Hvad er XOR-tilsløring? En guide til alt om OpenVPN-scramble

OpenVPN Scramble er en måde at skjule (obfuscate) OpenVPN-trafik på, så den ikke ligner OpenVPN-trafik. Det er yderst effektivt mod mange Deep Packet Inspection (DPI) teknikker og er god til at omgå endda sofistikerede VPN-blokke.


OpenVPN Scramble bruger XOR-krypteringsalgoritmen. Det er meget let at påføre og også meget let. Mange VPN-tjenester henvender sig til OpenVPN Scramble for at besejre avancerede VPN-blokke af den slags, der bruges af Kina og Egypten.

XOR-chiffer

XOR er normalt udtalt Ex-eller og står for Exclusive eller, en type matematisk operation, der bruges af XOR-chifferen. XOR-algoritmen er dybest set en simpel substitutionskode. Med andre ord erstatter det bare hver alfanumerisk i en streng, der indføres i den med et andet nummer.

Af afgørende betydning er algoritmen reversibel. Så hvis du fodrer outputstrengen tilbage i den samme algoritme, ender du med den originale streng med cifferet fjernet.

Denne type chiffer kaldes også en additiv chiffer og er den enkleste slags chiffer, der er. Det er den slags ROT13-chiffer, som kloge børn ofte bruger til at oprette hemmelige beskeder. Bortset fra at den bruger en meget mere sofistikeret algoritme, end de fleste børn kan udtænke.

Hvad er XOR-chifferet

OpenVPN Scramble

Hvis dette ikke lyder meget sikkert, er det ikke. Faktisk kan en simpel XOR-chiffer let brudt ved hjælp af enkle frekvensanalyseteknikker (på udkig efter mønstre i outputstrengen).

OpenVPN Scramble bruger ikke XOR-chifferet til at sikre dine data. OpenVPN gør det.

OpenVPN giver dog krypterede data en markant signatur, som kan detekteres ved hjælp af DPI. Ved at erstatte værdien af ​​hver bit data beskyttet af OpenVPN med en anden værdi, krymper XOR dataene på en måde, der gør denne signatur meget svær at opdage.

Og for VPN-tjenester stopper XOR-guldet ikke her. Open source openvpn_xor scramble patch gør det næsten trivielt let for dem at implementere XOR Scramble og tilbyde det til deres kunder.

Hvor effektiv er OpenVPN Scramble?

At kryptere OpenVPN-krypterede data med XOR-chiffer gør det sværere for systemer som Great Firewall of China at registrere.

XOR-obfuskering har opnået et vist niveau af berygtethed. Dens lille størrelse og lette implementering gør det til et populært valg for malware-udviklere, der ønsker at skjule deres grimme kodeord fra anti-malware-detektion.

Mange malware-udviklere er glade for bare at bruge en 1-byte værdi til at fungere som nøglen. Koden, der er tilsløret af denne nøgle, itereres derefter gennem hver byte af de data, der skal kodes, XOR'er hver byte med den valgte nøgle.

Data, der er tilsløret med en 1-byte-nøgle, er relativt let at se, da de skaber gentagne mønstre i den ellers tilfældige tilsyneladende kode. Der er udviklet en række programmer til at gøre netop dette.

Det er dog muligt at vælge længere taster op til byteværdien af ​​de data, der bliver tilsløret. Effektiviteten af ​​XOR-funktionen ved kryptering af data afhænger fuldstændigt af, hvor tilfældig nøglen er, den bruger.

Så hvad betyder alt dette? Nå, den udbredte anvendelse af XOR-tilsløring til malware er noget af et vidnesbyrd om dets effektivitet.

NordVPN er VPN-selskab, der tilbyder XOR-kryptering, så vi bad sin digitale fortrolighedsekspert, Daniel Markuson, om at kommentere, hvor effektiv det er til at besejre VPN-blokke. Han foreslår at køre følgende eksperiment ved hjælp af Wireshark-pakkeanalysatoren:

1. Tænd for almindelig VPN. Wireshark ser trafikken som OpenVPN.

Åbn VPN-scramble XOR

2. Tænd tilsløret VPN over TCP (NordVPNs XOR-indstilling). Wireshark identificerer ikke længere trafikken som OpenVPN.

Tilsløret VPN over TCP

”XOR fungerer bestemt. Er det altid effektivt mod regeringens bestræbelser på at blokere OpenVPN-trafik? Nej slet ikke. Men som ovenstående eksperiment viser, er det mere kompliceret at identificere VPN-trafik, hvis XOR bruges. Det er derfor sværere at blokere. ”

Kontrovers

Trods dens fordele er openvpn_xorpatch noget kontroversielt. Faktisk har OpenVPN-udviklerne afvist at implementere det i enhver officiel version af OpenVPN og fraråde dets anvendelse.

”Vi (OpenVPN-udviklere) tilskynder ikke folk, der bygger deres egne versioner af OpenVPN, til at ændre wire-protokollen som denne, uden at patch'en er gennem en ordentlig programrevision og har vurderet mulige sikkerhedsrisici i forbindelse med en sådan ændring.

Og vi afskrækker især at bruge en sådan tilgang, når der findes en langt bedre løsning, der bruges af TOR-samfundet. Det kaldes obfsproxy og kan bruges sammen med OpenVPN uden brug af nogen genkompilering af OpenVPN. ”

På trods af disse advarsler har udviklerne af open source macOS VPN-klient, Tunnelblick, imidlertid valgt at inkludere en ændret version af XOR-patch i deres software:

“Uanset OpenVPN-udviklernes beslutning om ikke at inkludere patch'en i OpenVPN, er patch'en attraktiv, fordi den er så let at implementere: brug blot patch'en til både OpenVPN-serveren og OpenVPN-klienten og tilføj en enkelt, identisk mulighed til konfigurationsfiler for hver. Brug af obfsproxy er mere kompliceret, fordi det involverer at køre et andet, separat program på både serveren og klienten.

Da patch'en er så let at implementere, er patch'en inkluderet i alle versioner af OpenVPN, der er inkluderet i Tunnelblick fra build 4420. ”

Det er værd at bemærke, at Tunnelblick-udviklerne fandt, at den originale XOR-patch havde kritiske mangler, og derfor frigav en opdateret version af patch'en, der løste alle fundne problemer:

"Store organisationer har evnen og magten til at 'afkryptere' trafik og opdage den som OpenVPN-trafik, og tilsløret fra denne patch er så rudimentær, at relativt simpel kryptanalyse sandsynligvis også vil være i stand til at fjerne indholdet."

Vi håber bestemt, at VPN-udbydere, der tilbyder OpenVPN Scramble, bruger denne forbedrede XOR-patch, eller har foretaget lignende ændringer til den originale.

Alternativer til OpenVPN Scramble

Obfsproxy

OpenVPN-udviklerne har helt klart på deres foretrukne obfuscation-taktik er obsfproxy, et værktøj designet til at pakke data ind i et obfuscationlag.

Obfsproxy blev udviklet af Tor-netværket, stort set som et svar på, at Kina blokerede adgangen til offentlige Tor-noder. Den er dog uafhængig af Tor og kan konfigureres til OpenVPN.

Obfsproxy bruges til at køre pluggbare transporter, der krymper VPN (eller Tor) -trafikken. Det understøtter en række af disse pluggbare transporter, men obfs4 er den nyeste avancerede "udseende-intet-obduktion" -protokol fra Tor Project.

stunnel

Dette er en anden god VPN-tilsløringstaktik. Det fungerer ved at dirigere VPN-trafik gennem en TLS / SSL-tunnel. TLS / SSL er den kryptering, der bruges af HTTPS, så VPN-forbindelser (normalt OpenVPN) dirigeret gennem disse TLS / SSL-tunneler er derfor meget vanskelige at skelne fra bortset fra almindelig HTTPS-trafik. Se vores HTTPS-guide for mere information.

Dette skyldes, at OpenVPN-dataene er indpakket i et yderligere lag TLS / SSL-kryptering. Da DPI-teknikker ikke er i stand til at trænge igennem dette “ydre” krypteringslag, er de ikke i stand til at registrere OpenVPN-krypteringen skjult inde i tunnelen.

Konklusion

OpenVPN Scramble er let for VPN-tjenester at installere og kan være meget effektiv til at undgå VPN-blokke, men det er ikke så robust at skjule VPN-trafik som hverken obfsproxy eller stunnel.

Bare det at prøve at bruge en VPN er ulovligt meget få steder i verden, så hvis din VPN-forbindelse er blokeret er der lidt skade i at se, om OpenVPN Scramble vil fjerne blokering af den, vil den sandsynligvis.

I de sjældne tilfælde, hvor du faktisk kan komme i problemer, hvis VPN-brug opdages, er obfsproxy eller stunnel imidlertid mere sikre.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me