OpenVPN che al client OpenVPN e aggiungere un'unica opzione identica al file di configurazione per ciascuno. L'uso di obfsproxy è più complicato perché implica l'esecuzione di un altro programma separato sia sul server che sul client.

Poiché la patch è così facile da implementare, la patch è inclusa in tutte le versioni di OpenVPN incluse in Tunnelblick a partire dalla build 4420. "

Vale la pena notare che gli sviluppatori di Tunnelblick hanno scoperto che la patch XOR originale aveva difetti critici e quindi ha rilasciato una versione aggiornata della patch che ha risolto tutti i problemi rilevati:

"Le grandi organizzazioni hanno la capacità e il potere di" decodificare "il traffico e di rilevarlo come traffico OpenVPN, e l'offuscamento fornito da questa patch è così rudimentale che la crittografia relativamente semplice sarà probabilmente in grado di decodificare anche il contenuto."

Speriamo sicuramente che i provider VPN che offrono OpenVPN Scramble utilizzino questa patch XOR migliorata o abbiano apportato modifiche simili all'originale.

Alternative a OpenVPN Scramble

Obfsproxy

Gli sviluppatori di OpenVPN hanno chiaramente la loro tattica di offuscamento preferita è obsfproxy, uno strumento progettato per avvolgere i dati in un livello di offuscamento.

Obfsproxy è stato sviluppato dalla rete Tor, in gran parte come risposta alla Cina che blocca l'accesso ai nodi Tor pubblici. È indipendente da Tor, tuttavia, e può essere configurato per OpenVPN.

Obfsproxy viene utilizzato per eseguire trasporti collegabili che confondono il traffico VPN (o Tor). Supporta una serie di questi trasporti collegabili ma obfs4 è l'ultimo protocollo di offuscamento all'avanguardia "assomiglia a niente" di Tor Project.

Stunnel

Questa è un'altra buona tattica di offuscamento della VPN. Funziona instradando il traffico VPN attraverso un tunnel TLS / SSL. TLS / SSL è la crittografia utilizzata da HTTPS, quindi le connessioni VPN (di solito OpenVPN) instradate attraverso questi tunnel TLS / SSL sono quindi molto difficili da distinguere dal normale traffico HTTPS. Consulta la nostra guida HTTPS per ulteriori informazioni.

Questo perché i dati OpenVPN sono racchiusi in un ulteriore livello di crittografia TLS / SSL. Poiché le tecniche DPI non sono in grado di penetrare questo livello "esterno" di crittografia, non sono in grado di rilevare la crittografia OpenVPN nascosta all'interno del tunnel.

Conclusione

OpenVPN Scramble è facile da distribuire per i servizi VPN e può essere molto efficace nell'eludere i blocchi VPN, ma non è così efficace nel nascondere il traffico VPN come obfsproxy o stunnel.

Il semplice tentativo di utilizzare una VPN è illegale in pochissimi posti al mondo, quindi se la tua connessione VPN è bloccata, c'è poco danno nel vedere se OpenVPN Scramble la sbloccherà, probabilmente lo farà.

In quelle rare circostanze in cui potresti effettivamente avere problemi se viene scoperto l'uso della VPN, allora obfsproxy o stunnel sono più sicuri.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me