Internet-sensuuri ja sen kiertäminen tekniseltä kannalta

Tuomas Puikkonen

Pro graduHELSINGIN YLIOPISTOTietojenkäsittelytieteen laitos

Helsinki, 19. toukokuuta 2017

Matemaattis-luonnontieteellinen Tietojenkäsittelytieteen laitos

Tuomas Puikkonen

Internet-sensuuri ja sen kiertäminen tekniseltä kannalta

Tietojenkäsittelytiede

Pro gradu 19. toukokuuta 2017 104

Internet-sensuuri, palomuuri, Internet-sensuurin kiertäminen, anonymiteetti, sananvapaus

Tutkielma antaa yleiskuvan Internet-sensuurin teknisestä toteutuksesta, siitä miten tietytmaat sensuroivat kansalaisten verkkoliikennettä ja miten kansalaiset kiertävät tätä sensuuria.Tutkielman alussa taustoitamme, miten Internet toimii teknisesti.

Esittelemme tutkielmassa viisi erilaista sensurointitekniikkaa. Nämä ovat pakettisuodatus,DNS-järjestelmään perustuva sensurointi, BGP-protokollan manipulointi, avainsanoihin perus-tuva suodatus sekä Internet-yhteyden häiriköinti ja kuristaminen. Osa sensurointitekniikoistaylisuodattaa eli sensuroitavaksi päätyy myös tietoa, jota ei ollut tarkoitus estää. Sensori voiyhdistellä eri sensurointitekniikoita isommaksi kokonaisuudeksi ja saada näin ollen paremmanhyödyn sensurointijärjestelmästä. Sensorin ei ole pakko rakentaa sensurointijärjestelmää itse.Alalla toimii yrityksiä, jotka myyvät valtioille järjestelmiä sensuroinnin toteuttamiseen.

Tutkimme kymmenen maata Freedom Housen ja Reporters Without Borders’n raporttienpohjalta. Näistä maista tutustumme tarkemmin Kiinan ja Iranin Internet-sensuuriin. Lisäksiesittelemme arabikevään tapahtumat Egyptin ja Libyan osalta. Valotamme tutkimiemmemaiden nykytilaa Freedom Housen vuoden 2015 Internetin vapaus -raportin avulla.

Internet-sensuurin yleistyessä myös sensuroinnin kiertäminen on yleistynyt. Pohjustammesensuurin kiertämistä esittelemällä viestintäprotokollien päivitettyjä versioita, erilaisia väli-tyspalvelimia ja tunnelointitekniikoita. Tämän jälkeen esittelemme tarkemmin kolme näidentekniikoiden päälle rakennettua kierto-ohjelmaa. Esiteltävät ohjelmat ovat Psiphon, Tor jaCovertCast. Kerromme mitä kierto-ohjelmia tutkittujen maiden kansalaiset ovat ottaneetkäyttöönsä ja miten sensori suhtautuu kierto-ohjelmien käyttöön.

Sensori ja kierto-ohjelman kehittäjä kilpailevat nykyään siitä, kumman tekniikka ontoista tehokkaampi. Tämän vuoksi emme näe järkeä ratkaista Internet-sensuurin aiheuttamaasananvapausongelmaa teknisin keinoin. Ongelman ratkaisemiseen tarvitaan pitkäjänteistäpoliittista vaikuttamista kansainvälisellä tasolla.

ACM Computing Classification System (CCS):

Social and professional topics æ Computing / technology policy æ CensorshipSocial and professional topics æ Computing / technology policy æ Network access controlæ Censoring filtersNetworks æ Network properties æ Network privacy and anonymity

Tiedekunta — Fakultet — Faculty Laitos — Institution — Department

Tekijä — Författare — Author

Työn nimi — Arbetets titel — Title

Oppiaine — Läroämne — Subject

Työn laji — Arbetets art — Level Aika — Datum — Month and year Sivumäärä — Sidoantal — Number of pages

Tiivistelmä — Referat — Abstract

Avainsanat — Nyckelord — Keywords

Säilytyspaikka — Förvaringsställe — Where deposited

Muita tietoja — Övriga uppgifter — Additional information

HELSINGIN YLIOPISTO — HELSINGFORS UNIVERSITET — UNIVERSITY OF HELSINKI

Sisältö

1 Johdanto 1

2 Internet-viestinnän tekniset edellytykset 42.1 Viestintäprotokollat . . . . . . . . . . . . . . . . . . . . . . . 4

2.1.1 Protokollapino . . . . . . . . . . . . . . . . . . . . . . 42.1.2 Paketti . . . . . . . . . . . . . . . . . . . . . . . . . . 52.1.3 IP-protokollat . . . . . . . . . . . . . . . . . . . . . . . 52.1.4 TCP-protokolla . . . . . . . . . . . . . . . . . . . . . . 92.1.5 UDP-protokolla . . . . . . . . . . . . . . . . . . . . . . 132.1.6 HTTP-protokolla . . . . . . . . . . . . . . . . . . . . . 142.1.7 DNS-järjestelmä . . . . . . . . . . . . . . . . . . . . . 18

2.2 Verkkoliikenteen reititys ja suodatus . . . . . . . . . . . . . . 232.2.1 Verkkolaitteet . . . . . . . . . . . . . . . . . . . . . . . 232.2.2 Pakettien reitittäminen verkkoalueissa ja niiden välillä 25

2.3 Yhteenveto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3 Internet-sensuurin tekninen toteutus 293.1 Termistö . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303.2 Pakettisuodatukseen perustuva sensurointi . . . . . . . . . . . 313.3 DNS-järjestelmään perustuva sensurointi . . . . . . . . . . . . 323.4 Aliverkkojen halvaannuttaminen BGP-protokollaa manipuloi-

malla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343.5 Avainsanojen suodatus paketeista . . . . . . . . . . . . . . . . 353.6 Internet-yhteyden häiriköinti ja kuristaminen . . . . . . . . . 373.7 Monitasoinen suodatus ja sensurointiohjelmistot . . . . . . . 383.8 Sensuroinnista tiedottaminen . . . . . . . . . . . . . . . . . . 393.9 Yhteenveto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4 Internet-sensuuri eri maissa 424.1 Kiinan Internet-sensuuri . . . . . . . . . . . . . . . . . . . . . 44

4.1.1 Sensuroinnin historia ja sensuroitavat asiat . . . . . . 444.1.2 Tietoa tietoliikenneverkosta ja sensurointijärjestelmien

sijainti . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

ii

4.1.3 Käytetyt sensurointitekniikat . . . . . . . . . . . . . . 474.1.4 Sensuroinnin tunnistaminen . . . . . . . . . . . . . . . 48

4.2 Iranin Internet-sensuuri . . . . . . . . . . . . . . . . . . . . . 494.2.1 Sensuroinnin historia ja sensuroitavat asiat . . . . . . 504.2.2 Tietoa tietoliikenneverkosta ja sensurointijärjestelmien

sijainti . . . . . . . . . . . . . . . . . . . . . . . . . . . 514.2.3 Käytetyt sensurointitekniikat . . . . . . . . . . . . . . 514.2.4 Sensuroinnin tunnistaminen . . . . . . . . . . . . . . . 52

4.3 Arabikevät: tapaukset Egypti ja Libya . . . . . . . . . . . . . 544.3.1 Sensuroinnin historia ja sensuroitavat asiat . . . . . . 554.3.2 Tietoa tietoliikenneverkosta ja sensurointijärjestelmien

sijainti . . . . . . . . . . . . . . . . . . . . . . . . . . . 554.3.3 Sensuroidut verkkoalueet ja sensuroinnin eteneminen . 564.3.4 Sensuroinnin tunnistaminen . . . . . . . . . . . . . . . 58

4.4 Muut käsiteltävät maat ja niiden nykytila . . . . . . . . . . . 594.5 Yhteenveto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

5 Internet-sensuurin kiertäminen 635.1 Kiertotekniikat . . . . . . . . . . . . . . . . . . . . . . . . . . 63

5.1.1 HTTP- ja DNS-protokollien turvallisemmat versiot . . 645.1.2 Välityspalvelimet . . . . . . . . . . . . . . . . . . . . . 685.1.3 Liikenteen tunnelointi ja sipulireititys . . . . . . . . . 695.1.4 Muut kiertotavat . . . . . . . . . . . . . . . . . . . . . 75

5.2 Kierto-ohjelmat perusteellisemmin . . . . . . . . . . . . . . . 765.2.1 Psiphon . . . . . . . . . . . . . . . . . . . . . . . . . . 775.2.2 Tor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805.2.3 CovertCast . . . . . . . . . . . . . . . . . . . . . . . . 84

5.3 Kiertotekniikat kansalaisten käytössä ja valtioiden suhtautu-minen niihin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

5.4 Yhteenveto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

6 Yhteenveto 92

Lähteet 94

iii

1 Johdanto

Internet-sensuuri tarkoittaa sitä, kun käyttäjää estetään pääsemästä käsik-si johonkin tiettyyn Internetissä sijaitsevaan materiaaliin [Ham08]. Tällaistamateriaalia voivat olla esimerkiksi kansainväliset uutissivustot, blogikirjoi-tukset tai sosiaalinen media [Fre15a]. Internet-sensuuri jakautuu kahteenosaan, joista ensimmäinen on sensuurin määrittävä laki ja toinen on sensuurintekninen toteutus.

Tässä tutkielmassa käytämme sensuroivasta tahosta nimitystä sensori.Sensori voi olla esimerkiksi valtion edustaja, jos valtio vastaa sensuroinnin to-teutuksesta [DSA+14]. Valtio voi myös vaatia, että maassa toimivat Internet-palveluntarjoajat hoitavat Internet-yhteyksien sensuroinnin [AAH13]. Tällöinvaltio määrittää esimerkiksi lakien avulla, mitkä asiat palveluntarjoajan onsensuroitava. Hanna Nikkanen muistuttaa kirjassaan ”Verkko ja vapaus” sii-tä, että yksityisille yrityksille ihmiset eivät ole kansalaisia vaan asiakkaita[Nik12]. Asiakkaille ei tarvitse perustella tehtyjä valintoja. Yritykset tulkitse-vat lait yleensä jyrkemmin kuin olisi tarve. Tämä johtuu siitä, että yrityksenon helpompi tehdä selkeä päätös kaiken vähänkin asiaa koskevan materiaalinsensuroinnista, kuin tehdä monia tapauskohtaisia päätöksiä. Palveluntarjoajasaattaa siis olla paljon jyrkempi sensori kuin mitä valtio olisi.

Sensurointia voidaan harjoittaa myös muussa laajuudessa kuin valtiontasolla [CW10]. Kirjastot ja koulut voivat sensuroida lapsille sopimatontamateriaalia ja yritys voi estää käyttäjiään pääsemästä esimerkiksi sosiaaliseenmediaan työpäivän aikana. Tässä tutkielmassa keskitymme sensurointiin,jonka määrittävä taho on valtio.

Valtiot alkavat sensuroida Internetin sisältöä yleensä silloin, kun poistet-tavaksi määritetty sisältö ei sijaitse maan lainsäädännön ulottuvissa [Fre15a].Jos sisältö sijaitsee esimerkiksi maassa toimivan yrityksen palvelimilla, tällöinvaltio yrittää ensisijaisesti poistaa materiaalin vedoten lakeihin.

Länsimaissa eläville ihmisille Internet-sensuuri saattaa vaikuttaa etäiseltäasialta. Vuoden 2017 huhtikuun lopulla Yleisradio uutisoi Turkin estäneenkansalaistensa pääsyn Wikipediaan [Yle17]. Uutinen kirvoitti muutamankommentin sosiaalisen median piirissämme, mutta hautautui nopeasti muu-hun informaatiotulvaan. Alma Median omistama Tivi (entinen Tietoviikko)

1

uutisoi kyllä usein esimerkiksi Netflixistä ja miten palvelun maarajoituksiavoi kiertää VPN-palveluiden avulla [Tiv16]. Vaikka Netflixin maarajoitukseteivät olekaan Internet-sensuuria, molempien kiertäminen tapahtuu silti sa-moilla tekniikoilla. Oletammekin maarajoitusten olevan yksi selkeimmistäpäivittäisistä esimerkeistä, jossa länsimaissa asuva ihminen joutuu käyttä-mään jonkinlaista kiertotekniikkaa.

Suomi ei silti ole täysin ummikko Internet-sensuurissa [Sto08]. Vuonna2006 Suomeen säädettiin laki lapsipornografian levittämisen estotoimista[Fin17]. Lain määrittäjänä oli Suomen valtio ja sensuroinnin toteuttajinatoimivat Internet-palveluntarjoajat. Tarkoituksena oli suodattaa suomalais-ten nettiliikennettä niin, etteivät kansalaiset pääse lapsipornoa sisältävillenettisivuille. Suomen kansalaisten sähköisiä oikeuksia puolustava ElectronicFrontier Finland ry (E�) [E�17] uutisoi kuitenkin jo helmikuussa 2008, ettäpoliisin sensurointilistalta löytyy muitakin kuin lapsipornoon liittyviä sivuja[Puo08]. Suomen harjoittama Internet-sensuuri rajoittui kuitenkin suurim-maksi osaksi lapsipornon ympärille, eikä se näin ollen uhannut kansalaistennormaalia Internetin käyttöä. Normaalilla Internetin käytöllä viittaammetiedonhakuun, viestintään ja viihdekäyttöön.

Siinä missä suomalainen käyttää VPN-palveluita Netflixin maarajoitustenkiertoon, kiinalaiselle VPN-yhteys saattaa merkitä ainoaa reittiä puolueetto-maan tietoon [Fre15a]. Kiina on yksi maailman eniten sensuroiduista maista.Kiinalaiset käyttävät erilaisia kierto-ohjelmia päästäkseen käsiksi sellaiseentietoon, joka on normaalisti Kiinan valtion toimesta sensuroitua.

Tässä tutkielmassa keskitymme maihin, joissa kansalaisten normaaliaInternet-käyttäytymistä rajoitetaan tuntuvasti Internet-sensuurin avulla. Ha-luamme tällä tutkielmalla valottaa sitä, millaista Internet-sensuurin tekninentoteutus on, miten tietyt maat sensuroivat kansalaistensa Internetin käyttöäja miten kansalaiset pystyvät kiertämään sensurointia. Tutkielman rakenneon seuraava: luvussa 2 taustoitamme aihepiiriä esittelemällä erilaisia Internet-protokollia, joiden päälle loppututkielma perustuu. Luvussa 3 käymme läpiyleisimmät sensurointitekniikat. Luvussa 4 esittelemme Freedom Housen jaReporters Without Borders’n raporttien pohjalta kymmenen sananvapaudel-taan heikkoa maata. Paneudumme tarkemmin Kiinan ja Iranin sensuroin-tijärjestelmien toimintaan. Lisäksi selvitämme mitä tapahtui arabikevääksi

2

kutsutussa tapahtumasarjassa Egyptin ja Libyan Internet-yhteyksille. Luku5 on omistettu Internet-sensuurin kiertämiselle. Esittelemme luvussa erilaisiakiertotekniikoita ja näitä hyödyntäviä kierto-ohjelmia. Luku 6 on yhteenvetotutkielmasta.

3

2 Internet-viestinnän tekniset edellytykset

Tietoliikenneverkon päätepisteiden käyttämistä viestintäprotokollista voi-daan kerätä tietoa sensuurin toteuttamiseksi tai viestintäprotokollia voidaanmanipuloida [AP15]. Sensorin omistamat verkkolaitteet voivat osallistua sen-suroinnin toteutukseen. Sensori voi myös ohjata koko maan verkkoliikennettäkontrolloimalla reititysprotokollaa.

Tässä luvussa taustoitamme Internet-sensuurissa käytettäviä protokolliaja verkkolaitteita, jotta voimme luvussa 3 keskittyä kertomaan varsinaisistasensuuritekniikoista.

2.1 Viestintäprotokollat

Jotta erilaiset palvelut Internetissä toimisivat, on palveluiden taustalla yh-teyskäytäntöjä eli protokollia [KR13]. Protokollat säätelevät sitä, mitentietoa lähetetään ja vastaanotetaan Internetissä. Esimerkiksi verkkosivujenkatseluun käytetään HTTP-protokollaa ja sähköpostit lähetetään SMTP-protokollan avulla. HTTP- ja SMTP-protokollia kutsutaan sovelluskerroksenprotokolliksi niiden liittyessä suoraan verkossa käytettäviin sovelluksiin. TCP-ja UDP-protokollat taas vastaavat kuljetuskerroksella tiedon siirtymisestä jatukevat sovelluskerroksen protokollia.

2.1.1 Protokollapino

Internetin protokollat on jaettu protokollapinoon, jossa on viisi kerrosta (kuva1). Ylin kerros on jo mainittu sovelluskerros. Sen alta löytyy kuljetuskerros,jonka tarkoitus on siirtää tietoa prosessilta toiselle. Verkkokerroksella IP-protokollat reitittävät ja siirtävät paketteja lähettäjältä vastaanottajalle.Toiseksi alin kerros on linkkikerros, joka siirtää paketit kehyksien avullaverkkolaitteiden välillä. Alinpana on fyysinen kerros, jossa siirtyy bittejä eliykkösiä ja nollia laitteelta toiselle.

Ylemmällä protokollakerroksella on aina käytössään alempien kerroksienpalvelut ja alemmat kerrokset näyttäytyvät ylemmälle kerrokselle mustinalaatikoina. Esimerkiksi ohjelma kommunikoi palvelimelle niin kuin se olisiihan vieressä, vaikka välissä saattaa olla pitkäkin matka ja monta erilaista

4

reititintä. Tässä tapauksessa kuljetuskerros pitää huolen siitä, että tietolöytää perille. Jokaisella protokollapinon kerroksista on tärkeä tehtävä tiedonsiirtämisessä esimerkiksi palvelimelta kotikoneelle, riippumatta siitä onkosiirrettävä tieto nettisivu, sähköposti vai Youtube-video.

SovelluskerrosKuljetuskerrosVerkkokerrosLinkkikerros

Fyysinen kerros

Kuva 1: Internetin protokollapino [KR13]

2.1.2 Paketti

Internetissä siirrettävä tieto kuten sähköpostiviesti, musiikkitiedosto taikuva siirtyy aina osissa. Nykypäivänä siirto näyttäytyy loppukäyttäjälle niinnopeana, ettei näitä osia pysty erottamaan [KR13]. Tällaisia osia kutsutaanpaketeiksi.

Riippuen protokollakerroksesta ja protokollasta osia voidaan kutsua myössanomiksi, segmenteiksi, datagrammeiksi, kehyksiksi tai bittivuoksi [KR13].Sovelluskerroksella kyseessä voi olla HTTP-paketti, kuljetuskerroksella TCP-tai UDP-segmentti, verkkokerroksella IP-datagrammiksi ja niin edelleen.Tässä tutkielmassa käytämme yleistermiä paketti puhuttaessa eri protokol-lapinojen viesteistä.

2.1.3 IP-protokollat

Verkkokerroksella pakettien kuljettamisesta vastaa Internet-protokolla (Inter-net Protocol, IP) [KR13]. Vielä nykyäänkin suurin osa reitityksistä tapahtuuIPv4-protokollaa käyttäen, vaikka IPv6-protokolla on ollut tulossa jo ylikymmenen vuotta. IPv6-protokollan tärkein ero IPv4:een on sen osoitteidenmuoto, joka sallii paljon isomman määrän yksittäisiä osoitteita määrittelynraameissa. IPv4 on standardoitu vuonna 1981 ja se on määritetty RFC-dokumentissa 791 [DAR81a]. IPv6 on standardoitu vuonna 1998 ja se taas on

5

määritetty RFC-dokumenttissa 2460 [DH98]. Tässä tutkielmassa keskitymmepääosin IPv4-protokollaan, jonka esittelemme seuraavaksi.

Jotta IP-paketit löytävät perille tietoverkossa, on niiden otsaketietoihinmerkitty lähde- sekä kohdekoneen IP-osoitteet [KR13]. Jokaisella julkisessaverkossa toimivalla koneella on oltava uniikki IP-osoite, jolla se tunnistuumuille koneille. Yleensä käyttäjien käyttämillä tietokoneilla on vain yksilinkki Internetiin. Asiakaskoneen ja tietoverkon välistä raja-aluetta kutsu-taan rajapinnaksi. Jokaisella rajapinnalla on oltava oma IP-osoitteensa. Näinesimerkiksi useissa eri verkoissa kommunikoivilla reitittimillä on oltava jokai-selle rajapinnalle oma IP-osoite. Jokaisella verkkorajapinnalla on oma uniikkitunnisteensa, niin sanottu MAC-osoite.

IPv4-osoite on 32 bittiä pitkä tunniste [KR13]. Osoite kirjoitetaan tyy-pillisesti tavu kerrallaan desimaalimuodossa ja tavut erotetaan pisteellä.Esimerkiksi osoitteessa 128.214.138.181 ensimmäiset kahdeksan bittiä ovatdesimaalimuodossa 128 ja toiset kahdeksan bittiä ovat 214. Näin ollen pieninarvo yhdellä desimaaliluvulla voi olla nolla ja suurin 255.

Käytettävää IP-osoitetta ei voi valita satunnaisesti vaan se yleensä mää-rätään Internet-yhteyttä hallinnoivan tahon toimesta [KR13]. Esimerkiksi ko-tinettiliittymissä palveluntarjoaja määrittää käyttäjän koneelle IP-osoitteen.Tämä IP-osoite saattaa olla julkinen osoite, joka näkyy toisille Internetin käyt-täjille tai sitten paikallisen verkon osoite, joka reititetään NATin (NetworkAddress Translation) eli osoitteenmuunnoksen kautta. NATin avulla sääs-tetään IP-osoitteita. Julkiseen verkkoon näkyy ainoastaan yksi IP-osoite,vaikka NATin takana saattaa olla kymmeniäkin tietokoneita.

Käyttäjän kone saa yleensä IP-osoitteen käyttöönsä DHCP-palvelimelta[KR13]. DHCP-palvelimena voi toimia esimerkiksi käyttäjän oma ADSL-reititin, joka jakaa käyttäjän koneille omat sisäverkon osoitteet, jotka sittenreitittyvät julkiseen Internetiin NATin kautta. Palveluntarjoajan DHCP-palvelin jakaa käyttäjälle yhden tai useamman julkisen IP-osoitteen käyttöön.

IP-osoitteita on olemassa noin neljä miljardia [KR13]. Palveluntarjoa-ja tai iso organisaatio (kuten yliopisto) voi pyytää yhden tai useammanosoiteavaruuden käyttöönsä ICANN-organisaatiolta [ICA17], joka hallinnoiIP-osoiteavaruuksien jakoa. Nämä osoitelohkot jaetaan edelleen aliverkkoihin,joista jaetaan IP-osoitteet jonkin tietyn periaatteen mukaan tietokoneille.

6

Periaattena voi olla esimerkiksi se, että koneet ovat fyysisesti lähellä toisiaantai ne ovat yhden yliopiston laitoksen tietokoneita.

Reititin yhdistää aliverkot toisiinsa ja aliverkon sisällä koneet voivatkommunikoida suoraan toisilleen ilman reititystä [KR13]. IP-osoitteessa128.214.138.181 viimeinen desimaaliluku (181) on käyttäjän tietokoneen osoi-tenumero ja 128.214.138.0 on aliverkon numero. Aliverkko kuvataan notaa-tiolla, jossa lopussa kerrotaan verkko-osan pituus. Tätä pituutta kutsutaanaliverkon peitteeksi. Esimerkiksi 223.1.1.0/24 -aliverkossa tuo lopun 24 onaliverkon peite.

Aliverkon peite kertoo montako bittiä 32 bitin osoitteesta ovat merkitseviäeli kuinka suuri osoitelohko on kyseessä [KR13]. Ylemmässä esimerkissäaliverkon peite sisältää vasemmalta alkaen 24 bittiä 32 bitin osoitteesta, jotenkyseessä on pieni osoitelohko. Mitä pienempi numero aliverkon peitteessä on,sitä suurempi osoitelohko on kyseessä.

Osa IP-osoiteavaruuksista on varattu sisäverkkojen käyttöön [RMK+96].Koska sisäverkon IP-osoitteet eivät näy julkiseen tietoverkkoon, voidaan samo-ja osoitteita käyttää eri sisäverkoissa. Seuraavat IP-osoitelohkot ovat varattusisäverkkokäyttöön: 10.0.0.0/8, 172.16.0.0/12 ja 192.168.0.0/16. Sisäverkoissaon hyvän tavan mukaista käyttää ainoastaan näitä IP-osoiteavaruuksia eikäesimerkiksi antaa sisäverkon koneille sellaisia IP-osoitteita, jotka ovat jollainmuulla taholla käytössä julkisessa verkossa.

IPv4-paketin rakenne on kuvattu kuvassa 2 [DAR81a]. Rivit 1-6 ovatotsaketietoja ja rivillä seitsemän löytyy paketin tietosisältö. Ensimmäiseltäriviltä löytyy neljä eri otsakekenttää. Ensimmäinen näistä on versionumero,jossa määritetään mitä IP:n versiota paketti käyttää. Toisena on otsakkeenpituudesta (OP) kertova kenttä. Kenttä kertoo kuinka suuri paketin otsakeon tavuina. Palvelun tyyppi -otsake (PT) määrittää miten kyseessä olevapaketti pitäisi siirtää. Halutaanko paketti perille alhaisella viiveellä, suurellaläpäisykyvyllä vai luotettavasti. Viimeinen ensimmäisen rivin kentistä onpaketin kokonaispituus tavuina.

Toinen rivi sisältää kolme otsakekenttää, joiden avulla paketteja voidaanpilkkoa pienemmiksi ja koota taas takaisin yhtenäiseksi [DAR81a]. Ensim-mäinen kenttä sisältää 16-bittisen tunnistenumeron, toinen kenttä erilaisiaohjauslipukkeita ja kolmas kenttä tiedon pilkotun palan paikasta.

7

32 bittiä1. Versio + OP + PT Paketin pituus (tavuina)2. 16-bittinen tunniste Lipukkeet + tietoa pirstoutumi-

sesta3. TTL + Ylemmän tason protokol-

laOtsakkeen tarkistussumma

4. 32-bittinen alkupisteen IP-osoite5. 32-bittinen päätepisteen IP-osoite6. Laajennokset7. Tietosisältö (esimerkiksi TCP- tai UDP-paketti)

...

Kuva 2: IPv4-paketin rakenne [KR13]

Kolmas rivi sisältää myös kolme otsakekenttää [DAR81a]. Ensimmäinenniistä on TTL (Time To Live) eli paketin elinaika. Elinaika varmistaa sen,ettei paketti jää ikuisesti kiertämään verkkoa. Kenttä ylemmän tason pro-tokollasta kertoo numeroarvona sen protokollan, mille kyseinen paketti onmenossa. Kolmas kenttä on otsakkeen tarkistussumma. IP-paketteja reitit-tävät reitittimet tarkistavat tämän tarkistussumman virheiden varalta. Jostarkistussummassa on virhe, pudottavat reitittimet paketin. Tarkistussummapäivitetään aina reitittimen toimesta, sillä TTL-arvo pienenee ja näin ollenmuuttaa otsaketta.

Neljäs ja viides rivi on varattu IP-osoitteille [DAR81a]. Neljännen rivinotsakekentässä määritetään alkupisteen IP-osoite ja viidennen rivin otsa-kekentässä päätepisteen IP-osoite. Rivin kuusi laajennokset-kenttä salliiotsakkeen laajentamisen lisätiedoilla. Tätä kenttää käytetään harvoin.

Riviltä seitsemän löytyy paketin varsinainen tietosisältö [DAR81a]. Ylei-simmin tämä kenttä sisältää TCP- tai UDP-paketin, mutta saattaa sisältäämyös ICMP-viestin.

IPv4-paketit eivät aina mahdu kulkemaan kokonaisina koko reittiä al-kupisteestä päätepisteeseen, joten ne joudutaan mahdollisesti pilkkomaanmatkalla pienemmiksi paloiksi [KR13]. Emme käsittele IP-paketin pilkko-mista tai tarkempaa reititystä tässä tutkielmassa. TCP-paketista kertovassa

8

aliluvussa sivuamme pakettien pilkkomista.

2.1.4 TCP-protokolla

TCP (Transmission Control Protocol) on kuljetuskerroksessa toimiva kul-jetuspalvelu sovelluskerroksen paketeille [DAR81b]. TCP on standardoituvuonna 1981 ja se on määritetty RFC-dokumentissa 793. Yksi yleisimmistäTCP:tä käyttävistä palveluista on HTTP, jonka esittelemme luvussa 2.1.6.

TCP-protokolla on yhteydellinen palvelu [KR13]. Tämä tarkoittaa sitä,että ennen kuin ohjelma voi alkaa lähettää tietoa, siinä olevan yhteyspro-sessin on käteltävä toisen osapuolen kanssa. Kättelyprosessissa neuvotellaanyhteydessä käytettävistä parametreista ja alustetaan eri muuttujia. TCP-yhteyden tilan tietävät ainoastaan yhteyden päätepisteet. Reitittimille jakytkimille TCP-paketit ovat verkkoliikennettä siinä missä muutkin paketit,joten verkkolaitteet eivät ole tietoisia esimerkiksi TCP-yhteyden tilasta.

TCP-yhteys on kaksisuuntainen, joten tieto yhteyden päätepisteidenvälillä kulkee kumpaankin suuntaan. TCP-yhteys toimii aina kahden pisteenvälillä, joten TCP ei tue ryhmälähetystä, jossa yksi lähettäjä voi lähettäätietoa useammalle vastaanottajalle.

TCP-yhteyden muodostus alkaa siitä, kun asiakasohjelma aktivoi kulje-tuskerroslohkonsa aloittamaan kättelyvaiheen. TCP-yhteyden muodostus onkolmivaiheinen kättely, joka on kuvattu kuvassa 3.

Ensimmäiseksi asiakasohjelma lähettää erityisen TCP-paketin palvelimel-le (kuvan 3 ensimmäinen nuoli). Tämä TCP-paketti ei sisällä yhtään sovel-luskerroksen tietoa vaan sen otsakekenttään on asetettu SYN-bitti arvoon1. Tätä TCP-pakettia kutsutaankin SYN-paketiksi. Lisäksi asiakasohjelmavalitsee satunnaisesti sekvenssinumeron, jonka se asettaa paketin sekvens-sinumerokenttään. TCP-paketti koteloidaan tämän jälkeen IP-paketiksi jalähetetään kohti palvelinta.

Kun palvelin saa SYN-paketin vastaan, se allokoi yhteyteen käytettävätTCP-puskurit ja muuttujat ja lähettää asiakasohjelmalle tiedon yhteyden hy-väksymisestä. Palvelimen vastaus näkyy kuvan 3 toisena nuolena. Palvelimenlähettämän TCP-paketin SYN-bitti on asetettu myöskin arvoon 1. TCP-paketin otsakkeen vahvistuskenttään (ACK) on kopioitu asiakkaan asettama

9

Kuva 3: TCP-yhteyden kolmivaiheinen kättely [SC 17]

sekvenssinumero, jota on kasvatettu yhdellä. Lisäksi palvelin määrittää omansatunnaisen sekvenssinumeronsa ja lisää sen TCP-paketin sekvenssinumero-kenttään. Palvelimen vastausta kutsutaan SYNACK-paketiksi. Tämäkäänpaketti ei sisällä sovelluskerroksen tietoa.

Vastaanottaessaan palvelimen lähettämän SYNACK-paketin, myös asia-kasohjelma allokoi itselleen TCP-puskurit ja muuttujat yhteyttä varten. Asia-kasohjelma lähettää vielä yhden kättelyosioon liittyvän paketin palvelintakohden. Tämä kuvataan kuvan 3 kolmantena ja neljäntenä nuolena. Paketintarkoitus on kuitata palvelimen lähettämä yhteyden hyväksymisviesti. Asia-kasohjelma määrittää TCP-paketin otsakkeessa olevaan vahvistuskenttäänarvon kasvattamalla palvelimen lähettämää sekvenssinumeroa yhdellä. Koskayhteys on jo muodostettu, ei tässä paketissa ole enää aktiivista SYN-arvoa,joten SYN-bitin arvo on asetettu nollaan. Tämä kolmas paketti voi sisältäämyös asiakasohjelman lähettämää tietosisältöä.

Kun yhteys on saatu muodostettua, sovelluskerroksella toimiva asiakasoh-jelma ohjaa lähetettävän tiedon asiakaspään pistokerajapinnan kautta TCP:n

10

huomaan. Tieto siirtyy TCP:n lähetyspuskuriin, josta TCP lähettää sitä aikaajoin paketti kerrallaan. Lähetyspuskuri on yksi puskureista, joka alustetaankättelyvaiheen aikana. MSS (Maximum Segment Size) on arvo, jolla määrite-tään kuinka isoja TCP-pakettien tietosisältökentät voivat olla. MSS:n kokoamäärittäessä on selvitettävä MTU:n (Maximum Transmission Unit) koko.MTU-arvo määräytyy linkkitason pienimmän viestikehyksen mukaan. MSS:non mahduttava MTU-arvoon siten, että tietosisällön lisäksi myös TCP:n otsa-ketiedot mahtuvat mukaan. Kun TCP-paketti on lähtenyt lähetyspuskurista,se ohjataan verkkokerrokselle, jossa se kapseloidaan IP-paketiksi ja reitite-tään päätepisteeseen. Päätepisteessä TCP-paketti ohjataan verkkokerroksestaTCP:n vastaanottopuskuriin ja siitä edelleen asiakasohjelmalle.

TCP-yhteys pitää myös erikseen purkaa. Kumpikin osapuolista voi tehdäpäätöksen yhteyden lopettamisesta. Purkamisen seurauksena käytössä olleetresurssit eli TCP-puskurit ja muuttujat vapautetaan muuhun käyttöön. Kunasiakaspää haluaa päättää yhteyden, lähettää asiakasohjelma palvelimensuuntaan TCP-paketin, joka sisältää FIN-otsakkeen asetettuna arvoon 1.Palvelin vastaa tähän ACK-paketilla. Palvelin lähettää tämän jälkeen itseFIN-paketin asiakasohjelmalle, joka vastaa tähän omalla ACK-paketillaan.

Kuvassa 4 on kuvattu TCP-paketti. Rivit 1-6 sisältävät TCP-paketinotsakekentät ja seitsemäs rivi varsinaisen tietosisällön. Ensimmäisellä otsake-rivillä määritetään alku- ja päätepisteen porttinumerot, joiden avulla tietoosataan ohjata oikealta ohjelmalta oikealle ohjelmalle alku- ja päätepisteessä.Toisella rivillä määritetään paketin sekvenssinumero ja kolmannella rivilläpaketin vahvistusnumero.

Neljäs rivi koostuu useasta eri otsakkeesta. Tietoa vastaanottoikkunankoosta käytetään TCP:n vuonvalvonnassa. Kenttä vastaanottoikkunan koostailmaisee kuinka monta tavua tietoa vastaanottajan on mahdollista käsitellä.TCP-otsakkeen pituus -kenttä ilmoittaa TCP-otsakkeen kokonaispituuden 32bittisinä osina. Otsakkeen pituus voi vaihdella kuudennen rivin laajennokset-kentän vuoksi. Lipukkeet-kenttä sisältää kuusi yhden bitin arvoa. SYN, FINja ACK-arvot käsittelimme jo aiemmin tässä aliluvussa. RST-arvon ollessapäällä, yhteys nollataan. PSH-arvon ollessa yksi, vastaanottajan tahdotaansiirtävän TCP-paketin tietosisältö välittömästi sovelluskerrokselle. URG-arvo kertoo, että tämän TCP-paketin tietosisällössä on lähettäjän ylemmän

11

32 bittiä1. Alkupisteen porttinumero Päätepisteen porttinumero2. Sekvenssinumero3. Vahvistusnumero4. Otsakkeen pituus ja lipukkeet Vastaanottoikkunan koko5. Internet-tarkistussumma Kiireellisen tiedon osoitin6. Laajennokset7. Tietosisältö

...

Kuva 4: TCP-paketin rakenne [KR13]

tason asiakasohjelman mielestä kiireellistä tietoa. Viidennen rivin 16:n bitinkiireellisen tiedon osoitin -otsakekenttä kertoo kiireellisen tietosisällön vii-meisen tavun sijainnin. PSH- ja URG-arvoja sekä kiireellisen tiedon osoitin-otsakekenttää ei käytetä, mutta ne ovat silti TCP-paketin otsakkeissa mu-kana. Viidennellä rivillä sijaitsee myö TCP-paketin tarkistussumma-kenttä,jonka avulla voidaan tarkistaa paketin eheys.

Kuudes rivi sisältää laajennokset-otsakekentän. Se on valinnainen ja vaih-televan pituinen kenttä, jota lähettäjä ja vastaanottaja käyttävät esimerkiksiMSS-arvon neuvottelua varten. Seitsemäs rivi sisältää varsinaisen tietosisäl-lön. Tietosisältö on maksimissaan MMS-arvon kokoinen. Se voi silti olla myöspienempi, jos tietoa ei ole niin paljoa ja sitä halutaan välittää pienemmissäpalasissa.

TCP-yhteys on monelta osin hyvin tarkasti määritetty. TCP-yhteys pyrkiiolemaan luotettava kuljetuspalvelu, joten jokainen lähetettävä TCP-pakettion numeroitu sekvenssinumerolla ja TCP-protokolla varmistaa, että paketittulevat perille ja ovat perille tullessaan oikeassa järjestyksessä. TCP:ssä onsisäänrakennettu vuonvalvonta, jonka avulla lähettäjä hiljentää vauhtia josvastaanottaja ei ehdi käsitellä paketteja. Samoin TCP pitää huolta ruuhkan-valvonnasta eli lähettäjä hiljentää silloin vauhtia, jos välissä olevat reitittimeteivät ehdi käsitellä paketteja. Vuonvalvontaan ja ruuhkanhallintaan on vieläerikseen protokollia ja määrittelyjä. Koska nämä asiat eivät kuulu tämäntutkimuksen piiriin, emme käsittele niitä enempää.

12

2.1.5 UDP-protokolla

UDP (User Datagram Protocol) on TCP-protokollan tavoin kuljetuskerrok-sessa toimiva kuljetuspalvelu sovelluskerroksen paketeille [Pos80]. UDP onstandardoitu vuonna 1980 ja se on määritetty RFC-dokumentissa 768. Yk-si yleisimmistä UDP:tä käyttävistä paveluista on DNS, jonka esittelemmeluvussa 2.1.7.

UDP on monessa asiassa vastakohta TCP:lle. UDP on hyvin kevyt kul-jetuskerroksen protokolla, joka tarjoaa vain vähän palveluita [KR13]. UDPon yhteydetön palvelu, joten ohjelmien kommunikointi protokollan päälläalkaa suoraan tiedonsiirrolla ilman kättelyprosessia. UDP:n tiedonsiirto onepäluotettavaa. Paketit voivat siis saapua tai olla saapumatta ja voivat myössaapua väärässä järjestyksessä. UDP:ssä ei ole TCP:n tapaan ruuhkanhallin-taa tai vuonvalvontaa vaan paketit lähetetään sillä tahdilla, millä lähettäjäne päättää lähettää. Näistä syistä UDP-protokollassa on vähän yleisrasitetta.Aikaa ei siis kulu yhteyden muodostamiseen tai purkuun, resursseja ei kulutilatietojen ylläpitoon ja paketin otsake on myös hyvin pieni (8 tavua vs.TCP:n 20 tavua).

UDP-pakettien siirto alkaa siitä, kun ohjelma haluaa lähettää tietoaverkon yli [KR13]. Ohjelma siirtää tiedon pistokerajapintaan, joka lähettääsen UDP:n yli vastaanottajan suuntaan. Kuten aikaisemmin mainitsimme,mitään kättelyprosessia lähetyksessä ei ole. Tieto kohdekoneesta rajoittuuverkkotunnukseen ja porttinumeroon. Paketti saattaa saapua perille tai saat-taa olla saapumatta. Riippuen sovelluskerroksen protokollasta uusi pakettisaatetaan lähettää tai sitten hyväksytään yksittäisten pakettien katoaminenmatkalla.

Kuvassa 5 on kuvattu UDP-paketin rakenne. Rivit 1-2 sisältävät pa-ketin otsakekentät [Pos80]. Jokainen kenttä on kahden tavun mittainen.Ensimmäiseltä riviltä löytyvät alku- ja päätepisteen porttinumerot kutenTCP-paketissakin. Toisen rivin ensimmäinen kenttä sisältää tiedon siitä kuin-ka iso UDP-paketti on tavuissa. Kenttään paketin pituudesta sisällytetäänniin otsaketiedot kuin varsinaisen tietosisällön koko. Toisen rivin toinen kent-tä sisältää UDP-paketin tarkistussumman. Kolmas rivi sisältää varsinaisenUDP-paketin kantaman tietosisällön.

13

32 bittiä1. Alkupisteen porttinumero Päätepisteen porttinumero2. Paketin pituus Tarkistussumma3. Tietosisältö

...

Kuva 5: UDP-paketin rakenne [KR13]

UDP-protokolla sisältää virheentunnistuksen, jonka avulla voidaan selvit-tää onko UDP-pakettia manipuloitu matkan varrella [KR13]. Virheentunnis-tukseen liittyy UDP-paketin otsakkeeksi tallennettu tarkistussumma, jokaluodaan pakettia lähetettäessä ja joka tarkistetaan vastaanottopäässä.

UDP:tä käytetään paljon reaaliaikaisissa palveluissa, joissa mahdollisim-man nopea ja lähes reaaliaikainen tiedonsaanti on tarpeen [KR13]. Tällöinmahdolliset puuttuvat paketit ovat paljon hyväksyttävämpiä kuin tiedonluotettava, mutta hitaampi toimitus. Esimerkkejä tällaisista reaaliaikaisistapalveluista ovat Internetin päällä toimivat puhelin- ja suoratoistopalvelut.

2.1.6 HTTP-protokolla

HTTP (Hypertext Transfer Protocol) on sovelluskerroksella toimiva avoin jatilaton protokolla, jonka kautta asiakasohjelmat eli esimerkiksi nettiselaimetja palvelimet juttelevat toistensa kanssa [KR13]. HTTP määrittää viestienjärjestyksen ja muodon selainten ja palvelinten välisessä kommunikaatiossa.

Tässä tutkielmassa keskitytään HTTP:n versioon 1.1, joka on standar-doitu vuonna 1999 ja se on määritetty RFC-dokumentissa 2616 [FGM+99].HTTP:n versio 2 standardoitiin vuonna 2015 ja se toi uutta toiminnallisuuttapitkälti siihen, miten tieto kehystetään ja kuljetetaan asiakasohjelman japalvelimen välillä [BPT15]. Tietoturvallisempaa versiota HTTP:stä, HTTPS-protokollaa, käsitellään tarkemmin luvussa 5 [Res00].

HTTP:n yli voidaan siirtää monenlaista tietoa, yksi yleisimmistä onnettisivu [KR13]. Nettisivu koostuu objekteista kuten HTML-tiedostoista jaerilaisista mediatiedostoista.

Nettisivun perusta on HTML-koodi (Hypertext Markup Language), jo-ka on asiakirjarakenne nettisivulle [KR13]. HTML-rakenne määrää mitä

14

sivu sisältää ja miten se näyttäytyy katsojalle. Tarkemmat muotoseikat voimäärittää CSS-kielellä (Cascading Style Sheets), joka on sivuston tyyliohje.

Sivuun ja sen objekteihin viitataan URL-osoitteilla (Uniform ResourceLocator), jotka ovat muotoa ”http:” ”//” verkkotunnus [ ”:” portti ] [ abso-luuttinen polku [ ”?” kysely ]] [FGM+99]. URL-osoitteen alussa määritetäänmitä protokollaa tiedon hakemiseen käytetään. Tämän jälkeen määritetäänpalvelimen verkkotunnus, jonka jälkeen määritetään palvelimen portti. Josportti on tyhjä tai sitä ei anneta, käytetään oletusporttia (80). Portin jälkeenmääritetään Internetiin näkyvä hakemistopolku, jossa tiedosto sijaitsee. Lo-puksi voidaan vielä erottaa kysymysmerkillä kyselyosio, jossa tarkennetaanmitä tietoa ollaan hakemassa tai miten se näytetään.

HTTP määrittelee miten nettiselain pyytää nettisivun palvelimelta jamiten palvelin siirtää sen nettiselaimelle [FGM+99]. HTTP käyttää TCP-protokollaa tiedonsiirtoon.

Jokainen HTTP-viestinvälitys alkaa TCP-protokollan kättelyosiolla [KR13].TCP-yhteyden muodostuttua nettiselain ja palvelin keskustelevat keske-nään pistokerajapintojensa kautta. Rajapintojen välillä tieto liikkuu TCP-protokollassa. HTTP:n tilattomuus tulee esiin siinä, ettei palvelin tallennatilatietoa siitä, onko asiakasohjelma hakenut tietoa juuri äsken. Näin ollenpalvelin vastaa jokaiseen asiakasohjelman pyyntöön eikä muistuta asiakasoh-jelmaa siitä, että tieto on juuri haettu sen toimesta.

HTTP-yhteyden voi toteuttaa pysyvällä tai ei-pysyvällä TCP-yhteydellä[KR13]. Ei-pysyvässä yhteydessä jokainen HTML-sivuun liittyvä tiedostohaetaan eri TCP-yhteydellä. Nämä yhteydet voivat olla rinnakkaisia, joka no-peuttaa tiedon hakemista. Pullonkaulaksi muodostuu pitkälti TCP-yhteydenkättelyvaihe, joka on tehtävä jokaisen TCP-yhteyden alussa. Näin ollen jokai-nen tiedonhaku vaatii kaksi pyyntö-vastausparia. Pysyvässä TCP-yhteydessänettisivun kaikki elementit haetaan saman TCP-yhteyden sisällä. Yhteyt-tä voidaan pitää auki myös useampien nettisivujen hakuun kerralla, jolloinjokaista yksittäistä vastausta ei jäädä odottamaan ennen uuden pyynnönlähettämistä. Tätä kutsutaan putkitukseksi. HTTP:n oletusyhteysmalli onjuurikin pysyvät yhteydet putkituksella.

HTTP-viestejä on kahdenlaisia. Asiakasohjelman lähettämät viestit ovatpyyntöjä (kuva 6) ja palvelimen viestit vastauksia (kuva 7) [FGM+99]. HTTP-

15

viestit noudattavat RFC 822:ssa määritettyä viestirakennetta [Dep82]. Viestitovat kirjoitettu normaalina ASCII-tekstinä. Kumpikin viestityyppi sisältävääaloitusrivin (pyyntörivi tai tilarivi), ei yhtään tai useamman otsakekentän,tyhjän rivin, joka ilmaisee otsakekenttien päättyneen ja viimeisenä mahdolli-sen viestin tietosisällön [FGM+99]. Otsakekenttien keskinäisellä järjestykselläei ole väliä, mutta hyvä tapa on lähettää ensin yleisluontoiset otsakekentät,näiden jälkeen pyyntö- tai vastaus-otsikkokenttä ja tämän jälkeen tietosisäl-töön liittyvät otsakekentät.

Kuvassa 6 esitetään yhdenlainen HTTP-pyyntö. Kuvan ylimmällä rivilläesitetään pyyntörivi, joka koostuu kolmesta eri osasta [FGM+99]. Ensimmäi-sessä osassa määritellään menetelmä, jota käytetään resurssiin. Toinen osasisältää hakemistopolun resurssiin ja kolmas osa sisältää HTTP-protokollanversion, jota ollaan käyttämässä.

Pyyntörivi GET /hakemisto/sivu.html HTTP/1.1Otsakekentät Host: www.palvelin.tld

Connection: closeUser-agent: Mozilla/5.0Accept-language: fi

Kuva 6: RFC 2616:n mukainen HTTP/1.1-pyyntöviesti [FGM+99]

HTTP-pyynnössä voidaan käyttää useita eri menetelmiä [FGM+99].HTTP/1.1 tunnistaa seuraavat menetelmät: OPTIONS, GET, HEAD, POST,PUT, DELETE, TRACE ja CONNECT. HTTP-vastauksessa ilmoitettavatilakoodi kertoo onko pyynnössä käytetty menetelmä sallittu tai toteutet-tu kyseisellä palvelimella. HTTP/1.1:ssä palvelimen on tuettava GET- jaHEAD-menetelmiä, kaikki muut menetelmät ovat valinnaisia.

GET-menetelmä hakee minkä tahansa tiedon, mitä hakemistopolku re-surssiin sisältää [FGM+99]. Jos hakemistopolku viittaa tietoa tuottavaanprosessiin, tuotettu tieto on se, mitä palautetaan. HEAD-menetelmä onidenttinen GET-menetelmään nähden paitsi siltä osin, että palvelin ei saavastata HEAD-pyyntöön viestin tietosisällöllä vaan ainoastaan otsaketie-doin. HEAD-menetelmää käytetäänkin pitkälti nettilinkkien testaamiseenesimerkiksi validoinnin ja saatavuuden arvioimiseksi. Lisäksi yksi yleinen me-

16

netelmä on POST, jonka avulla tietoa voidaan lähettää palvelimen suuntaan.Tieto voi olla vaikkapa täytetty yhteystietolomake tai keskustelufoorumillelähetettävä viesti. POST-menetelmä on siis pyyntö palvelimelle, jotta sehyväksyisi pyynnön sisältämän tiedon.

HTTP-pyynnön otsakekentät ovat paikka, jossa asiakasohjelma pystyysiirtämään lisätietoja pyynnöstä ja itsestään palvelimen suuntaan [FGM+99].HTTP/1.1-protokolla suo asiakasohjelman käyttävän muitakin kuin RFC:ssämääritettyjä otsakekenttiä, mutta tällöin kaikkien tiedonsiirtoon osallistuvienosapuolten on tunnistettava ne pyynnön otsakekentiksi.

Kuvassa 6 esitetyt otsakekentät tarkoittavat seuraavia asioita [FGM+99]:Host-otsakkeessa määritetään palvelimen URL-osoite ja portti, jos porttieroaa oletusportista. Connection-otsake on yksi yleisotsakekentistä, eli sevoi esiintyä niin pyyntö- kuin vastausviesteissäkin. Connection-otsakkeessaasiakasohjelma määrittää yhteysmääreet juuri alkavalle yhteydelle, eikänäitä määreitä saa kommunikoida välityspalvelinten yli jatkoyhteyksille.Connection-otsake kertoo siis onko TCP-yhteys pysyvä vai ei-pysyvä. Close-määreellä yhteys suljetaan pyynnön täytäntöönpanon jälkeen. User-agent-otsakkeessa asiakasohjelma kertoo mikä se on tai mitä yleistä rakennetta sekäyttää. Accept-language-otsakkeessa asiakasohjelma määrittää mitä luon-nollista kieltä se ensisijaisesti haluaisi saada vastauksena. Jos pyydettyäkieliversiota ei ole saatavilla, palvelin lähettää oletusversion resurssista.

Kuvassa 7 esitetään palvelimen vastaus aiempaan pyyntöön [FGM+99].Ylimpänä vastauksessa on tilarivi, joka koostuu HTTP-pyynnön pyyntörivintapaan kolmesta eri osasta. Ensimmäinen osa sisältää protokollaversion.Toisessa osassa palvelin kertoo tilakoodin ja kolmannessa osassa tilakoodiinassosioidun tekstikoodin. Tekstikoodi on ainoastaan ihmisen luettavaksi jaasiakasohjelma ei käsittele sitä sen enempää.

Tilakoodi on kolmesta numerosta koostuva luku, jonka avulla palvelinkertoo ymmärtäneensä ja täyttäneensä HTTP-pyynnön [FGM+99]. Tilakoo-din ensimmäinen numero kertoo mihin luokkaan vastaus menee. Luokka 1on tiedotus siitä, että pyyntö on vastaanotettu, jatketaan prosessia. Luok-ka 2 on onnistuneet yritykset, kuten kuvassa 7. Pyyntö otettiin vastaanonnistuneesti, se ymmärrettiin ja hyväksyttiin. Luokka 3 on varattu uudel-leenohjauksille. Lisätoimia on suoritettava, jotta pyyntö voidaan täyttää.

17

Tilarivi HTTP/1.1 200 OKOtsakekentät Date: Sat, 18 Mar 2017 13:04:09 GMT

Server: Apache/2.4Last-Modified: Wed, 13 Feb 2013 14:25:10 GMTContent-Length: 1536Connection: closeContent-Type: text/html

Tietosisältö (tietoa, tietoa tietoa)

Kuva 7: RFC 2616:n mukainen HTTP/1.1-vastausviesti [FGM+99]

Luokat 4 ja 5 ovat erilaisille virhetilanteille. Luokan 4 virheet ovat asia-kasohjelman virheitä, kuten pyyntö sisältää syntaksivirheitä tai pyyntöä eipystytä täyttämään. Luokka 5 koostuu palvelimen virheistä, kuten palvelinepäonnistui täyttämään nähtävästi oikeallisen pyynnön.

HTTP-vastauksen otsakekentät sisältävät sellaista tietoa vastauksesta,jota ei voi sisällyttää tilariville [FGM+99]. Otsakekentät antavat tietoa pal-velimesta ja pyydetystä resurssista. Kuten HTTP-pyynnön määrittelyissä,myös HTTP-vastauksen otsakekenttiin voi lisätä sellaisia otsakkeita, joitaHTTP/1.1:n RFC ei sisällä, kunhan kaikki osapuolet osaavat tulkita niitä.

Kuvan 7 otsakekentät tarkoittavat seuraavia asioita [FGM+99]: Date-otsake on päivämäärä ja aika, milloin vastaus on lähetetty. Server-otsakekertoo palvelimen ohjelmistosta, joka hoitaa HTTP-yhteyksiä. Connection-otsake on sama kuin HTTP-pyynnössä. Last-Modified ja content-otsakkeetliittyvät tietosisältöön. Last-Modified kertoo, milloin tietosisältöä on viimeksimuokattu. Content-Length kertoo tietosisällön koon tavuina ja Content-Typemillaista mediatyyppiä tietosisältö on.

Jos HTTP-vastauksessa lähetetään mukana tietosisältöä, se lähetetäänotsakekenttien jälkeen [FGM+99]. Kuvan 7 vastauksessa tietosisältö koostuuHTML-sivusta ja tähän mahdollisesti liittyvistä objekteista.

2.1.7 DNS-järjestelmä

Nimipalvelujärjestelmä (Domain Name System, DNS) on Internetissä toi-miva käännöspalvelu, jonka kautta verkkotunnusta vastaava IP-osoite saa-

18

daan selville [KR13]. Verkkotunnukset ovat ihmisille ymmärrettävämpiäkuin IP-osoitteet, mutta reitittimet toimivat paremmin kiinteän pituisillaIP-osoitteilla. DNS toimii sovelluskerroksella.

DNS on standardoitu vuonna 1987 RFC-dokumenteissa 1034 [Moc87a] ja1035 [Moc87b]. Sen jälkeen DNS:ää on päivitetty monia kertoja esimerkiksilisäämällä tietoturvaa ja laajentamalla DNS:n toimintoja. Tässä luvussakäsitellään DNS:n peruspiirteitä. Luvussa 5 esittelemme DNSSec:n, joka onDNS:n tietoturvalaajennus [AAL+05a].

Nimipalvelujärjestelmää käytetään normaalisti jonkin toisen protokollantukena [KR13]. Esimerkiksi HTTP, SMTP ja FTP käyttävät DNS:ää selvit-täessään mikä IP-osoite vastaa käyttäjän antamaa verkkotunnusta. Käyttäjäntietokoneella toimii DNS-asiakasohjelma, jolle nettiselain siirtää verkkotun-nuksen IP-osoitteen selvittämistä varten. DNS-asiakasohjelma on yleensäsisällytetty käyttöjärjestelmään ja asiakasohjelmalle on määritetty Internet-palveluntarjoajan puolelta yhden primäärin ja ainakin yhden sekundäärisenpaikallisen DNS-palvelimen osoitteet. DNS-asiakasohjelma kysyy paikalliseltaDNS-palvelimelta verkkotunnuksen IP-osoitetta ja hetken odotuksen jälkeensaakin kyseisen IP-osoitteen. Tämän jälkeen DNS-asiakasohjelma kertoo IP-osoitteen nettiselaimelle, jotta nettiselain pystyy avaamaan TCP-yhteydenHTTP-palvelimelle.

Normaalien DNS-kyselyiden lisäksi nimipalvelujärjestelmä taipuu myösmuutamaan muuhun tärkeään palveluun [KR13]. Näistä ensimmäinen onaliverkkotunnuksien (jotain.jotain.tld) hallinnointi.

Toinen palvelu on sähköpostipalveluiden sitominen lyhyen verkkotunnuk-sen alle. Sähköpostipalvelut käyttävät yleensä samaa lyhyttä verkkotunnustasähköpostiosoitteissaan kuin mihin palvelun tai yrityksen nettisivut viittaavat[KR13]. Sähköpostipalvelimen verkkotunnus on kuitenkin yleensä pidempi jasisältää aliverkkotunnuksen tai useamman. DNS-palvelua voidaan käyttäävälissä ohjaamaan kyselyt oikealle palvelimelle, mikä tekee ihmisten elämästähelpompaa.

Kolmas palvelu on kuormantasaus DNS-palvelun avulla [KR13]. Isonyrityksen verkkopalvelu näyttäytyy käyttäjälle yhtenä verkkotunnuksena,mutta verkkosivuja saatetaan palvella useammalta toisiopalvelimelta. Jokai-nen palvelin pyörii omassa järjestelmässään ja sillä on oma IP-osoite. Nä-

19

mä IP-osoitteet ovat sidottu yhteen aliverkkotunnukseen. Asiakasohjelmanpyytäessä yrityksen verkkotunnusta, DNS-palvelu antaa kaikki aliverkko-tunnukseen sidotut IP-osoitteet, mutta pyöräyttää listan järjestystä ainajokaisessa vastauksessaan. Asiakasohjelma käyttää ylintä IP-osoitetta ja näinollen kuorma jakautuu tasaisesti eri palvelimille.

DNS-protokolla toimii portissa 53 ja se käyttää pääasiassa UDP-protokol-laa [Moc87b]. DNS käyttää TCP:tä vain kun pakettikoko menee yli 512tavun, jota ei tapahdu normaaleissa DNS-kyselyissä.

Nimipalvelujärjestelmä koostuu hierarkisesta tietokannasta, jossa on kol-me tasoa. Ylimmällä tasolla sijaitsevat juuripalvelimet [KR13]. Seuraavallatasolla sijaitsevat palvelimet, jotka vastaavat ylätason verkkotunnuksista(esimerkiksi .com, .net ja .fi). Alimmalla tasolla sijaitsevat autoritääriset nimi-palvelimet eli aluepalvelijat, jotka vastaavat normaaleista verkkotunnuksistakuten helsinki.fi ja amazon.com.

Juuripalvelimia on maailmassa 13 kappaletta ja ne on hajautettu eripuolille maailmaa [Roo17]. Jokainen juuripalvelimista on oikeastaan joukkotoisiopalvelimia, jotta niiden luotettavuus ja tietoturva pystytään pitämäänkorkealla tasolla.

Erilaisia ylätason verkkotunnuksia on yhteensä 1561 [Int17]. Niistä 1220on yleistunnuksia, 311 on maatunnuksia, 15 on sponsoroituja tunnuksia, 11on testitunnuksia, kolme on rajoitettuja yleistunnuksia ja yksi on infrastruk-tuuritunnus (.arpa).

Jokaisella organisaatiolla, jolla on julkisesti saatavilla oleva webbipalvelintai sähköpostipalvelin, on oltava DNS-palvelin [KR13]. Tämä DNS-palvelinliittää yhteen organisaation verkkotunnuksen ja siihen liittyvän IP-osoitteen.Organisaatio voi myös ostaa DNS-palvelun ulkopuoliselta palveluntarjoajalta.

DNS-kysely toimii seuraavasti: Käyttäjän koneen DNS-asiakasohjelmakysyy Internetpalveluntarjoajan paikalliselta DNS-palvelimelta mikä oncs.helsinki.fi:n IP-osoite [KR13]. Paikallinen DNS-palvelin osoittaa kyse-lyn juurinimipalvelimelle, joka vastaa sen ylätason nimipalvelimen osoit-teella, jonka vastuulla ovat .fi-verkkotunnukset. Paikallinen DNS-palvelinkysyy tämän jälkeen tuolta ylätason palvelimelta, kenelle kuuluu helsinki.fi-verkkotunnus. Saadessaan vastauksen paikallinen DNS-palvelin kysyy lo-pulta helsinki.fi:n DNS-palvelimelta, tietääkö se cs.helsinki.fi:n IP-osoitetta.

20

Nimi Arvo Tyyppi Elinaika

relay1.bar.foo.com 145.37.3.126 A TTLfoo.com ds.foo.com NS TTLfoo.com relay1.bar.foo.com CNAME TTLfoo.com mail.bar.com MX TTL

Taulukko 1: DNS-resurssitietue-esimerkkejä [KR13]

Helsinki.fi:n DNS-palvelin saattaa tietää osoitteen suoraan tai saattaa oh-jata ottamaan yhteyttä vielä alempaan nimipalvelimeen. Kun paikallinenDNS-palvelin on saanut oikean IP-osoitteen, kertoo se sen käyttäjän koneenDNS-asiakasohjelmalle.

Äskeisessä esimerkissä DNS-asiakasohjelman ja paikallisen DNS-palveli-men välinen kyselytyyppi oli rekursiivinen, koska asiakasohjelma pyysi kar-toittamaan tiedon puolestaan [KR13]. Paikallisen DNS-palvelimen ja muidenpalvelinten väliset kyselyt olivat iteratiivisia, koska jokainen vastaus palautet-tiin paikalliselle DNS-palvelimelle. DNS-kyselyketju voisi olla myös kokonaanrekursiivinen, jolloin juuripalvelin kysyisi suoraan ylätason palvelimelta janiin edelleen. On kuitenkin paljon yleisempää, että noudatetaan ensimmäistätapaa, jossa ensimmäinen kysely on rekursiivinen ja loput iteratiivisia.

Jotta jokaisella kyselykerralla ei tarvitse kulkea koko polkua, DNS-palvelimilla on kyky tallentaa äskettäin kysytyn kyselyn vastaus omaanvälimuistiinsa [KR13]. Näin esimerkiksi paikallinen DNS-palvelu pystyy vas-taamaan suoraan seuraavalle kysyjälle cs.helsinki.fi:n IP-osoitteen käymättäkoko kyselykierrosta uudelleen. DNS-palvelin pitää tietoa välimuistissaantietyn ajan. Usein aikaraja on asetettu kahteen päivään.

DNS-palvelimet säilyttävät DNS-resurssitietueissa (Resource Records,RR) tietoa esimerkiksi verkkotunnus ja IP-osoite -pareista [KR13]. Jokai-nen DNS-vastausviesti sisältää yhden tai useamman DNS-resurssitietueen.Taulukossa 1 on esitelty neljä erilaista DNS-resurssitietuetta.

Jokainen DNS-resurssitietue sisältää neljä kenttää, jotka ovat nimi, arvo,tyyppi ja elinaika [KR13]. Tyypin A tietue sisältää normaalin verkkotunnuk-sesta IP-osoitteeseen kartoituksen. Tässä tietuetyypissä nimen kohdalla onkoneen nimi verkkotunnus-muodossa ja arvona IP-osoite. Tyypin NS tietue

21

ohjaa DNS-kyselyn eteenpäin seuraavalle DNS-palvelimelle. Tietuetyypin ni-men kohdalla on verkkotunnus aluenimi-muodossa ja arvona auktoritäärisenpalvelimen nimi. Tämä auktoritäärinen palvelin tietää kuinka verkkotunnuk-selle saadaan oikea IP-osoite. CNAME-tietueessa nimen kohdalla on koneenaliasnimi ja arvona kanoninen eli oikea nimi. Viimeinen esimerkki on MX-tietua, jossa nimen kohdalla on koneen aliasnimi ja arvona postipalvelimenkanoninen nimi. MX-tietueen avulla postipalvelin voi käyttää yksinkertaistaaliasnimeä. Jokaisessa DNS-resurssitietueessa oleva elinaika-kenttä määrittäätietueen voimassaoloajan. Elinaika merkitään TTL-arvona (Time To Live)ja se on yleensä arvoltaan muutama päivä.

DNS-viestejä on kahdenlaisia, DNS-kyselyitä ja DNS-vastauksia [KR13].Kysely- ja vastausviestit käyttävät samaa viestimuotoa, joka on esitelty ku-vassa 8. DNS-viestin rivit 1-3 muodostavat otsakelohkon. Jokainen otsakeon kahden tavun mittainen, joten koko otsakelohko mahtuu 12:een tavuun.Ensimmäiseltä riviltä löytyy ensimmäisenä kyselyn 16-bittinen tunnistenu-mero, joka kopioidaan kyselystä vastausviestiin. Näin viestit voidaan helpostiyhdistää toisiinsa. Lipukkeet-kenttä sisältää neljä yhden bitin tietuetta. En-simmäinen tietue kertoo onko viesti kysely vai vastaus. Toinen kertoo tuleekovastaus suoraan autoritääriseltä palvelimelta. Kolmas tietue kertoo pyytääköasiakasohjelma käyttämään rekurssiivista kyselyä ja neljäs tietue kertoo vas-tauksessa oliko rekursiivinen kysely palvelimen puolelta mahdollista. Toiseltaja kolmannelta riviltä löytyvät neljä otsakekenttää kertovat montako erilaistaesiintymää rivien 4-7 tietosisältökentissä esiintyy.

2 tavua 2 tavua1. Tunnistenumero Lipukkeet2. Kysymysten määrä RR-vastausten määrä3. Autoritääristen RR:ien määrä Lisätieto-RR:ien määrä4. Kysymykset (vaihteleva määrä kysymyksiä)5. Vastaukset (vaihteleva määrä RR:iä)6. Autoritääriset (vaihteleva määrä RR:iä)7. Lisätiedot (vaihteleva määrä RR:iä)

Kuva 8: DNS-viestin rakenne [KR13]

22

Neljännen rivin tietosisältö koostuu kyselytiedoista eli kyseltävästä nimes-tä ja mitä tyyppiä haetaan (esimerkiksi A tai MX) [KR13]. Viides rivi sisältäävastausviestin DNS-resurssitietueita kysytystä nimestä. Kentässä voi ollauseampia DNS-resurssitietueita, koska verkkotunnus saattaa sisältää useam-man IP-osoitteen. Kuudes rivi on tietueita muihin autorisoituihin palvelimiinja seitsemäs rivi sisältää ylimääräisiä hyödyllisiä DNS-resurssitietueita.

2.2 Verkkoliikenteen reititys ja suodatus

Seuraavaksi käymme läpi erilaisia verkkolaitteita, jotka reitittävät viestintä-protokollien paketteja [KR13]. Verkkolaitteiden esittelyn jälkeen tutustummereititysprotokolliin, jotka määrittävät miten paketit reitittyvät eri verkkolait-teiden välillä.

2.2.1 Verkkolaitteet

Jotta paketit liikkuisivat tietoverkossa ja niitä reititettäisiin oikeisiin suuntiin,tarvitaan verkkolaitteita liikuttamaan niitä [KR13]. Näitä verkkolaitteitakutsutaan keskittimiksi, kytkimiksi ja reitittimiksi riippuen siitä, millä pro-tokollapinon kerroksella ne toimivat. 90-luvulla ethernet-verkon ollessa nuori,keskittimet olivat laajalti käytössä. Keskitin toimii fyysisellä kerroksella janäin ollen se siirtää bittejä. Kun keskitin vastaanottaa bitin, se lähettääsen kaikille muille, jotka ovat samassa keskittimessä kiinni. Tällainen tähti-topologia oli tuolloin halpaa toteuttaa, mutta samalla se oli altis virheille.Esimerkiksi silloin kun keskitin saa bittejä kahdesta eri lähteestä yhtä ai-kaa, bitit yhteentörmäävät eivätkä etene tästä. Näin ollen lähdepisteiden onlähetettävä tieto uudelleen.

2000-luvun alussa kytkimet syrjättyvät keskittimet. Kytkimet toimivatlinkkikerroksella, joten ne siirtävät kaikkea ylempien kerrosten tietoa, muttaeivät ymmärrä siitä mitään. Kytkin ei esimerkiksi tiedä mikä on IP-paketti.Kytkimet hoitavat pakettireititystä MAC-osoitteiden avulla. MAC-osoiteon verkkolaitteen rajapinnalle osoitettu uniikki tunniste, johon esimerkiksilaitteelle annettava IP-osoite sidotaan. Kytkimet osaavat reitittää pakettejaMAC-osoitteiden avulla, joten ne ovat paljon viisaampia kuin keskittimet.Kytkimet ovat keskittimien tapaan heti käyttövalmiita, eikä niihin tarvitse

23

erikseen määrittää asetuksia. Kytkimet siirtävät kaiken mitä niille lähete-tään, joten niistä ei löydy suodatusominaisuuksia tai muuten varsinaistaälykkyyttä.

Reitittimet ovat ensisijaisesti verkkokerroksella toimivia laitteita. Nereitittävät IP-paketteja perustuen IP-otsakkeisiin. Reitittimiin on toteutettumyös linkkikerroksen toiminnallisuus, sillä verkkokerroksen pakettireititystarvitsee linkkikerrosta. Kytkinten ja reitittimien ero on siinä, että reititinon viisaampi siinä mitä se reitittää, mihin se reitittää ja suodatetaankojotain. Toisaalta samalla sen kustannukset ovat korkeammat kuin kytkimen.Koska reitittimellä on oma IP-osoite, se ei ole heti käyttövalmis kutenkytkin, vaan siihen on ensin määritettävä asetukset. Tässä tutkielmassakeskitymme pakettien reitityksessä ainoastaan erilaisiin reitittimiin, silläalimmalla sensurointitasolla suodatetaan IP-osoitteita.

Esimerkiksi pakettien suodattaminen ja turvallisen sisäverkon luominenhoidetaan palomuurien avulla. Palomuuri koostuu ohjelmistosta ja verkkolait-teesta. Se voi toimia osana reititintä tai olla täysin oma laitteensa. Suurissaorganisaatioissa ja valtion tasolla palomuuri voi koostua myös useammastapalvelimesta, joilla jokaisella on oma tehtävänsä. Palomuurin avulla verkkoahallitseva taho pystyy kontrolloimaan minkä liikenteen hän sallii verkkoonsatulevan ja mikä liikenne pääsee verkosta ulkomaailmaan.

Palomuurilla on kolme tavoitetta. Ensimmäinen näistä on se, että kaikenverkkoliikenteen sisäverkosta ulkoverkkoon ja toisinpäin on kuljettava palo-muurin kautta. Toinen tavoite on se, että vain sallittu liikenne saa kulkeapalomuurin läpi. Sallittu liikenne määritetään palomuurisäännöillä. Kolmasja viimeinen tavoite on se, että palomuurin on oltava tunkeutumisen kestävä.Jos palomuurisääntöihin pääsee käsiksi jokin kolmas osapuoli, palomuuri eiole enää turvallinen.

Palomuurin pakettisuodatus voi olla joko tilatonta tai tilallista. Tilat-tomana palomuuri suodattaa jokaisen sääntöön sopivan paketin. Tilallinenpalomuuri taas seuraa TCP-yhteyksiä ja tekee suodatuspäätöksiä TCP-tiedonperusteella. Palomuurin pakettisuodatusta käytetään ensisijaisesti sisäverkontietoturvallisuutta parantamaan. Valitettavasti sitä voidaan käyttää myössensurointitarkoituksissa, kuten luvusta kolme käy ilmi.

Jos jostain syystä sisäverkkoon halutaan päästä käsiksi jollain tietyllä oh-

24

jelmalla, voidaan palomuurissa määritellä niin sanottu sovellusyhdyskäytävä.Tällöin palomuuri tutkii tarkemmin jostain tietyistä IP-osoitteista tai jo-honkin tiettyyn porttinumeroon tulevat paketit. Näistä paketeista tutkitaansovelluskerroksen tietosisältöä ja jos tietosisältö on oikeanlaista, päästetäänpaketit sisäverkkoon.

Lisäksi palomuuri voi toteuttaa sovelluskerroksen tietosisällön valvontaayleisemmällä tasolla. Tällöin yleensä yritetään vähentää haitallista liikennettäsisäverkkoon. Tällainen haitallinen liikenne saattaa sisältää esimerkiksi viruk-sia ja matoja. Sovelluskerroksen tietosisällön tutkimista kutsutaan termilläDeep Packet Inspection (DPI).

2.2.2 Pakettien reitittäminen verkkoalueissa ja niiden välillä

Internet ei ole homogeeninen verkko, vaan eri valmistajien erilaiset verkko-laitteet tekevät siitä hyvin heterogeenisen [KR13]. Näin ollen reititystiedonsiirtäminen ei ole mahdollista kaikkien eri reitittimien ja päätepisteiden välil-lä suoraan. Jotta Internetin reititys voi toimia tarpeeksi hyvin, on sen oltavahierarkista.

Autonominen järjestelmä (Autonomous System, AS) tarkoittaa yksittäi-sen verkko-operaattorin tai ison organisaation hallinnoimaa verkkoaluetta[KR13]. Tämän verkkoalueen sisällä olevat reitittimet ajavat samaa reititys-algoritmia ja reitittimillä on tieto toisistaan. Kuvassa 9 on kuvattu kolmeAS-verkkoaluetta. Autonomista järjestelmää hallinnoivalla taholla on vastuuomassa verkkoalueessaan olevien IP-osoitteiden liikenteen reitityksestä peril-le. Verkko-operaattorilla saattaa olla vain yksi AS-verkkoalue tai operaattorion voinut pilkkoa verkkonsa useammaksi AS-verkkoalueeksi.

RIP (Routing Information Protocol) ja OSPF (Open Shortest Path First)ovat reititysprotokollia, joita käytetään laajalti autonomisten järjestelmiensisäisessä reitityksessä [KR13]. Kuvassa 9 AS1:n sisällä näkyvät reitit 1a:stamuihin reitittimiin on hoidettu juurikin joko RIP- tai OSPF-protokollallariippuen siitä, mitä protokollaa verkkoaluetta hallinnoiva taho haluaa käyt-tää. RIP-protokollan ensimmäinen versio standardoitiin vuonna 1988 ja seon määritetty RFC-dokumentissa 1058 [Hed88]. Nykyään protokollasta käy-tetään versiota kaksi, joka on määritetty RFC-dokumentissa 2453 [Mal98].

25

Kuva 9: Verkkoalueet ja BGP-reititys [KR13]

OSPF-protokollan nykyisin käytössä oleva versio on numeroltaan kaksi ja seon määritetty RFC-dokumentissa 2328 [Moy98]. RIP toimii sovelluskerroksel-la ja OSPF linkkikerroksella. RIP käyttää UDP-protokollaa tiedonsiirtoon.

Jotta paketit voisivat liikkua Internetin laidalta toiselle, on autonomis-ten järjestelmien oltava yhteydessä toisiinsa [KR13]. AS:n rajalla toimivaareititintä kutsutaan rajareitittimeksi. Tämän reitittimen tarkoituksena onreitittää paketit AS:stä toiseen. Tällaisia reitittimiä voi olla AS:ssä yksitai useampia. Jokainen rajareititin käyttää BGP-protokollaa. Kuvassa 9rajareitittimiä ovat 3a, 1c, 1b ja 2a.

BGP-protokollan (Border Gateway Protocol) versio neljä on de factostandardi autonomisten järjestelmien välisessä reitityksessä [KR13]. BGP4on määritetty RFC-dokumentissa 4274 [MP06]. Viittaamme tästä eteenpäinBGP4:een kun puhumme BGP:stä.

BGP toimii sovelluskerroksella ja se sitoo autonomiset järjestelmät yh-deksi isoksi tietoverkoksi (kuva 9) [KR13]. Reitityksen helpottamiseksi BGPtarjoaa tiedon siitä, kuinka saavutettavissa läheiset AS:t ovat ja BGP myösmäärittää lyhimmät reitit eri AS:iin. Tärkeinpänä ominaisuutena BGP salliijokaisen aliverkon tiedottaa omasta olemassaolostaan muille.

BGP toimii TCP:n päällä. Kahden rajareitittimen välillä on TCP-yhteys,joka toimii portissa 179. Lisäksi AS:ien sisällä reitittimet jakavat BGP-informaatiota samanlaisilla TCP-yhteyksillä.

Autonomiset järjestelmät voivat oppia BGP:n kautta, mitkä IP-osoiteava-

26

ruudet ovat tavoitettavissa naapuri-AS:ien kautta. Kun AS:n rajareititin saatietoonsa uuden IP-avaruuden, jakaa rajareititin tiedon tästä kaikille AS:nsisällä oleville reitittimille. Saadessaan tiedon reititin (sisä- tai rajareititin)tallentaa sen omaan reititystauluunsa.

BGP:ssä eri AS:t tunnistetaan niiden uniikkien tunnistenumeroiden kaut-ta. ICANN-organisaatio [ICA17] jakaa tunnistenumerot AS:ille. Reitittimenmainostaessa omaa osoiteavaruuttaan BGP:n kautta se kertoo viestissä osoi-teavaruuden lisäksi BGP-attribuuttien määrän. Tätä viestikokonaisuuttakutsutaan reitiksi.

Kaksi tärkeintä BGP-attribuuttia ovat AS-PATH ja NEXT-HOP. AS-PATH-arvoon tallennetaan ne AS:t, joiden kautta mainostus on jo kulkenut.Näin estetään silmukoiden syntyminen. Jos mainostus on jo kulkenut jonkinAS:n läpi, ei sitä enää ohjata samaan verkkoon. NEXT-HOP-arvo sisältääviereisen AS:n rajareitittimen sen rajapinnan IP-osoitteen, joka on yhteydessänykyiseen AS:ään. NEXT-HOP-arvo siis kertoo, mitä kautta pakettien onreitityttävä ulos nykyisestä AS:stä.

BGP auttaa reitittimiä valitsemaan parhaan reitin. Kun BGP jakaareititystietoa eri reitittimille, ne saattavat oppia useamman kuin yhden reitinsamaan osoiteavaruuteen. Reitin valinnassa reititin kokoaa kaikki samanosoiteavaruuden reitit ja arvioi niitä BGP:n karsintasääntöjen avulla.

Ensimmäinen karsintasääntö on valinta paikallisen suosimisen mukaan.Paikallinen suosiminen on joko tämän reitittimen tai jonkin muun samassaAS:ssä olevan reitittimen asettama arvo. Tämä arvo tallennetaan reitintietoihin ja ylimmän arvon omaava reitti valitaan käytettäväksi reitiksi.

Jos useampi reitti saa paikallisessa suosimisessa korkeimman arvon, seu-raavaksi valitaan reitti, jolla on lyhin AS-PATH-arvo. Jos sekä paikallisensuosimisen arvo että AS-PATH-arvo ovat samoja ja niistä ei osata päättää,on vielä mahdollista arvioida NEXT-HOP-arvoa. Tällöin valitaan se reitti,jolla on lähin NEXT-HOP reititin. Jos nämä kaikki arvot on käyty läpi,reititin käyttää BGP-tunnisteita reitin valitsemiseen.

27

2.3 Yhteenveto

Taulukossa 2 listataan kaikki tässä luvussa esittelemämme protokollat javerkkolaitteet. Sovelluskerroksella toimivat HTTP- ja BGP-protokollat luot-tavat TCP-protokollaan tiedonsiirrossa. DNS- ja RIP-protokollat taas luot-tavat paketit UDP-protokollan huomaan. Sekä TCP että UDP käyttävätverkkokerroksella toimivaa IP-protokollaa pakettien reitityksessä. Reititti-met reitittävät paketit verkkoalueiden sisällä käyttäen joko RIP- tai OSPF-protokollaa. Verkkoalueiden välillä reititys hoituu BGP-protokollan avulla.Linkkikerroksella toimivat kytkimet ohjaavat paketteja verkkoalueiden sisälläpäätelaitteiden MAC-osoitteiden perusteella. Keskittimet ovat sen verranvirhealttiita, että niiden kulta-aika jäi 90-luvulle.

Sovelluskerros BGP, DNS, HTTP, RIPKuljetuskerros TCP, UDPVerkkokerros IP, reititinLinkkikerros kytkin, OSPFFyysinen kerros keskitin

Taulukko 2: Protokollat ja verkkolaitteet protokollapinon kerroksilla

Palomuurin avulla verkon ylläpitäjä voi suodattaa pakettiliikennettä jaluoda turvallisen sisäverkon. Palomuuri koostuu verkkolaitteesta ja ohjel-mistosta. Palomuuri voi olla osana reititintä tai kokonaan erillisenä verkko-laitteena. Luvussa 3 tutustumme tarkemmin siihen, miten palomuuria voikäyttää sensuroinnissa hyväksi.

28

3 Internet-sensuurin tekninen toteutus

Kuten ensimmäisessä luvussa totesimme, Internet-sensuuri jakautuu kah-teen osaan, lainsäädäntöön ja tekniseen toteutukseen [Fre15a]. Lainsäädäntöoikeuttaa ja mahdollistaa sensuroinnin. Tekninen puoli vastaa sensuurinvarsinaisesta toteutuksesta. Tekninen Internet-sensuuri voidaan toteuttaaselkeimmin kolmessa eri kohdassa: käyttäjän päätelaitteessa, päätepisteenpalvelimella ja tietoliikenneverkossa näiden välillä [AP15].

Sensori voi hallita käyttäjän päätelaitetta tai pakottaa asentamaan sii-hen tiettyjä ohjelmia [AP15]. Päätelaitteeseen voidaan esimerkiksi pakottaaasentumaan palomuuriohjelmisto, joka valvoo laitteen käyttöä. Näppäimistö-syötteen tallentavalla ohjelmistolla sensori voi vahtia mitä käyttäjä koneellaantekee ja suodattaa materiaalia syötteen mukaan. Lisäksi on olemassa haitalli-sia versioita normaaleista Internetiä käyttävistä ohjelmista, jotka normaalintoiminnallisuutensa lisäksi valvovat käyttäjää. Yksi tällainen ohjelma onkiinalainen TOM-Skype, joka vastaa Skype-ohjelmaa, mutta johon on lisät-ty valvontaominaisuuksia. Päätelaitteessa tapahtuva sensurointi on siihennähden tehokas tapa, että sen avulla voidaan sensuroida kaikki käyttäjäntekemiset kyseisellä laitteella [AP15]. Toisaalta taas toteutustapa on kallis,koska sensurointiohjelmisto on asennettava jokaiseen käyttäjän päätelaittee-seen. Jos kaikkiin laitteisiin ei asenneta ohjelmistoa, käyttäjä ennen pitkäävalikoi mahdollisuuksien mukaan sensuroimattomat laitteet.

Toinen selkeä kohta sensuroinnille on päätepisteen palvelin [AP15]. Tässäsensurointitavassa yhteyden viimeinen solmu, itse palvelin, vastaa sensu-roinnin toteutuksesta. Palvelinperusteisessa sensuroinnissa sensori voi valitapoistaako se vaaralliseksi luokitellun sisällön suoraan palvelimelta vai piilote-taanko sisältö vain näkyvistä. Valtiot ja tekijänoikeuksien omistajat voivatpyytää esimerkiksi Googlea poistamaan tietoja hakutuloksista tai Googlenomistamista palveluista kuten Youtubesta.

Päätelaitteen ja kohdepalvelimen välissä tapahtuvaa sensurointia kutsu-taan verkkoperusteiseksi sensuroinniksi [AP15]. Verkkoperusteinen sensuroin-ti on yleisin sensurointitapa, sillä sen avulla sensori pystyy vaikuttamaanlaajaan päätelaitekantaan pitäen kustannukset kuitenkin suhteellisen matali-na. Verkkoperusteinen sensurointi voidaan toteuttaa esimerkiksi palomuurien

29

avulla liikennettä välittävissä reitittimissä tai erillisinä sensurointilaitteina,joihin liikenne ohjataan tarkastettavaksi. Valtio voi pakottaa lainsäädännöl-lä maassa toimivat Internet-palveluntarjoajat toteuttamaan sensuroinninomassa verkossaan.

Käsittelemme tässä luvussa verkkoperusteisen sensuurin erilaisia muotoja.Tästä eteenpäin tarkoitamme Internet-sensuurilla verkkoperusteista Internet-sensuuria, jos emme toisin mainitse.

3.1 Termistö

Alla on määritetty Internet-sensuurin kannalta keskeisiä käsitteitä [AP15].Käsitteiden avulla on helpompaa kuvata sensuuria ja sensuurin teknistätoteutusta.

Kohde (target); Kohde on verkkoaineisto tai -palvelu, johon asiakasohjel-ma haluaa päästä käsiksi. Verkkoaineiston tapauksessa kohde on tiedostoonviittaava URL-osoite ja verkkopalvelun tapauksessa kohde on sovellusproto-kolla, jota palvelu käyttää.

Laukaiseva tekijä (trigger): Sensuurin laukaisevana tekijänä toimiiyleensä jokin asiakasohjelman luoma arvo tai tieto, esimerkiksi paketinosa tai kokonainen paketti, joka herättää sensorin huomion. Jos mikäänviestiliikenteen osa ei herätä sensorin huomiota, on liikenne joko sellaista,ettei siinä ole mitään sensuroitavaa, tai sitten liikennettä ei sensuroida.

Valvontalaite (surveillance device): Verkossa toimiva valvontalaite (esi-merkiksi reititin), joka analysoi verkkoliikennettä ja etsii laukaisevia tekijöitä.Valvontalaite voidaan sijoittaa tutkimaan eri viestivaiheiden (esimerkiksiTCP-protokollan kättelyvaiheen jälkeinen liikenne), protokollapinon kerrosten(verkkokerros, kuljetuskerros) tai verkkosegementtien (eri osoiteavaruudet)liikennettä.

Toimi (action): Sensorin toimi, jolla liikennettä pyritään suodattamaanja tietoa sensuroimaan. Toimi on sensurointahon vastaus asiakasohjelmanliikenteeseen, joka on tuotu sensorin tietoon laukaisevan tekijän vuoksi. Toimiviittaa siihen, että sensori on olemassa.

Sensurointilaite (censoring device): Sensurointilaite on sensorin hallin-nassa oleva laite, esimerkiksi palomuuri. Laite toteuttaa toiminnan esimer-

30

kiksi estämällä liikenteen kahden päätepisteen välillä.Sensurointijärjestelmä (censoring system): Sensurointijärjestelmäksi

kutsutaan sensorin valvonta- ja sensurointilaitteistoja.Oire (symptom): Oire on loppukäyttäjän kokemus sensorin tuottamasta

sensurointitoiminnasta. Loppukäyttäjä olettaa saavansa pyytämäänsä tietoa,mutta saattaakin saada mitä tahansa muokatusta vastauksesta virheviesteihintai siihen ettei yhteys muodostu loppuun asti.

3.2 Pakettisuodatukseen perustuva sensurointi

Pakettisuodatuksessa reitittimet ja muut verkkolaitteet valvovat läpikulkevaapakettivirtaa ja päättävät määritettyjen sääntöjen valossa milloin päästävätyksittäisen paketin läpi ja milloin eivät [Dor04]. Pakettisuodatuksessa suo-dattaminen perustuu paketin otsakkeen tietoihin. Pakettisuodatus jakautuuedelleen verkkokerroksen ja kuljetuskerroksen suodatukseen. Näiden tapo-jen ero on pitkälti siinä, miten tarkkaan paketteja suodatetaan ja kuinkapaljon resursseja suodatus vie. Pakettisuodatus on jo reitittimissä ja muissaverkkolaitteissa valmiiksi oleva ominaisuus, joten sensorin ei tarvitse erikseenhankkia erikoislaitteistoa suodatusta varten.

Verkkokerroksen suodatuksessa sensurointilaite tarkastelee IP-pakettienIP-osoiteotsakkeita, ja estää liikenteen joko määritetyistä IP-osoitteista taimääritettyihin IP-osoitteisiin. Suodatussäännöissä siis määritetään mistäIP-osoitteesta tai mihin IP-osoitteeseen ei haluta liikenteen kulkevan. Verk-kokerroksen pakettisuodatus on hyvin ehdoton suodatuksessa. Se suodattaakaiken liikenteen määrätystä IP-osoitteesta tai määrättyyn IP-osoitteeseen.Näin ollen mikään IP-paketteja hyväksikäyttävä protokolla tai ohjelma eitoimi. Verkkokerroksen pakettisuodatuksen hyötynä voidaan pitää sitä, ettäse kuluttaa hyvin vähän resursseja sensurointilaitteelta.

Kuljetuskerroksen pakettisuodatuksessa sensurointilaite käyttää verkko-kerroksen pakettisuodatuksen tekniikkaa, mutta lisäksi se tutkii IP-paketinsisältämästä tiedosta kuljetuskerroksen otsakkeita. Näistä otsakkeista sensu-rointilaitetta kiinnostavat alku- ja päätepisteen porttinumerot.

Kuljetuskerroksen pakettisuodatusta käyttäessään sensori voi estää liiken-teen esimerkiksi tietyn palvelimen webbisivuille suodattamalla kaikki paketit,

31

jotka sisältävät kohdeportin 80. Suodatus ei ole kuitenkaan yhtä ehdotonkuin verkkokerroksella, joten samalla palvelimella sijaitsevat muut palveluttoimivat suodatuksesta huolimatta.

Vaikka kuljetuskerroksen pakettisuodatus on tarkemmin rajattu kuinverkkokerroksen pakettisuodatus, liikenteen estäminen tiettyyn palvelimenporttiin vaikuttaa kaikkeen kyseisen portin liikenteeseen. Jos kyseessä onesimerkiksi monen eri tahon verkkosivustoja ylläpitävä palvelu, estyy liikennekaikkiin näihin sivustoihin. Verkkolaitteet eivät myöskään normaalisti käyläpi kuljetuskerroksen otsakkeita, joten tämä lisää ainakin teoreettisestiresurssien käyttöä sensurointilaitteella.

Pakettisuodatuksessa kohteena on siis jokin tietty palvelin tai palvelimellapyörivä palvelu, mihin halutaan estää pääsy. Laukaisevana tekijänä toimiiIP-paketista löytyvä IP-osoite tai paketin tietosisällön otsakkeista löytyväporttinumero. Valvonta- ja sensurointilaitteena toimii normaali reititin taijokin muu verkkolaite, joka tutkii liikennettä. Sensuuritoimena reititin estäälaukaisevan tekijän sisältämien pakettien etenemisen. Pakettisuodatus eitiedota käyttäjää estosta mitenkään. Riippuen siitä mitä palvelua käyttäjätavoittelee, vastaus voi olla mitä tahansa asiakasohjelman virheviestistäsiihen ettei yhteys muodostu. Ongelmallisinta pakettisuodatuksessa on se,että sillä helposti ylisuodatetaan palveluita. Samaan virheeseen törmäävätsekä käyttäjä, joka hakee sensuroitua materiaalia että käyttäjä, joka hakeemuuta materiaalia kyseisestä palvelimesta tai sen sisältämästä palvelusta.

3.3 DNS-järjestelmään perustuva sensurointi

Siinä missä pakettisuodatuksessa sensurointi estää liikenteen tiettyyn IP-osoitteeseen tai palvelimen tietoliikenneportteihin, nimipalvelujärjestelmänsensuroinnilla voidaan suodattaa hienovaraisemmin vain tiettyjä verkkotun-nuksia palvelimelta, jonka IP-osoitteeseen on sidottu useampi verkkotunnus[AP15]. DNS-järjestelmään perustuvan sensuroinnin ei tarvitse tapahtuakäyttäjän ja päätepisteen välisellä reitillä, sillä DNS-kyselyllä selvitetäänIP-osoite, jota tarvitaan varsinaisen tiedon reitittämiseen. Kaksi yleisintäDNS-järjestelmän sensurointitapaa ovat DNS-järjestelmän kaappaaminen jaDNS-järjestelmän injektointi. Lisäksi esittelemme hienovaraisemman sensu-

32

rointitavan, URL-osoitteisen suodatuksen, jota voidaan ajaa niin kaapatus-sa DNS-järjestelmässä kuin injektoiden olemassa olevaa DNS-järjestelmää[CW10].

DNS-järjestelmän kaappaamisessa asiakaspäätteen DNS-kyselyyn ei vas-taakaan oikea DNS-palvelin vaan sensorin järjestelmä [AP15]. Sensori voitehdä lähes mitä tahansa hallitessaan DNS-palvelua. Väärennetty vastaustulee yleensä tyypin A tietueena eli verkkotunnuksesta IP-osoitukseen kartoi-tuksena. Vastauksessa saatetaan kertoa, ettei verkkotunnusta ole olemassa taiverkkotunnukselle annetaan eri IP-osoite, joka johtaa seuraavaksi esitettävillesivuille.

Ensimmäinen sivu on estosivu, jossa sensori vastaa pyydetyn verkkotun-nuksen olevan estettyjen listalla [AP15]. Tätä sivua epätarkempi toteutus onvirhesivu, jossa estovastauksen sijasta sensori vastaa pyydetyn verkkotun-nuksen olevan virheellinen tai ettei sitä ole olemassa.

Puutteellisen IP-osoitteen tapauksessa sensori kertoo verkkotunnukseensidotun IP-osoitteen olevan sellainen ettei siihen voida reitittää [AP15]. IP-osoite voi siis olla esimerkiksi sisäverkkoon kuuluva osoite. Viimeinen tapa onantaa IP-osoitteena valvontalaitteen osoite, jolloin kyseisellä valvontalaitteellavoidaan tutkia tarkemmin käyttäjän liikennettä, kuten kuljetuskerroksen taisovelluskerroksen otsakkeita tai tietosisältöä.

Toinen tapa sensuroida DNS-järjestelmää on sen injektointi [AP15]. DNS-järjestelmän injektointi on järjestelmän kaappaamista hienostuneempi tapa.Injektoinnissa sensurointilaite lähettää väärennettyjä paketteja, jotka jäljit-televät aitoa vastausta DNS-kyselyyn, mutta sisältävät väärää tietoa. Asia-kasohjelma hyväksyy ensimmäisen oikein muotoillun DNS-vastauksen, jonkase saa [AP15]. Näin ollen tarpeeksi lähelle sijoitetulta sensurointilaitteeltalähetetty vastaus saapuu nopeammin kuin aito vastaus, joka DNS:n tapauk-sessa voi tulla eri puolelta maailmaa. Injektoinnissa voidaan kaappaamisentapaan käyttää erilaisia virhesivuja havainnollistamaan virhetilannetta.

URL-osoitteiden suodatus toimii muuten samalla tavalla kuin verkko-tunnusten suodatus, mutta siinä tutkitaan verkkotunnusosan lisäksi hake-mistopolkuosaa [CW10]. Sensorin järjestelmä voi esimerkiksi verrata kokohakemistopolkua tai osia siitä sensuroitavien sanojen listaan ja päättää näinsensuroinnin toteuttamisesta. Lopputulos on kuitenkin sama kuin muissa

33

DNS-järjestelmään perustuvissa sensuroinneissa. Sensori ohjaa loppukäyttä-jän väärennettyyn IP-osoitteeseen.

DNS-järjestelmään perustuvassa sensuroinnissa kohde on verkkotunnus-ta vastaava IP-osoite, johon käyttäjä haluaa päästä [AP15]. Laukaisevanatekijänä toimii DNS-kysely, jossa pyydetään selvittämään verkkotunnuksenIP-osoite. URL-suodatuksen tapauksessa laukaisevana tekijänä toimii hake-mistopolkuosa, jota DNS-järjestelmä vertaa sensuroitavien sanojen listaan[CW10]. Valvontalaite voi olla sekä laite, joka valvoo DNS-kyselyitä ettämyös laite, jolle asiakasohjelma ohjataan tarkempaa liikenteen tutkimistavarten [AP15]. Sensurointitoimi on väärennetty DNS-vastaus. Sensurointi-laite on joko sensorin hallinnassa oleva DNS-palvelin tai jokin muu laite,joka lähettää väärennettyjä DNS-vastauksia. Estosivujen näyttämisestä voivastata jokin muu sensorin palvelin.

Käyttäjän kokemat oireet ovat erilaisia riippuen siitä mikä virheviestikäyttäjälle näytetään [AP15]. Ainoastaan estosivun tapauksessa sensurointipaljastetaan selkeästi käyttäjälle. Tällöin voidaan esimerkiksi vedota lakiin,jonka vuoksi pyydetty sivusto on sensuroitu. Virhesivun ollessa kyseessäedistyneempi käyttäjä saattaa ymmärtää taustalla olevan sensuroinnin, muttatavallinen käyttäjä jää helposti tietämättömäksi sensuurista. Puutteellisen IP-osoitteen ollessa kyseessä virheviesti on joko ”verkko on saavuttamattomissa”tai ”verkkotunnusta ei saavuteta”. Nämä virheviestit eivät anna kunnollistainformaatiota siitä mitä oikeasti on tapahtunut.

3.4 Aliverkkojen halvaannuttaminen BGP-protokollaa mani-

puloimalla

Kuten luvussa kaksi kuvasimme, BGP on Internetin tärkein reititysprotokolla[KR13]. BGP:n manipuloinnilla voidaan luoda jopa koko valtion kattavasensurointi, koska manipulointi ei ota kantaa aliverkon kokoon [AP15].

Kuvassa 10 esitetään mahdollinen BGP:n manipulointiskenaario, jos-sa tietty IP-osoiteavaruus on kaapattu [AP15]. Normaalisti (kuvan 10 va-sen laita) BGP ohjaa liikennettä AS1:sta AS2:een, jossa sijaitsee tietty IP-osoiteavaruus. BGP:n manipuloinnin seurauksena (kuvan 10 oikea laita) AS4mainostaakin lyhyempää polkua AS2:een, joten kaikki AS2:een menevä lii-

34

kenne reititetäänkin AS4:n kautta. Todellisuudessa AS4 ei reititä liikennettäollenkaan eteenpäin vaan toimii mustana aukkona liikenteelle. Esimerkiksikaksisuuntaiselle TCP-reititysprotokollalle BGP-protokollan manipulointiIP-osoiteavaruuksien kaappaamisella on kuolettava isku, sillä protokollantoiminta vaatii kaksisuuntaista kommunikaatiota toimiakseen.

Kuva 10: BGP:n manipulointi [AP15]

BGP-protokollan manipuloinnilla voidaan yrittää estää kaikki liikennetiettyyn IP-osoiteavaruuteen tai tietystä IP-osoiteavaruudesta lähtevä liikenneesimerkiksi ulkomaisiin IP-osoiteavaruuksiin. Näin ollen kohde saattaa olla jo-ko tietty IP-osoiteavaruus tai vaikkapa kaikki ulkomaiset IP-osoiteavaruudet.Laukaisevana tekijänä voi siis olla sekä lähtöpään IP-osoite tai kohteen IP-osoite. Valvonta- sekä sensurointilaitteina toimivat reitittimet ja toimintanaon siirtää liikenne väärään verkkoalueeseen. Käyttäjälle näkyvä oire on hyvinäärimmäinen, sillä verkon kerrotaan olevan joko täysin tavoittamattomissatai ongelman liittyvän aikakatkaisuun, kun pakettien elinajat loppuvat. BGP-protokollan manipulointi on yleensä pysyvämpi sensuuriratkaisu johonkintiedettyyn ongelmakohtaan, joten se tekee tästä sensurointimuodosta myösyhden äärimmäisimmistä.

3.5 Avainsanojen suodatus paketeista

Aiemmin kuvatut sensurointitavat ovat hyvin epätarkkoja ja saattavat sen-suroida helposti liian paljon [AP15]. Epätarkat sensurointitavat ovat to-ki halvempia toteuttaa, sillä resursseja ei kulu paljoa normaalia reititystäenempää. Sensuroinnin kehittyessä sensurointitavat ovat muuttuneet tarkem-

35

miksi. Avainsanojen suodatuksessa valvontalaite analysoi verkkoliikennettätarkemmin kuin pakettisuodatuksesa. Valvontalaitteena saatetaan käyttääesimerkiksi palomuuria, josta kerroimme luvussa 2. Avainsanoja suodatetaanjuurikin palomuurien hallitsemalla DPI-tekniikalla (Deep Packet Inspection).DNS-järjestelmään perustuvan sensuroinnin yhteydessä esittelemämme URL-osoitteiden suodatusta voi tehdä myös avainsanasuodatuksen yhteydessäreitittimen tai palomuurin toimesta [VG12].

Käyttäessään DPI-tekniikkaa valvontalaite tutkii paketeista esimerkiksisovelluskerroksen otsakkeita ja tietosisältöä [AP15]. Sensori voi määrittää,miten paljon pakettivirtaa tutkitaan eli tutkitaanko esimerkiksi jokainenpaketti, tietty osa paketeista vai vain ensimmäinen paketti. Paketin sisäl-töä voidaan tutkia tiettyjä merkkijonoja etsien ja lisäksi voidaan päättääylläpidetäänkö tilatietoa tutkimuksen aikana. Tilatiedon ylläpitämisellä saa-daan tarkempia tuloksia aikaan. Avainsanasuodatuksen etuna on se, ettäpäätepisteiden voidaan antaa luoda ensin toimiva TCP-yhteys ja vasta senjälkeen alkaa analysoida paketteja. Näin päästään sovelluskerroksen pakettei-hin käsiksi. Koska avainsanojen suodatus on paljon tarkempaa kuin normaalipakettisuodatus, vie se paljon enemmän resursseja valvontalaitteelta ja onsiten kalliimpaa.

Sensori voi DPI-tekniikan avulla analysoida esimerkiksi käyttäjän HTTP-pyyntöjä ja vastata niihin itse kohdepalvelimen sijaan [AP15]. Tämä vaatiisen, että päätepisteet ovat saaneet TCP:n kolmivaiheisen kättelyn valmiik-si ja asiakasohjelma on lähettänyt HTTP-pyyntöviestin. Sensorin HTTP-vastausviesti voi sisältää tarkoin valikoidun tilakoodin riippuen siitä, millainenviesti halutaan loppukäyttäjälle välittää.

Avainsanasuodatuksessa sensorin kohde on jonkin tietyn avainsanan estä-minen [AP15]. Sensuroiduksi saattaa päätyä niin HTTP-protokollan kauttaverkkosivu kuin jokin muu sovelluskerroksen protokolla ja sen kautta siirtyvätietosisältö. Laukaisevana tekijänä toimii verkossa kulkeva IP-paketti, jonkasisältämästä tietosisällöstä on löytynyt sensuroitava avainsana. Valvontalaitesaattaa olla reititin tai jokin reitittimen viereinen laite, esimerkiksi palomuu-ri, jolle paketit siirretään tutkittaviksi. Sensurointitoimena voidaan pudottaayhteys suoraan, voidaan ohjata yhteys estosivulle tai muuttaa yhteydenviestisisältöä. Sensurointilaite voi olla täysin erillinen sensorin palvelin, jo-

36

ta valvontalaite käskyttää. Oireena käyttäjä päätyy parhaassa tapauksessanäkemään esto- tai virhesivun ja huonoimmassa tapauksessa yhteys vainkatkeaa.

3.6 Internet-yhteyden häiriköinti ja kuristaminen

Kun sensori ei halua sensuroida kokonaisia palvelimia tai niissä pyöriviä pal-veluita mutta silti haluaa pitää kustannukset kurissa, se voi ottaa käyttöön-sä tähän sopivia sensurointitapoja [AP15]. Tällaisia sensurointitapoja ovatesimerkiksi TCP-yhteyden häiriköinti ja Internet-yhteyden kuristaminen.

TCP-yhteyden häiriköinti voi tapahtua TCP-yhteyden muodostuksessatai myöhemmin saman yhteyden pakettivaihdon aikana [AP15]. Tässä häi-riköintityypissä sensurointilaite lähettää asiakkaalle TCP-paketteja, jotkanäyttävät tulevan kohdekoneelta. Näihin paketteihin on asetettu otsakkeenRST-arvo päälle merkitsemään sitä, että yhteys on väärässä tilassa ja se onajettava alas pikimmiten. RST-arvolla varustetun väärennetyn paketin voilähettää myös kohdekoneen suuntaan, jolloin kohde vastaa käyttäjälle väären-tämättömällä paketilla, jossa on määritetty RST-arvo päälle. Toteutustavastariippumatta asiakaspääte saa virheilmoituksen yhteyden nollautumisesta.

Kohteena TCP-yhteyden häiriköinnissä on tietty TCP-yhteys päätepis-teiden välillä [AP15]. Laukaisevana tekijänä toimii TCP-paketti, joka va-likoidaan verkkoliikenteestä sen mukaan löytyykö siinä oleva IP-osoite jamahdollinen porttinumero sensuroitavien listalta. Valvontalaitteen on oltavapäätepisteiden välillä toimiva verkkolaite, jotta paketit varmasti menevätlaitteen kautta. Sensurointitoimi on väärennettyjen TCP-pakettien lähetysyhteyden päätepisteille. Sensurointilaite voi olla sama kuin valvontalaite, mut-ta sensurointilaite voi myös toimia valvontalaitteen läheisyydessä ja saadasiltä toimeksiantoja. Asiakasohjelmalle virhe näkyy yhteyden nollautumise-na. Loppukäyttäjälle oire voi olla paljon epäselvempi ja näkyä vain yleisenävirhetilanteena riippuen ihan siitä, miten asiakasohjelma virheen näyttää.

Internet-yhteyden kuristaminen astuu kuvioon silloin kun normaali sensu-rointi vetää huomiota liikaa puoleensa [AP15]. Myös kevyeksi sensuroinniksikutsutussa kuristamisessa Internet-yhteyden laatua supistetaan esimerkiksisatunnaisia paketteja pudottamalla. Tällaista sensurointitapaa on paljon

37

vaikeampi todentaa, sillä toistuvaa kaavaa ei ehkä ole ollenkaan.Yhteyden kuristamisessa tietoliikenneverkon laatua huononnetaan tarkoi-

tuksella [AP15]. Tämä johtaa neljään eri sensurointitoimeen. Ensimmäinenon suodatuksesta johtuva pakettihäviö. Esimerkiksi satunnaisten pakettienpudottaminen hankaloittaa merkittävästi TCP-yhteyttä, jossa jokaisen pa-ketin on päästävä perille. Näin ollen TCP joutuu lähettämään pakettejaaina uudelleen ja uudelleen. UDP:tä tämä tekniikka ei rampauta, muttasen päällä toimivalla sovelluskerroksen protokollalla saattaa silti olla omavirheenkorjaustekniikka, joka ei toivu muutoksista. Toinen sensurointitoimion viiveiden lisääntyminen. Tämä saattaa johtua suoraan pakettihäviöstä,mutta reitittimet saattavat myös hidastaa pakettien kulkua. Kolmas sensu-rointitoimi on lisääntyneet poikkeamat, eli pakettiliikenne ei kuljekaan kutentoivottua. Liikenne saattaa olla hitaampaa ja siitä saattaa puuttua paketteja.Yhteysnopeuksien rajoittaminen on viimeinen sensurointitoimi. Tässä toimes-sa Internet-yhteyksien kaistanleveyttä tarkoituksella pienennetään niin, etteikaistaa voi käyttää esimerkiksi suoratoistovideoiden katsomiseen [AAH13].

Yhteyden kuristamisessa kohde saattaa olla mikä tahansa tietyltä verkkoa-lueelta lähtenyt paketti [AP15]. Laukaiseva tekijä voi olla samanlainen kuinaiemmissa sensurointiesimerkeissä, mutta laukaisevaa tekijää ei tarvitse olla.Sensori voi päättää suodattaa kaiken liikenteen. Valvonta- sekä sensurointi-laitteena toimii jokin reititin tai palomuuri. Suosittu paikka suodatukselleon rajareititin, joka reitittää liikennettä ulos maasta. Sensurointitoimi onkuvattu jo aiemmin tässä aliluvussa. Oireena käyttäjä saa hyvin epävakaastitai hitaasti toimivan Internet-yhteyden. Käyttäjän on hankala tulkita onkoyhteyden huono toimivuus tarkoituksenmukaista vai ei.

3.7 Monitasoinen suodatus ja sensurointiohjelmistot

Monitasoinen suodatus tarkoittaa sitä että kahta tai useampaa sensurointitek-niikkaa käytetään yhdessä [AP15]. Hyötyjä saadaan jo siitä, ettei valvonta- jasensurointilaitteen tarvitse olla sama laite. Näin ollen vältetään mahdollisetsudenkuopat kustannusten nousussa tai laitteen vikaantuessa.

Pakettisuodatus voidaan jakaa esimerkiksi epätarkkaan suodatukseen,jossa ensimmäinen verkkolaite ohjaa epäilyttäväksi katsomansa liikenteen

38

toiselle verkkolaitteelle [AP15]. Tämä verkkolaite seuloo sille lähetetyn verk-koliikenteen tarkemmin läpi. Toinen tapa on kopioida liikenne reitin ulko-puolella olevalle tarkastuslaitteelle, jolloin alkuperäinen verkkoliikenne eihäiriinny. Lisäksi liikennettä voidaan seuloa pidemmällä aikavälillä, jolloinsiitä voidaan tutkia tarkemmin erilaisia käyttäytymismalleja.

Sensori voi käyttää myös BGP-reititysprotokollaa ja DNS-järjestelmääensimmäisen tason suodatukseen, jossa valitaan tarkempaan tarkasteluun osaliikenteestä [AP15]. Jos sensori käyttää avainsanasuodatusta TCP-pakettientutkimisessa, se voi tämän jälkeen nollata käyttäjän yhteyden TCP-yhteydenhäiriköinnin avulla.

Valtion ei tarvitse rakentaa sensurointijärjestelmää tyhjästä [DHN+13].Maailmassa on yrityksiä, jotka tuottavat ohjelmistoja esimerkiksi verkkolii-kenteen suorituskyvyn parantamiseen ja epäasiallisen materiaalin estämiseen.Sensurointia harjoittavat valtiot ovat hankkineet näitä ohjelmistoja käyt-töönsä. Länsimailta tämä ei ole jäänyt huomaamatta ja länsimaiset valtiotovatkin säätäneet ohjelmistoille vientirajoituksia.

Tällaisia tunnettuja ohjelmistoja ovat esimerkiksi Blue Coat, MacAfeeSmartFilter ja Netsweeper [DHN+13]. Blue Coat tarjoaa välityspalvelimiaja URL-suodatusta. McAfee SmartFilter ja Netsweeper tarjoavat sisällönsuodatusta. Näistä ainoastaan Netsweeper on enää olemassa samalla nimellä[Net17]. McAfee on lopettanut SmartFilterin tuen vuonna 2014 [Sma17] jaBlue Coat:n nettisivut ohjaavat nykyään Symantecin sivuille [Blu17].

3.8 Sensuroinnista tiedottaminen

Sensori voi valita mieleisensä tavan sensuroida riippuen siitä, haluaako sevain katkaista käyttäjän yhteyden vai myös tiedottaa käyttäjää sensuurista[VG12]. Seuraavaksi esittelemme neljä erilaista tapaa lähestyä tätä ongelmaa.

Ensimmäinen mahdollisuus pakettien suodattamiseen on TCP-yhteydenkolmivaiheisessa kättelyssä. Kuitenkin koska kolmivaiheisessa kättelyssä ei lii-ku vielä varsinaista tietosisältöä, suodatus voi koskea ainoastaan IP-osoitteita,portteja ja protokollayhdistelmiä. Seuraava mahdollisuus suodatukselle onesimerkiksi HTTP-pyynnön yhteydessä. Tässä vaiheessa voidaan suodattaajo erilaisia verkkotunnuksia, aliverkkotunnuksia ja säännöllisten lausekkeiden

39

avulla myös URL-osoitteita sekä avainsanoja.Kun tämän tyypin pyyntö suodatetaan, näkyy se käyttäjälle yhteyden ai-

kakatkaisuna ja nettiselaimen näyttämänä virheilmoituksena. Koska pyyntösuodatetaan ennen kuin se ehtii kohdeosoitteeseen, ei kohde edes tiedä sensu-roinnin tapahtuvan. Sensori voi suodattaa myös vastauksen pyynnön sijastatai suodattaa molemmat. Vastausperusteisessa sensuroinnissa suodatuksenon kohdistuttava avainsanoihin, koska HTTP-pyyntö ei sisällä vastauksessaantietoa verkkotunnuksesta tai hakemistopolusta. Tämän tyylistä sensurointiakutsutaan termillä suodata pyyntö tai vastaus.

Suodata pyyntö ja palauta vastaus on vaihtoehto yllä kuvattuunpelkkään suodatukseen. Tässä tavassa sensori palauttaa vastauksen suodatuk-sen jälkeen. Vastaus voi esimerkiksi katkaista yhteyden jommassa kummassatai molemmissa päätepisteissä, ja myös ilmoittaa käyttäjälle sensuroinnista.

Salli pyyntö, mutta vastaa ensin -tavassa sensori sallii TCP- taiHTTP-pakettien edetä normaalisti, mutta vastaa jompaan kumpaan päähänyhteyttä, kuten suodata pyyntö ja palauta vastaus -kohdassa. Tämä on ylei-nen tapa silloin kun sensurointilaite ei ole pakettien reitityksen varrella vaansinne kopioidaan paketteja reitittimeltä tarkistettavaksi. Sensuurilaitteenollessa yleensä lähempänä käyttäjää kuin päätepisteen, sen vastaukset tavoit-tavat useimmiten asiakasohjelman ennen päätepisteen vastausviestiä. Näinollen tämä tapa on yhtä tehokas kuin suodata pyyntö ja palauta vastaus.

Yhtenä äärimmäisenä vaihtoehtona sensori voi muokata asiakasohjel-man pyyntöä tai päätepisteen vastausta. Muokattu pyyntö voi aiheuttaasen, että päätepisteeltä palautetaan yleisempää tietosisältöä. Esimerkiksiblogialustan tapauksessa palautetaan sen pääsivu sensuroidun blogin sijaan.Muokattu vastaus voi sisältää päätepisteen vastauksen sijasta muutettua tie-toa. Tätä tapaa kutsutaan lyhykäisyydessään termillä muokkaa pyyntöätai vastausta.

3.9 Yhteenveto

Sensurointitekniikat jakautuvat epätarkasta tarkkaan suodatukseen. Epä-tarkka suodatus ylisensuroi helposti asioita. BGP-protokollan manipulointi,pakettisuodatus ja DNS-järjestelmään perustuva sensurointi ovat tekniikoita,

40

joissa ylisensurointia tapahtuu helpoiten. Avainsanasuodatus on tarkkaa suo-datusta, sillä siinä valitaan huolellisesti mitä osia liikenteestä sensuroidaan.Internet-yhteyden häiriköinti ja kuristaminen eivät asetu yhtä helposti esi-tetyllä asteikolla tiettyyn kohtaan. TCP-yhteyden häiriköinnissä laukaisevatekijä määrittää, onko tapahtuva sensuuri epätarkkaa vai tarkkaa. Internet-yhteyden kuristamisessa määrityksen tekee sensori.

Sensori voi käyttää joko yhtä tiettyä sensurointitekniikkaa tai sitten hänvoi yhdistellä useampia tekniikoita tehokkaammaksi sensurointijärjestelmäksi.Sensorin ei tarvitse rakentaa sensurointijärjestelmää alusta alkaen vaanjärjestelmiä voi ostaa tietyiltä yrityksiltä.

Sensuroidessaan käyttäjän yhteyden, sensori päättää, kertooko hän tästäkäyttäjälle. Esittelimme tässä luvussa neljä eri tapaa sensuroinnista tiedotta-miseen. Nämä tavat ovat ”suodata pyyntö tai vastaus”, ”suodata pyyntö japalauta vastaus”, ”salli pyyntö, mutta vastaa ensin” ja ”muokkaa pyyntöätai vastausta”.

41

4 Internet-sensuuri eri maissa

Maailman maat jakautuvat sananvapauden asteikolla hyvin eri kohtiin[Fre16a]. Osa maista on hyvinkin vapaita ja demokraattisia, ja osassa taasihmisten ilmaisunvapautta rajoitetaan erityisen tarkasti. Sanan- ja lehdis-tönvapauden tutkimiseen on perustettu erilaisia organisaatioita. Tunnettujatällaisia ovat Freedom House (FH) [Fre17] ja Reporters Without Borders(RWB) [RWB17].

Freedom House ylläpitää tietoa siitä, miten kansalaisten poliittiset oikeu-det ja kansalaisvapaudet huomioidaan eri maissa [Fre17]. Tästä koostetaanvuosittain raportti nimeltä Vapaus maailmassa (Freedom in the world). Vuo-den 2016 raportti on koostettu vuoden 2015 havainnoista ja se sisältää 195maata ja 15 aluetta. Kaksi muuta FH:n koostamaa raporttia ovat raporttilehdistönvapaudesta (Freedom of the Press) ja raportti Internetin vapaudesta(Freedom of the Net). Vuoden 2016 lehdistönvapaus-raportti sisältää 199maata ja aluetta [Fre16b] ja vuoden 2015 raportti Internetin vapaudestasisältää 65 maata [Fre15a]. Kaikissa FH:n raporteissa käytetään asteikkoa:vapaa - osin vapaa - ei vapaa.

Reporters Without Borders ylläpitää maailman lehdistönvapaus -indeksiä,jonka vuoden 2016 versiota käytämme tässä tutkielmassa [Rep16]. Indeksisisältää 180 maata ja siinä käytetty asteikko on seuraava: hyvä - melko hyvä- ongelmallinen - huono - todella huono.

Lisäksi 2010-luvun taitteen tutkimuksissa mainitaan OpenNet Initiative(ONI) [ONI17], joka tutki ja dokumentoi sitä, miten eri maat ja alueetsensuroivat Internetiä [VG12]. ONI lopetti kuitenkin toimintansa vuoden2014 lopulla, eikä siltä tämän vuoksi löydy enää ajankohtaista tietoa [Ope14].

Vuoden 2015 FH:n Internetin vapaus -raportin tutkimukset on koostettuajanjaksolta kesäkuu 2014 - toukokuu 2015 [Fre15a]. Raportissa on mukana65 maata ja raporttia on ollut koostamassa 70 tutkijaa, joista suurin osaasuu tutkittavissa maissa. Tutkijat tutkivat lakeja ja käytänteitä, testasivatvalikoitujen nettisivujen saatavuutta ja haastattelivat laajaa joukkoa ihmisiä.Raportti kuvaa hyvin missä maissa Internetiä rajoitetaan tiukimmin. Kuvassa11 on kyseisen raportin karttakuva maailmasta. Kategorian ”ei vapaa” maatsijoittuvat pääosin Lähi-itään ja Aasiaan.

42

Kuva 11: Internetin vapaus -raportin kartta vuodelta 2015 [Fre15a]

43

Valtiot alkavat sensuroida Internetiä yleensä silloin, kun sensuroitavakohde ei sijaitse maan rajojen sisällä [Ham08]. Jos kohde sijaitsee maassa, senvoi ajaa alas oikeusteitse. Sensuroitaviksi asioiksi käyvät esimerkiksi aikuis-viihdesivustot ja lapsiin kohdistuva seksuaalinen materiaali [AAH13, Fin17].Lisäksi valtiot saattavat sensuroida niiden mielestä vääriä poliittisia aatteita,uskonnollisia suuntauksia ja myös ei-toivottuja mielipiteitä [CMW06].

Sensuroinnin laajuus riippuu siitä, miten tiukasti kansalaisten elämää ha-lutaan rajoittaa [Fre15a]. Arabikevääksi ristitty tapahtumasarja vuoden 2011keväällä johti Egyptin ja Libyan osalta Internet-pimentoon useiksi päiviksi[DSA+14]. Yleisin valtioiden käyttämä sensurointilaajuus on estää pääsy tie-tyille sivustoille tai sivustojen osiin [FG13, AAH13]. Tällaisessa sensuurissaovat kunnostautuneet ainakin Kiina ja Iran. DNS-järjestelmän kaappaamistapyritään kuitenkin välttämään sen aiheuttaesssa helposti ongelmia myössensuroivan maan rajojen ulkopuolella [XMH11].

Seuraavat maat löytyvät jokaisen ylläesitetyn FH:n ja RWB:n raportinrajoitetuimmasta kategoriasta: Iran, Kiina, Kuuba, Saudi-Arabia, Sudan,Syyria, Uzbekistan ja Vietnam [Fre16a, Fre16b, Fre15a, Rep16]. Käsittelem-me näitä maita ja niiden harjoittamaa sensurointia myöhemmin tässä luvussa.Paneudumme maihin erityisesti Freedom Housen vuoden 2015 Internetinvapaus -raportin kautta. Aluksi tutkimme kuitenkin tarkemmin Kiinan jaIranin harjoittamaa sensurointia ja tutustumme arabikevään tapahtumiin.

4.1 Kiinan Internet-sensuuri

Tieto Kiinan Internet-sensuurista perustuu vuosien 2006, 2011 ja 2012 tut-kimuksiin [CMW06, XMH11, FG13]. Kiinan sensurointijärjestelmää nimi-tetään ”Kiinan suureksi palomuuriksi” (Great Firewall of China, GFC) jasitä pidetään yhtenä maailman hienostuneimmista sensurointijärjestelmistä[CMW06].

4.1.1 Sensuroinnin historia ja sensuroitavat asiat

GFC luotiin vuonna 1999 ja sen jälkeen sitä on kehitetty vastaamaan nyky-ajan haasteita [And12]. Kiina sensuroi ensisijaisesti maan ulkopuolella oleviakohteita [XMH11]. Sisäisen verkon sensurointi hoidetaan lähinnä suoraan

44

ihmisiin vaikuttavilla ei-teknisillä keinoilla. Näihin keinoihin kuuluvat esimer-kiksi sosiaalinen kontrolli, ihmisten valvonta, ryhmäpaine ja itsesensurointi.

Kiina sensuroi verkosta useita eri asioita [CMW06]. Avainsanoina toi-mivat esimerkiksi viittaukset erilaisiin ryhmittymiin, joiden olemassaolonKiinan valtio on kieltänyt, poliittisiin ideologioihin, joiden katsotaan olevanmahdottomia hyväksyä ja myös historiallisiin tapahtumiin, joista ei halutakäytävän keskustelua. Monissa eri tutkimuksissa yhtenä tällaisena avainsana-na käytetään termiä “falun” [CMW06, FG13]. Termi viittaa Falung Gongiin,oppijärjestelmään, jonka Kiinan kommunistinen puolue kielsi 1990-luvulla[Fre15b].

4.1.2 Tietoa tietoliikenneverkosta ja sensurointijärjestelmien si-jainti

Kiinan Internet-yhteyksiä hallinnoi kuusi valtion omistamaa Internet-operaat-toria [FG13]. Kaksi suurinta operaattoria ovat China Telecom ja ChinaUnicom. China Mobile on Kiinan suurin matkapuhelinoperaattori. Muutoperaattorit ovat tieteelliseen tutkimukseen tarkoitettu CSTNET, koulutuk-seen ja opetukseen tarkoitettu CERNET, ja ulkomaankauppaan tarkoitettuCIETNET.

China Telecomista käytetään myös nimitystä ChinaNet [Chi17a]. Vuon-na 2008 China Unicomiin yhdistyi China Netcom, jota kutsuttiin myösCNCGroupiksi [Chi17b]. Eri tutkimukset käyttävät eri nimityksiä Kiinankahdesta suurimmasta Internet-operaattorista.

Vaikka jokaisella kuudesta operaattorista on oma kansainvälinen ul-koverkkoyhteytensä, pääosa kansainvälisestä kaistanleveydestä on kahdensuurimman operaattorin hallinnassa [FG13]. Nämä Telecomin ja Unicominhallinnoimat yhteyssolmut sijaitsevat Beijingissä, Shanghaissa ja Guangz-houssa.

Vuonna 2011 Xu ja kumppanit löysivät tutkimuksessaan Kiinasta 24rajaverkkoaluetta, 138 sisäistä verkkoaluetta ja 92 ulkoista verkkoaluetta[XMH11]. Tällöin Kiinan kaksi suurinta verkko-operaattoria olivat ChinaNet62 yhteydellä ulkomaisiin verkkoalueisiin ja CNCGroup 23 yhteydellä. China-Netin kansainvälinen yhteysnopeus oli tällöin kaksinkertainen CNCGroupiin

45

verrattuna.Kiinan rajaverkkoalueet ovat yhteydessä ainakin 20 ulkomaisen valtion

kanssa [XMH11]. Eniten tietoliikenneyhteyksiä (52) on Yhdysvaltoihin. Seu-raavina tulevat Hong Kong 21 yhteydellä ja Japani 11 yhteydellä.

Kiinan sensurointilaitteet sijaitsevat reitittimien läheisyydessä [XMH11].Reitittimet kopioivat niille pakettiliikenteen tutkittavaksi ja näin ollen neeivät hidasta varsinaista pakettireititystä.

Xu ja kumppanit löysivät vuonna 2011 495 reititintä, joiden yhteyteenoli liitetty sensurointilaite [XMH11]. 79,4% näistä laitteista kuului CHINA-NETille ja 17,4% CNCGROUPille. Suurin osa sensurointilaitteista sijaitsitällöin rajaverkkoalueilla ja pieni osa (2,9%) sisäisillä verkkoalueilla.

ChinaNetin tapauksessa vain 49 sensurointilaitteistoa 374:stä sijaitsi senomassa runkoverkossa [XMH11]. Loput sijaitsivat ChinaNetin maakuntakoh-taisten haarayritysten verkoissa. Tällä tavoin sensori sai vältettyä mahdollisetpullonkaulat, joissa sensurointi tapahtuisi runkoyhteyksien yhteydessä.

Vuonna 2013 julkaistussa tutkimuksessa Feng ja kumppanit jakoivatsensuroinnin neljään eri tasoon kaupallisissa verkoissa [FG13]. Tasot olivatkaupunkitaso, maakuntataso, kansallinen runkoverkko ja rajaverkkoalueet.Näistä kaupunkitasolla sensuroitiin selkeästi vähiten, vain muutama sivusto.Maakuntatasolla ja kansallisessa runkoverkkossa sensuroitiin pitkälti samanverran, mutta kuten Xu:n ja kumppaneiden tutkimuksesta oli nähtävissä,suurin osa sensuroinnista tapahtui rajaverkkoalueilla.

Netcomin ja Telecomin erot tulivat esiin myös Fengin ja kumppaneidentutkimuksessa [FG13]. 21cn.com sijaitsi Telecomin verkossa ja baidu.comNetcomin verkossa. Mistä tahansa maasta tulevat pyynnöt 21cn.comiin kier-sivät Telecomin runkoverkon kautta ja päätyivät näin ollen sensuroitavaksi,jos aihetta oli. Baidu.comin tapauksessa taas Netcomin runkoverkon kauttakiersivät vain ne pyynnöt, jotka tulivat joko englantia tai kiinaa puhuvistamaista. Muista maista tulleet pyynnöt eivät päätyneet sensuroitaviksi.

Sensuroinnin sijasta jotkin sivustot ovat Kiinan erityistarkkailussa [FG13].Esimerkiksi Googlen suosituimmat palvelut google.com ja gmail.com reitityt-tyvät Kiinan sisältä tehdyissä pyynnöissä siten, että niiden viimeinen verk-kosolmu ennen Googlea on Netcomin omistuksessa. Googlen Kiina-versiotaeli google.cn:ää ei tarkkailla samalla tavalla, koska sen palvelimet sijaitsevat

46

fyysisesti Kiinassa ja näin sen sisältöön on helpompi vaikuttaa.

4.1.3 Käytetyt sensurointitekniikat

Kiina sensuroi verkkoliikennettä monella eri tavalla [CMW06, XMH11, FG13].Havaittuja ovat ainakin URL-osoitteiden suodatus, DNS-järjestelmän kaap-paaminen, verkkokerroksen pakettisuodatus, BGP-reititysprotokollan mani-pulointi ja tarkimpana avainsanojen suodatus. Avainsanasuodatuksessa GFCkäyttää myös TCP-yhteyden häiriköintiä. GFC toimii symmetrisesti tutkienniin Kiinasta ulos lähtevät kuin Kiinaan tulevatkin paketit [CMW06]. Tällätavalla sensori pystyy sensuroimaan niin pyyntöjä kuin vastauksiakin.

Kiina käyttää URL-osoitteiden suodatusta muun muassa ”Falun Gong”-termin sisältäviin verkko-osoitteisiin [FG13]. Kiina on hoitanut DNS-järjestel-män kaappaamisen luomalla kolme DNS-palvelinta, jotka peilaavat kansain-välisiä juurinimipalvelimia. Näiden avulla google.com-osoitteeseen haluaviakäyttäjiä on ohjattu Kiinan sisäisten hakukoneiden sivustoille. Kiina sen-suroi lisäksi joitain palvelimia, kuten VOA.gov:in, verkkokerroksen paket-tisuodatuksella. Näin sensori saa kiinni ne toimijat, jotka yrittävät kiertääverkkotunnusten ja URL-osoitteiden suodattamisen IP-osoitteilla.

Feng ja kumppanit huomasivat myös, että VOA.gov:iin ja amnesty.org:iintehdyt kyselyt ohjautuvat useista Kiinan verkoista viimeistään kansainvälis-ten yhdyskäytävien kohdalla väärään suuntaan [FG13]. Näin ollen tutkijatolettavat Kiinan sensuroivan verkkoa myös BGP-reititysprotokollan manipu-loinnilla.

GFC on tilallinen palomuuri [XMH11]. Tämä tarkoittaa sitä, että havai-tessaan sensuroitavaa sisältöä, palomuuri sensuroi tuon yksittäisen pyynnönlisäksi kaikki seuraavat pyynnöt yhteyden päätepisteiden välillä joksikinaikaa. Koska GFC on tilallinen, TCP-yhteyden kolmivaiheinen kättely ontehtävä, jotta GFC alkaa sensuroida yhteyttä. Tilallisuuden tieto on tärkeäkun siirrymme tutkimaan Kiinan tarkinta sensurointitapaa eli avainsanasuo-datusta.

Kiinassa avainsanasuodatus tehdään ”salli pyyntö, mutta vastaa ensin”menetelmää käyttäen [CMW06]. Jokaisesta reitittimelle saapuvasta paketis-ta tehdään kopio palomuurilaitteelle, jossa paketista etsitään avainsanoja.

47

Jos avainsanoja löytyy, palomuurilaite luo useita TCP-paketteja, joissa ot-sakkeen RST-arvo on asetettu päälle. Nämä TCP-paketit ohjataan edelleenreitittimelle, joka lähettää ne yhteyden päätepisteille.

Osassa tapauksista GFC lähettää myös väärennettyjä SYN/ACK-pakette-ja satunnaisilla ja siten virheellisillä sekvenssinumeroilla [CMW06]. Jos vää-rennetty paketti tavoittaa päätepisteen ennen oikeaa pakettia, johtaa tämäyhteyden sulkeutumiseen. Hieman tämän jälkeen kaikki liikenne näiden pää-tepisteiden välillä estetään yhteyden nollaavilla TCP-paketeilla riippumattasiitä sisältävätkö alkuperäisen yhteyden paketit enää suodatettavaa sisältöä.

Kuten yllä totesimme. Kiina luottaa ”salli pyyntö, mutta vastaa ensin”-menetelmään avainsanoja suodattaessa. Lisäksi aiemmin esitellyissä sensu-rointitavoissa ”suodata pyyntö tai vastaus” -menetelmä on usein käytössä.

4.1.4 Sensuroinnin tunnistaminen

Tässä aliluvussa käsittelemme avainsanojen suodatuksen tunnistamisesta,koska se on Kiinan mielenkiintoisin sensurointitekniikka.

Symmetrisen palomuurin hyvä puoli on se, että sensurointia tutkittaessatutkijat voivat tehdä kyselyitä Kiinan ulkopuolelta maan sisäisille verkkosi-vuille [CMW06]. Näin ollen tutkijoiden ei tarvitse järjestää erillistä testiko-netta maan sisäverkkoon ja mahdollisesti etsiä ihmistä sitä operoimaan.

Clayton ja kumppanit tunnistivat Kiinan käyttämän avainsanasuodatuk-sen lähettämällä paketteja maan ulkopuolelta maan sisäisen verkon palvelimil-le [CMW06]. TCP-yhteyden kolmisuuntainen kättely meni läpi ongelmitta,mutta kun tämän jälkeen haettiin verkkosivulta HTTP GET -pyynnöllätermiä falun, aktivoitui sensurointijärjestelmä ja yhteys nollaantui.

Xun ja kumppanien valitessa tutkittavia verkkosivuja, he törmäsivät ti-lallisen palomuurin aiheuttamaan ongelmaan [XMH11]. Tilallinen palomuuriaiheuttaa sen lisähaasteen, että on löydettävä sellaisia sivustoja, jotka hy-väksyvät TCP-yhteyden. He valitsivat maantieteellisesti Kiinan eri osissasijaitsevia suosittuja nettisivustoja.

Xu ja kumppanit loivat algoritmin sensurointijärjestelmien sijainnin tun-nistamiseen [XMH11]. Tutkijoiden algoritmi lähetti paketteja tunnetuillasuodatettavilla avainsanoilla ja kasvavilla TTL-arvoilla. Tutkittaviksi valikoi-

48

duista www-sivuista selvitettiin aluksi, ovatko ne saavutettavissa ja hyväksy-vätkö ne TCP-yhteyksiä. Kun tutkijat saivat palomuurin aktivoitumaan jayhteyden nollautumaan, alkoivat he selvittää missä sensurointijärjestelmä si-jaitsee. Jo yksinkertainen ACK-paketti aktivoi palomuurin tässä tilassa. Näinollen tutkijat alkoivat lähettää ACK-paketteja kasvavalla TTL-arvolla ja lo-pettivat niiden lähettäminen aina silloin, kun saivat RST-arvolla aktivoidunTCP-paketin vastaukseksi. Sensurointilaitteen läheisyydessä sijaitseva reiti-tin lähetti tällöin myös ICMP-paketin, josta tutkijat saivat selville laitteenIP-osoiteen, jolla laite pystyttiin paikantamaan.

Vuoden 2013 tutkimuksessaan Feng ja kumppanit tutkivat Kiinan Internet-sensuuria reitinmääritysohjelmia käyttäen [FG13]. Tällä tavoin tutkijat saivatkuvan verkon topologiasta reitin määrittyessä hyppyinä lähimmältä reitit-timeltä kansainväliseen tietoverkkoon saakka. Välipisteinä toimivat sekäkaupungin ja provinssin runkoreittimet että kansallinen runkoverkko ja raja-reititin.

Koska reititys on dynaamista, tutkijat kokivat järkeväksi testata reitinmäärittämistä useassa eri sijainnissa eri aikoina [FG13]. Tutkimuksen testitsuoritettiin kahdeksassa isossa kiinalaisessa kaupungissa, jotka olivat kiinniKiinan kansallisessa runkoverkossa ja lisäksi kuudessa muussa kaupungissa,jotta voitiin verrata runkoverkon ja normaalien kaupunkien eroja reitityk-sessä. Tutkimuksessa tutkittiin 23:a nettisivustoa, joiden tiedettiin olevanKiinassa sensuroituja. Osa sivustoista sijaitsi Kiinan sisällä ja osa sijaitsiHong Kongissa ja Taiwanissa. Lisäksi tutkittiin myös sivustoja Kiinan ulko-puolelta. Jokaisessa kaupungissa oli ainakin yksi testaaja käymässä jokaisensivun läpi reitinmääritysohjelmalla. Lisäksi tutkijat testasivat Kiinan runko-verkon yhdyskäytäviä Kiinan ulkopuolelta Kiinassa sijaitsevaan baidu.com:iinja 21cn.com:iin.

4.2 Iranin Internet-sensuuri

Tässä aliluvussa käsittelemme Iranin Internet-sensuuria vuoden 2013 pre-sidentinvaalien aikaan [AAH13]. Vaaleista johtuen sensurointijärjestelmäntoimintaa tiukennettiin. Esitetyt asiat perustuvat pseudonyymikirjoittajienSimurg Ayranin ja Homa Aryanin sekä J. Haldermanin vuoden 2013 artikke-

49

liin Internet Censorship in Iran: A First Look [AAH13].

4.2.1 Sensuroinnin historia ja sensuroitavat asiat

Iran on sensuroinut maan Internet-yhteyksiä jo yli kymmenen vuotta. Aiko-jen saatossa muutamat konservatiiviset tahot ovat toivoneet täysin eristetyn”Halal Internetin” syntyä, jossa julkaistaisiin vain islamilaisen lain hyväksy-mää sisältöä. Iranin valtion menettelytavat eivät kuitenkaan ole vielä näinehdottomia. Valtio on silti luonut kyberpoliisiosasto FATA:n, jonka tarkoi-tus on valvoa iranilaisten verkkokäyttäytymistä ja tuomita toisinajattelijoi-ta. Iranissa toimivat Internet-palveluntarjoajat ovat valtion viestintäelimentoimivallan alla. Viestintäelin huolehtii sensurointimääräysten ajamisestatoimintaan.

Vuonna 2002 Iraniin säädettiin ensimmäinen sensurointilaki. Tällöin jo-kainen Iranissa toimiva Internet-palveluntarjoaja velvoitettiin suodattamaanmoraalisesti kyseenalaiset nettisivustot IP-pakettisuodatuksella. Järjestelmäkorvattiin myöhemmin keskitetyllä versiolla, jota hallitsee valtion omistamaTelecommunication Company of Iran (TCI).

Iranin Internet-sensuuria on tutkittu vähän johtuen siitä, ettei Iraninulkopuolelta pääse helposti käsiksi maan Internet-yhteyksiin. Tutkimuksiin onmyös hankala löytää vapaaehtoisia iranilaisia avustamaan, sillä avustamisessaon aina olemassa kiinnijäämisriski.

Tutkimuksessa käytettiin hyväksi tutkimusyritys Alexan ylläpitämäälistausta [Ale17] maailman 500:sta suosituimmasta verkkosivustosta. Yleisenlistauksen lisäksi tutkijat kävivät läpi kaikki 500 sivua 18 eri kategoriasta.Jokaiselle sivustolle tehtiin HTTP GET -pyyntö Iranin verkossa olevaltatutkimuskoneelta.

Isoin sensurointiprosentti oli aikuisviihdesivustojen kategoriassa, jonkasivuista yli 95%:iin oli estetty pääsy. Toiseksi estetyin kategoria oli yleisesti500 suosituinta sivustoa, jossa yli 50%:iin sivuista ei päässyt. Kolmanneksisensuroiduin kategoria oli yllättäen taide.

50

4.2.2 Tietoa tietoliikenneverkosta ja sensurointijärjestelmien si-jainti

Tutkimuksen aikaan Iranin Internet-sensurointi tapahtui verkkolaitteella, jokasijaitsi 10.10.-alkuisessa sisäverkkoavaruudessa. Verkkolaite edelsi jokaistasiirtymää Iranin verkosta kansainväliselle verkkoalueelle. Tätä verkkolaitettaedelsi toinen kahdesta TCI:n omistamasta verkkosolmusta, joiden kauttaliikenne kansainvälisille verkkoalueille hoidetaan. Tutkijat eivät pystyneethavaitsemaan tätä verkkolaitetta Iranin ulkopuolelta tulevilla pyynnöillä.Useimmat solmut olivat kuitenkin samoja kummastakin suunnasta, jotentutkijat olettavat, että suurin osa Iranin verkkoliikenteestä kiertää keskitetyninfrastruktuurin kautta.

Sensuroinnin tapahtuessa käyttäjän selain ohjataan tuohon 10.10.-alkui-seen sisäverkkoavaruuteen, jossa käyttäjälle esitetään tiedotussivu. Tiedo-tussivu sisältää tietoa sensuurista ja sen IP-osoite on 10.10.34.34. Sivultakäyttäjä ohjataan 30 sekunnin päästä eteenpäin toiselle sensurointisivustolle,joka toimii peyvandha.ir-verkkotunnuksen alla.

Iran luottaa oletettavasti avainsanasuodatuksesssaan DPI-tekniikkaan.DPI-valvontalaitteen tarkkaa paikkaa, sensurointijärjestelmän valmistajaatai järjestelmän tehokkuutta ei ole kuitenkaan pystytty todentamaan.

4.2.3 Käytetyt sensurointitekniikat

Iran sensuroi Internet-yhteyksiään monella tavalla. Sensurointi pitää sisäl-lään perusnettiyhteyksien yhteysnopeuksien rajoituksen, DNS-järjestelmäänja avainsanoihin perustuvaa suodatusta sekä nettiyhteyksien kuristamista en-tisestään poliittisten ja taloudellisten levottomuuksien aikaan. Lisäksi avain-sanasuodatuksessa käytetään yhteyden sulkemiseen myös TCP-yhteydenhäiriköintiä.

Iranilaisten kotiyhteyksien nopeus on rajoitettu 128 kilobittiin sekunnissa.Tutkijat uskovat tämän haittaavan tai jopa estävän multimediasisällön, kutenäänen ja videon suoratoiston Internetistä. Yliopistolaiset, kuten tutkijat,tiedekuntien työntekijät ja opiskelijat voivat saada rajoituksen tahoiltaanpois esittämällä tarvittavan dokumentaation asemastaan yliopistossa.

Tiettyjen verkkotunnusten DNS-kyselyihin vastataan Iranin DNS-järjestel-

51

mään perustuvassa sensuroinnissa sisäverkon IP-osoitteella (10.10.34.34). Tä-mä sivu toimii tiedotussivuna sensuroinnista. Avainsanasuodatuksessa Iransensuroi sekä HTTP-pakettien Host-otsakkeen tietoja että tiettyjä avainsa-noja sisältäviä URL-osoitteita. Host-otsakkeen tapauksessa käyttäjä ohja-taan tiedotussivulle, mutta sensuroidun URL-osoitteen tapauksessa yhteyskatkaistaan TCP-yhteyden häiriköinnillä eikä käyttäjää näin ollen ohjatatiedotussivulle.

Alunperin kiellettyjen avainsanojen lista sisälsi termejä, joita käytettiinaikuisviihdesivustoille pääsyyn, mutta lista on sittemmin laajentunut. Listanlaajentuminen on pitkälti vastaus erilaisiin tapahtumiin, jotka ovat aiheut-taneet poliittista ja taloudellista levottomuutta. Tällaisista tapahtumistayhtänä esimerkkinä toimii Iranin presidentinvaalit.

Ylläkuvattujen tekniikoiden lisäksi Iranin on havaittu kuristavan Internet-yhteyksiään poliittisten ja ekonomisten levottumuuksien aikana. Tämä onnäkynyt yhteysnopeuksien kuristumisena joillekin tietyille sivustoille, joillakintietyillä protokollilla ja myös toisinaan kaiken verkkoliikenteen kuristumisena.

4.2.4 Sensuroinnin tunnistaminen

Tutkimuksessa testilaitteistona käytettiin yhden iranilaisen Internet-palvelun-tarjoajan verkossa toimivaa Linux-käyttöjärjestelmällä varustettua tietoko-netta. Osassa testejä käytettiin myös Linux-palvelinta, joka sijaitsi Iraninverkkoalueen ulkopuolella. Kahdella koneella tutkijat saivat luotua testiyh-teyksiä, joiden molemmat päätepisteet olivat tutkijoiden hallinnassa.

Tutkiakseen Iranin avainsanasuodatusta, tutkijat lähettivät HTTP-pyyntö-jä Iranin verkossa olevalta testikoneelta estetyille sivustoille ja tutkivat niistäsyntyvää verkkoliikennettä. Tiedonsiirtoon vaadittava TCP-kättely onnistui,mutta tämän jälkeen lähetetty HTTP GET -pyyntö sai vastaukseksi HTTP:n”403 Forbidden” -virheen ja iframe-tekniikalla näytettävän estosivun. Tutki-muksessa todetaan HTTP-pyynnön Host-otsakkeen toimivan laukaisevanatekijänä suodatuksessa.

Tutkiakseen avainsanasuodatuksen URL-sensurointia, tutkijat loivat tyh-jän HTML-sivun nimeltä sex.htm. Sivu sijoitettiin Iranin verkon ulkopuolelletutkijoiden hallinnassa olevalle Linux-palvelimelle. Iranin verkossa sijaitseva

52

testikone sai tässäkin tapauksessa hoidettua TCP-kättelyn onnistuneesti,mutta HTTP GET -pyyntö tuotti samanlaisen vastauksen kuin aiemmassatapauksessa. Kuitenkin, koska nyt voitiin analysoida verkkoliikennettä niinlähtö- kuin kohdekoneellakin, tutkijat huomasivat, että kohdepalvelin sai viisiväärennettyä TCP-pakettia, jotka näyttivät tulevan lähdekoneelta. NäissäTCP-paketeissa oli asetettu otsakkeen RST-arvo päälle. Protokollaa tottelevakohdepalvelin sulki yhteyden saatuaan paketit. Tutkimuksen mukaan avain-sanasuodatus näyttää rajautuvan pelkkiin HTTP-pyyntöjen URI-osoitteisiin,eikä se pysty suodattamaan HTTP POST-kyselyä tai HTTP-vastauksenrunkoon sisällytettyä tietoa.

Tutkijoiden mukaan Iran käyttää DNS-järjestelmään perustuvaa sensu-rointia kolmeen verkkotunnukseen, jotka löytyvät Alexan 500:n suosituim-man verkkosivuston listauksesta. Nämä ovat facebook.com, youtube.com japlus.google.com. Kaikkien näiden sivustojen DNS-kysely ohjasi käyttäjännettiselaimen estosivulle.

Tutkijat pystyttivät myös oman DNS-palvelimen ja asettivat lähdekoneenkäyttämään tätä. Sensuroitujen sivustojen nimipalvelukyselyt eivät koskaantavoittaneet tutkijoiden luomaa nimipalvelinta. Näiden sijaan nimipalvelinsai viisi väärennettyä TCP-pakettia, jotka näyttivät tulevan kohdekoneelta.Näissäkin TCP-paketeissa otsakkeen RST-arvo oli asetettu päälle. Löydöson siitä mielenkiintoinen, että tutkijoiden lähettämän DNS-kyselyn paketitolivat normaalin mallin mukaan UDP-paketteja. Näin ollen TCP-paketeillavastaamisessa ei ole mitään järkeä. Tällainen käytös saattaa johtua siitä, ettäsensurointijärjestelmä on määritetty väärin.

Tutkiakseen yhteyden kuristamista tutkijat mittasivat lähdekoneen jakohdepalvelimen välisen tiedonsiirron nopeutta käyttäen HTTP, HTTPS jaSSH -protokollia. Jokaisella protokollalla ajettiin testi läpi useita kertoja,jotta saatiin mahdollisimman hyvä keskiarvo mittauksista. Testissä käytettytiedoston pakettikoko oli sen suuruinen, että ladattaessa se suurimmallanopeudella kohdepalvelimelta lähdekoneelle, tiedoston olisi pitänyt latautua96 sekunnissa.

Keskimäärin lähdekone käytti 85%:ia täydestä kaistasta HTTP-protokol-laa käytettäessä. HTTPS-protokollalla kaistan käyttö oli 89%:ia. SSH-protokol-la sai käytettyä kaistasta ainoastaan 15%:ia. Tulokset saatuaan, tutkijat

53

halusivat varmistaa, että kaistan huonontuminen johtui sensorista. He muut-tivat käyttämäänsä SSH-protokollaa hieman ja saivat vielä huonompia tulok-sia. Tutkijat olettavat tutkimustietonsa valossa, että yhteyden kuristaminentehtiin pudottamalla paketteja, mikä johti TCP-protokollan ongelmiin.

Tutkijat huomauttavat, että tutkimustuloksista voi tulkita Iranin sensu-rointijärjestelmän käyttäytymisen. Iranin mallissa ei siirretä joitain protokol-lia erikseen suodatettaviksi vaan sensurointijärjestelmässä on ennemminkinsallittu joidenkin protokollien käyttö. Näin ollen uudet protokollat ja nii-den päälle rakennetut suodatuksen kierto-ohjelmat päätyvät kuristettaviksioletuksena.

Tutkijat toistivat testiasetelman presidentinvaalien jälkeen. Yhteydenkuristamista oli höllennetty ja esimerkiksi normaalin ja muutetun SSH:nkaistankäyttö nousi 82%:iin.

Iranin Internet-sensuuri näyttää noudattavan sekä ”suodata pyyntö japalauta vastaus” -tapaa että ”salli pyyntö, mutta vastaa ensin” -tapaa. Ensim-mäinen tapa tulee esiin aina kun käyttäjä ohjataan 10.10.-sisäverkkoalueenestosivulla ja jälkimmäinen tapa TCP-yhteyden häirinnän yhteydessä. Li-säksi yhteyden kuristamisessa käytetään osin ”suodata pyyntö tai vastaus”-tapaa, sillä rajoituksella, ettei kaikkia paketteja pudoteta.

4.3 Arabikevät: tapaukset Egypti ja Libya

Arabikevät viittaa Pohjois-Afrikan maissa vuoden 2011 alkupuolen tapahtu-masarjaan, jossa kansalaisten mielenosoitukset ja sisällissotien uhat ajoivatuseamman valtion sensuroimaan Internetiä [DSA+14]. Kerromme tässä ali-luvussa Egyptistä ja Libyasta, joissa molemmissa maan Internet-yhdeydetkatkaistiin käytännössä kokonaan useiksi päiviksi.

Tieto sensuroinnista perustuu vuonna 2013 julkaistuun Dainottin jakumppaneiden artikkeliin Analysis of Country-Wide Internet Outages Causedby Censorsip [DSA+14]. Aiempi versio samasta tutkimuksesta julkaistiinjo vuonna 2011, mutta tässä uudemmassa versiossa tietoa ollaan käsiteltysyvällisemmin.

54

4.3.1 Sensuroinnin historia ja sensuroitavat asiat

Tammikuun 27. päivä vuonna 2011 Egyptin hallitus määräsi täydellisenInternet-pimennon vastauksena istuvan presidentin eroa vaativiin mielenosoi-tuksiin. Internet-pimento ei tukahduttanut mielenosoituksia vaan saattoi jopalisätä ihmisten aktiivisuutta osallistua niihin. Egyptin tapauksessa Internet-sulku päättyi viiden päivän jälkeen. Egyptin presidentti erosi 11. helmikuu-ta, johtuen sekä Egyptin sisäisistä että ulkopuolelta tulevasta poliittisestapaineesta.

Samana vuonna helmikuun alkupuolella Libyassa oli mielenosoituksia,joissa vaadittiin Gaddafin hallinnon lopettamista. Helmikuun 17. päivä kansa-laiset järjestivät laajoja mielenosoituksia ympäri maata. Saman päivän iltanaLibyan sisältä ei päässyt enää käsiksi Youtube-suoratoistopalveluun. Myö-hään 18. päivän iltana Libyan Internet-yhteydet suljettiin yöksi ja avattiintaas aamulla. Samanlainen yösulku tapahtui seuraavanakin päivänä. Pidempi,neljän päivän täydellinen Internet-pimento, alkoi 3. maaliskuuta.

4.3.2 Tietoa tietoliikenneverkosta ja sensurointijärjestelmien si-jainti

Egyptin tietoliikenneverkkoa hallitsee valtio. Pääasiallisina toimijoina tieto-liikenneverkossa ovat muutama suurehko operaattori, joiden kansainvälisetverkkoyhteydet kulkevat Suezin kanavan vedenalaisten kaapeleiden kaut-ta. Suurimman osan näistä kaapeleista omistaa Ramses Exchange, joka onmyös ensisijainen yhteyksien tarjoja Egyptin valtion omistamalle Internet-palveluntarjoajalle.

Afrikan alueella IP-osoiteavaruuksia jakaa AfriNIC [Afr17]. Egyptilleon jaettu yli 3165 IPv4-osoiteavaruutta ja niitä hallitsee 51 verkkoaluetta.Tutkijat viittaavat tutkimiinsa verkkoalueisiin lyhenteillä EgAS*. TutkittujaEgyptin sisäisiä verkkoalueita on yhteensä kahdeksan, joista ensimmäisetseitsemän ovat muita kuin valtion omistamia ja kahdeksas on EgStateAS.Kaksi suurinta verkkoaluetta ovat EgAS4 ja EgStateAS, joista EgStateASon samalla suurin egyptiläinen Internet-palveluntarjoaja.

Egyptille on jaettu kuusi IPv6-osoiteavaruutta. Tutkimustiedossa ollaanviitattu ainoastaan yhteen Egyptissä näkyvään IPv6-osoiteavaruuteen, jo-

55

ka on kansainvälisen operaattorin hallinnassa. Kansainvälistä operaattorinverkkoaluetta kutsutaan tutkimuksessa IntAS1:ksi. Lisäksi tutkimuksessaviitataan kahteen kansainväliseen verkkoalueeseen tunnuksilla IntAS2 jaIntAS3, mutta nämä eivät sisällä egyptiläisiä IP-osoiteavaruuksia.

Libyan tietoliikenneverkkoa hallitsee valtion omistama verkkoalue, jotatutkijat kutsuvat LyStateAS:ksi. Libyan alueella toimii myös kaksi muutaverkkoaluetta, mutta ne ovat hyvin pieniä verrattuna LyStateAS:ään. Tutkijatkutsuvat näitä kahta muuta verkkoaluetta IntAS2:ksi ja SatAS1:ksi. IntAS2on kansainvälinen Internet-palveluntarjoaja. SatAS1 on satelliittiyhteyksiätarjoava operaattori, joka toimii Lähi-Idän, Aasian ja Afrikan alueella. SatAS1tarjoaa Libyaan 12 epäjatkuvaa IP-osoitealuetta.

Verkkoyhteydet ulkomailta Libyaan kulkevat kahta vedenalaista kaa-pelia pitkin Tripoliin. Libyalle on jaettu 13 IPv4-osoiteavaruutta. IPv6-osoiteavaruuksia sillä ei ole yhtään. 13 IPv4-osoiteavaruudesta 12 on LySta-teAS:n hallinnassa ja yksi IntAS2:n.

Egyptin ja Libyan tapauksissa ei ole samanlaista sensurointijärjestelmää,jota olemme Kiinan ja Iranin tapauksissa kuvanneet. Egyptin ja Libyantietoliikenneverkot ovat pääosin valtion hallinnassa ja koska valtio myöspääosin kontrolloi verkkoyhteyksiä ulkomaailmaan, on sen näin ollen helppomyös sulkea nuo yhteydet. Sensurointijärjestelmä siis sijaitsee oletettavastikansainvälisiin verkkoalueisiin yhteyksissä olevissa rajareittitimissä tai niidenvälittömässä läheisyydessä.

4.3.3 Sensuroidut verkkoalueet ja sensuroinnin eteneminen

27.1.2011 alkanut Egyptin Internet-pimento näyttäytyi maailmalle Egyptinkatoamisena BGP:n reititystauluista. Lähes kaikki IPv4-verkkoavaruudetsuljettiin. IPv6-verkkoavaruuksiin ei katkon aikana koskettu ja täten nepysyivät toimintakunnossa.

Tutkijat kertovat tarkemmin kolmesta verkkoalueesta, EgStateAS:sta,EgAS4:sta ja EgAS7:sta. Lähes kaikki EgStateAS:n IP-osoiteavaruudet sul-jettiin katkon alussa. Osa EgStateAS:n IP-osoiteavaruuksista jäi kuitenkinnäkyville sisältäen osoiteavaruuksia, joita ei ollut esitelty aiempina kuukausi-na. Näihin näkyviin jääneisiin IP-osoiteavaruuksiin pääsi tutkijoiden mukaan

56

käsiksi IntAS2:n ja IntAS3:n kautta.Toiseksi suurimman verkkoalueen, EgAS4:n kaikki IP-osoiteavaruudet

suljettiin katkon ajaksi. EgAS7-verkkoalueen osoiteavaruudet pysyivät koske-mattomina katkon ensimmäiset neljä päivää. Tutkijat spekuloivat, että tämänverkkoalueen käyttäjät olisivat taloudellisesti tärkeitä tahoja Egyptissä.

Kaksi ensimmäistä Libyan Internet-katkoa tapahtuivat peräkkäisinä öinä.Molemmissa tapauksissa kaikki 12 LyStateAS:n IP-osoiteavaruutta suljettiinmuutaman minuutin aikana. IntAS2:n osoiteavaruuteen ei tällöin koskettuja samoin SatAS1 pysyi koskemattomana.

Kolmesta Libyan Internet-katkosta ensimmäinen toteutettiin BGP-reitityk-sen sulkemisella. Toisen katkon ensimmäinen tunnin ajan BGP-reititys olialhaalla, mutta se nostettiin tämän jälkeen takaisin ylös. Itse katko kesti kui-tenkin vielä seitsemän tuntia BGP:n aktivoinnin jälkeen. Tutkijat olettavatettä BGP-reitityksen ollessa alhaalla palomuurisääntöjä on aktivoitu ja luo-tu toimiva pakettisuodatus korvaamaan epätarkempi tekniikka. Kolmannenkatkon aikana kaikki BGP-reitit pysyivät pystyssä ilman häiriöitä. Tämäkatko toteutettiin puhtaasti pakettisuodatuksen avulla.

IntAS2:n IPv4-osoiteavaruus ei ollut aiemmin kuvattujen osoiteavaruuk-sien sulkemisessa mukana. Se suljettiin silti kahdesti kahden ensimmäisenyökatkon aikaan. Ensimmäinen noin 40 minuutin katko tapahtui samanapäivänä kuin ensimmäinen yökatko, mutta useampi tunti ennen kuin yökatkoalkoi. Toinen katko IntAS2:n liikenteessä alkoi noin kymmenen minuuttiatoisen yökatkon alkamisen jälkeen. Tämä katko kesti noin puolitoista päivää.Huomioitavaa tässä on se, että toinen yökatko kesti kuitenkin vain yön, jotenIntAS2 oli tuolloin alhaalla huomattavasti kauemmin kuin LyStateAS.

SatAS1:n IP-osoitealueita ei suljettu missään vaiheessa. Tämä on täysinymmärrettävää, koska nämä osoitealueet ovat Libyan ulkopuolisen tahonhallinnassa. Kahden ensimmäisen katkon aikaan huomattiin kuitenkin myössatelliittiyhteyksissä liikenteen kuristumista. Libyan valtio käytti signaalinhäirintää satelliitti-TV:n ja mobiiliyhteyksien katkaisemiseksi, joten tutki-jat olettavat valtion käyttäneen samoja keinoja myös satelliittiyhteyksienhäirintään.

Tutkijat olettavat Libyan testanneen pakettisuodatusta jo ennen ensim-mäistä yökatkoa. Tutkijat pohtivat, ettei sensori ollut ehkä tyytyväinen pa-

57

kettisuodatustestin tuloksiin tai jostain muusta syystä tätä sensurointitapaaei käytetty vasta kuin toisen yökatkon alkamisen jälkeen.

4.3.4 Sensuroinnin tunnistaminen

Jotta tutkijat pystyivät havainnollistamaan ja tutkimaan maan laajuisiaInternet-katkoja, oli heidän ensin määritettävä, mitä tietoliikenneresurssejamaassa toimivat Internet-operaattorit käyttivät. Tutkijat käyttivät tutki-muksessaan AfriNICiltä saatavia tietoja Eyptille ja Libyalle kuuluvista IP-osoiteavaruuksista ja MaxMind GeoLite Country tietokantaa [Max17], jostapystyi selvittämään mitkä IP-osoiteavaruudet sijaitsivat maantieteellisestinäiden maiden alueilla.

Saatuaan selville IP-osoiteavaruudet, tutkijat kartoittivat mihin BGP:nilmoittamiin osoiteavaruuksiin ne kuuluivat. Samalla tutkijat kartoittivat,mitkä verkkoalueet mainostavat näitä IP-osoiteavaruuksia. Kartoitukseenhe käyttivät julkisesti saatavilla olevia BGP-tiedon säilytyspaikkoja, RouteViewsiä [Rou17] ja RIPE NCC:n RISiä [RIP17]. Tiedot kerättiin ajanjaksoilta,jotka alkoivat viikko ennen katkoja ja pitivät sisällään vielä ensimmäisenkatkopäivän.

Taustatiedot selvitettyään tutkijat keskittyivät kolmeen tietokokonaisuu-teen. Ensimmäinen näistä on UCSD-verkkoteleskoopilla [Cen17] kerätty tietoliikenteestä määrittämättömiin osoiteavaruuksiin. Toinen tietokokonaisuus onBGP-protokollan reititystiedot ja kolmas sisältää tietoja pakettireitityksestäsulun aikana traceroute- ja ping-ohjelmilla kartoitettuna.

UCSD-verkkoteleskoopin avulla kerätystä tiedosta tutkijat pystyivät ha-vainnoimaan Internetin taustaliikenteen vaihteluita Internet-sulun vaikutusa-lueilla. Tästä tiedosta tutkijat selvittivät muun muassa pakettisuodatuspe-rusteisen suodatuksen käytön ja lisäksi se paljasti muutaman palvelinesto-hyökkäyksen Egyptin valtiota vastaan.

Route Viewsiltä ja RIPE NCC:n RIS-palvelusta kerätyt BGP-protokollanreititystiedot tarjosivat näkökulman BGP-reitityksen aktiivisuuteen arabike-vään tapahtumien aikana. Tutkijat saivat tästä tiedosta havainnollistettuatarkemmin, miten BGP-protokollan manipulointi vaikutti eri verkkoalueisiinkatkon aikana.

58

Traceroute-ohjelmilla kaivetusta tiedosta tutkijat pystyivät selvittämäänsellaisia sensurointitapoja, joita ei voitu havainnoida BGP:n reititystiedoista.Tämä tekniikka auttoi myös tarkentamaan BGP-havaintoja.

Egyptin ja Libyan Internet-sensuuri noudattaa ainoastaan ”suodata pyyn-tö tai vastaus” -sensurointitapaa. Reitityksen ajaminen alas ja pakettisuoda-tus tällä laajuudella ovat hyvin epätarkkoja sensurointitapoja, joissa käyttä-jälle ei kerrota suoraan mitään.

4.4 Muut käsiteltävät maat ja niiden nykytila

Kiinan ja Iranin lisäksi valitsimme tutkittaviksi maiksi Kuuban, Saudi-Arabian, Sudanin, Syyrian, Uzbekistanin ja Vietnamin. Taulukkoon 3 onlistattu kyseiset maat. Lisäksi taulukosta löytyvät Egypti ja Libya, joita kä-siteltiin arabikevät-luvussa. Maista kuusi sijaitsee Aasiassa, kolme Afrikassaja Kuuba yksinään Pohjois-Amerikassa [Fre15a].

Taulukon 3 ensimmäinen sarake pitää sisällään käsiteltävät maat aakkos-järjestyksessä. Taulukon toisessa sarakkeessa käsitellään maan vapausindeksiävuoden 2015 Internetin vapaus -raportissa [Fre15a]. Käsiteltäviä maita tässäraportissa oli 65 ja lukupari nn/65 kertoo monennellako sijalla kyseinen maaon asteikolla 0 = vapain maa ja 65 = vähiten vapaa maa. Lukuparin jälkeinenluku kertoo montako pistettä kyseinen maa on saanut asteikolla 0-100 (enitenvapaa - vähiten vapaa). Seuraava sarake kertoo samat tiedot vuoden 2012 In-ternetin vapaus -raportista [Fre12]. Tässä raportissa tutkittuja maita oli vain47 kappaletta. Viimeinen sarake kertoo, mitä sensurointitekniikoita eri mais-sa käytetään. Sensurointitekniikoissa avainsana-termiin on sisällytetty sekäHTTP-pyyntöjen suodatus Host-otsakkeen perusteella että URL-osoitteidensuodatus. Vietnamin kohdalla URL-osoitteiden suodatus on mainittu erik-seen, sillä Vietnamin tapauksessa ei ole tietoa, miten URL-suodatus toimii.YR tarkoittaa yhteysnopeuksien ja protokollien rajoittamista.

Useat maat käyttävät samoja sensurointitekniikoita tietoliikenteen suoda-tuksessa, kuten taulukosta 3 näkyy. Pakettisuodatus on kustannustehokkaanatapana yleinen sensurointitekniikka useassa eri maassa. Jonkinlaista paket-tisuodatusta käyttävät ainakin Iran, Kiina, Libya, Saudi-Arabia [VG12] jaSyyria [CCC+14]. DNS-järjestelmän manipulointi on myös yleistä ja siihen

59

Maa FH FotN 2015 FH FotN 2012 Sensurointitekniikat

Egypti 47/65: 61 34/47: 59 BGPIran 63/65: 87 47/47: 90 Avains., DNS, IP,

TCP, YRKiina 65/65: 88 45/47: 85 Avains., BGP, DNS,

IP, TCPKuuba 61/65: 81 46/47: 86 ei tietoaLibya 42/65: 54 22/47: 43 BGP, IPSaudi-Arabia 58/65: 73 39/47: 71 Avains., IPSudan 54/65: 65 ei tietoa ei tietoaSyyria 64/65: 87 44/47: 83 Avains., DNS, IPUzbekistan 60/65: 78 43/47: 77 ei tietoaVietnam 59/65: 76 40/47: 73 URL

Taulukko 3: Maiden vapausindeksit ja käytössä olevat sensurointitekniikat

ovat syyllistyneet Iran, Kiina ja Syyria. BGP-yhteyksien manipulointiin eiole lähtenyt kovin moni mukaan. Arabikevään tapahtumien lisäksi vain Kiinakäyttää BGP-protokollan manipulointia hyväkseen. Iran on ainoa maa, jossayhteysnopeuksia ja protokollia rajoitetaan systemaattisesti.

Erilaisia avainsanasuodatustekniikoita käyttävät Iran, Kiina, Saudi-Arabiaja Syyria. Lisäksi Vietnam käyttää URL-osoitteiden suodatusta, mutta tar-kempaa tietoa sensuurin toteutustavasta ei ole [Fre15a]. Iran ja Kiina käyt-tävät avainsanasuodatuksen yhteydessä myös TCP-yhteyden häiriköintiä,jolloin kyseisten maiden sensurointilaitteiden ei tarvitse sijaita pakettireiti-tyksen varrella.

Kuubasta, Sudanista ja Uzbekistanista ei löytynyt tarkempaa tietoa siitä,mitä sensurointitekniikoita näissä maissa käytetään. Silti jokainen näistämaista sensuroi joitain nettisivustoja [Fre15a]. Sudanin sensuurissa käytetään”suodata pyyntö ja palauta vastaus” -menetelmää, sillä sensuroituja sivustojapyytävä käyttäjä ohjataan infosivulle, joka tiedottaa sensuroinnista.

Vuoden 2015 FH:n Internetin vapaus raportista käy ilmi, että yhä useam-pi valtio sensuroi Internetiä [Fre15a]. Tutkimusajanjakson aikana on myösannettu yhä useampia vankilatuomioita verkkokirjoittelusta. Uutena trendinä

60

valtiot painostavat yksityisiä yrityksiä ja ihmisiä poistamaan verkkosisältöä.Jos tämä lähestymistapa ei toimi, valtio siirtyy perinteisempään estostrategi-aan. Ihmisoikeustilanteeltaan huonot valtiot ostavat länsimaissa toimiviltayrityksiltä valvonta- ja haittaohjelmia, joita ne sitten käyttävät sensurointi-ja estotarkoituksissa. Lisäksi anonyymi- ja salaustyökalujen estäminen ontullut yleisemmäksi.

65 tutkitusta maasta 32 maata on mennyt negatiivisempaan suuntaansitten vuoden 2014 kesäkuun [Fre15a]. Käsittelemistämme maista Libyaja Egypti olivat vuoden 2012 Internetin vapaus -raportissa osin vapaa -kategoriassa [Fre12]. Muut maat olivat jo tällöin ei vapaa -kategoriassa.Vuoden 2015 raportissa Egypti on siirtynyt muiden maiden tapaan kate-goriaan ei vapaa, mutta Libya sinnittelee edelleen kategoriassa osin vapaa[Fre15a]. Siltikään Libyan suunta ei hyvältä vaikuta, sillä sen vapausindeksion huonontunut yhdellätoista. Muiden maiden indeksiarvojen vaihtelut ovatpysyneet kohtuullisen maltillisina (taulukko 3). Kiina on vuoden 2015 pahinja sen jälkeen tulevat Syyria ja Iran. Kiinassa esimerkiksi Google on nykyäänlähes kokonaan estetty. Negatiivisimmat harppaukset tapahtuivat maissa, jot-ka eivät kuulu ainakaan vielä ”ei vapaa” -kategorian maihin. 15 maata 65:stäovat menneet selkeästi parempaan suuntaan. Yksi näistä maista on Kuuba.Iranissakin on tapahtunut positiivisia asioita, kuten Internet-yhteyksien kais-taa on nostettu ja 3G on sallittu. Samalla kuitenkin Iraniin suunnitellaanHalal Internetiä, josta olisi tarkoitus tulla Iranin valtion hallinnoima Internetmaan kansalaisille [The16].

Estäminen ja suodatus ovat edelleen laajalle levinneitä taktiikoita, muttasensurointitekniikoiden kiertotavat ja salauksen käyttäminen ovat tehneetniistä vähemmän tehokkaita [Fre15a]. Tämä ainakin silloin, jos tarkoituson estää yksittäisiä sivuja eikä koko alustaa. Valtion vaatiessa materiaaliapoistettavaksi, voi ulkomailla sijaitseva yritys myös estää sensuroitavanmateriaalin näkymisen kyseisen maan verkkoon. 42 maata 65:stä vaativatyrityksiä, ylläpitäjiä ja käyttäjiä rajoittamaan verkkosisältöä. Vuoden 2014raporttiin nähden, tässä on tapahtunut viiden maan kasvu. Valtiot ovat myösnykyään agressiivisempia näissä vaatimuksissaan.

61

4.5 Yhteenveto

Esittelimme tässä luvussa 10 maata, joista seitsemän maan sensurointiteknii-kat pystyimme määrittämään. Kävimme tarkemmin läpi Kiinan ja IraninInternet-sensuurin. Lisäksi tarkastelimme arabikevääksi ristittyä tapahtuma-sarjaa, jossa Egyptin ja Libyan Internet-yhteydet suljettiin useiksi päiviksi.Läpikäydyt maat käyttävät sensuroinnissa sekä epätarkkaa että tarkkaasuodatusta. Ääriesimerkki epätarkasta suodatuksesta oli arabikevät. Tutki-tuista maista Kiinassa ja Iranissa on selkeästi eniten sensurointitekniikoitakäytössä. Iranin sensurointitapa eroaa muista maista siinä, että normaaliensensurointitekniikoiden lisäksi Iran rajoittaa yhteysnopeuksia ja sallii ainoas-taan osan Internetin protokollista. Tämän johdosta kaikki muut protokollatovat automaattisesti kuristettavien listalla.

Tutkijoiden on helpompi tutkia mitkä maat sensuroivat Internetiä kuinsyventyä siihen miten kyseiset maat sensuroivat Internetiä. Freedom Housenraportit kertoivat useiden maiden harjoittavan sensurointia, mutta ne eivätkertoneet miten se tapahtui. Esimerkiksi pseudonyymikirjoittajien SimurgAyranin ja Homa Aryanin sekä J. Haldermanin vuoden 2013 artikkeli InternetCensorship in Iran: A First Look avasi ensimmäistä kertaa sitä, miten IraninInternet-sensuuri toimii.

Maailman maiden sananvapauden ongelmat ovat lisääntyneet. Noin puoletvuoden 2015 Vapaus Internetissä -raportin maista on mennyt negatiivisem-paan suuntaan Internetin vapaudessa. Lisäksi noin kaksi kolmasosaa maistavaatii sisällönomistajia rajoittamaan verkkosisältöä. Positiivisena asiana 15maata 65:stä on ottanut askelia vapaampaan suuntaan.

62

5 Internet-sensuurin kiertäminen

Internet-sensuuri on mukautunut vuosien saatossa vastaamaan paremminsensorin toiveita [Bam13]. Epätarkkojen sensurointitekniikoiden tilalle ontullut tarkempia tekniikoita kuten avainsanasuodatus. Internet-sensuurintehostuesssa ja levitessä useampaan maahan, myös tarve sen kiertämiselleon kasvanut [Fre15a]. Internet-sensuurin kiertämiseen on kehitetty useitaerilaisia tapoja [MHS16]. Osa näistä on kiertoon tarkoitettuja ohjelmia jaosa yleisiä tekniikoita, jotka toimivat myös sensuurin kiertämiseen.

Kierto-ohjelmien kehittäjät luottavat nykyään muun muassa siihen, et-tei sensori halua aiheuttaa liikaa rinnakkaisvahinkoja [MHS16]. Näin ollenosa kierto-ohjelmista on rakennettu piiloutumaan joko yleisten Internet-protokollien sisään tai tunnettujen pilvipalveluiden verkkotunnusten taakse.

Kierto-ohjelmien on myös kehityttävä [DM06]. Internet-sensuurin kehit-tyessä sensorit haluavat estää ainakin suosituimpien kierto-ohjelmien toimin-nan. Tämä aiheuttaa tahojen välille kissa-hiiri -leikin, jossa kumpikin tahoyrittää päästä toisen edelle [WL12]. Leikin vaikutuksia käsittelemme luvussa5.3. Aluksi paneudumme kuitenkin kiertotekniikoihin ja sen jälkeen niitäkäyttäviin kierto-ohjelmiin.

5.1 Kiertotekniikat

Yksinkertaisimpina kiertotekniikkana voidaan pitää esimerkiksi DNS-järjestel-män sensuroinnin kiertämistä käyttämällä IP-osoitteita verkkotunnustensijaan [KR13]. Tämä ei kuitenkaan toimi palvelimilla, joissa yhteen ip-osoitteeseen on sidottu useita eri verkkotunnuksia. Tällöin IP-osoite palauttaamahdollisesti täysin eri verkkosivuston kuin minkä käyttäjä haluaisi.

Toinen helppo tapa DNS-järjestelmän sensuroinnin kiertoon on käyttääesimerkiksi Googlen tarjoamia DNS-palvelimia [Goo17b]. DNS-järjestelmänkaappaukseen tämä tapa auttaa, mutta injektointiin ei [AP15]. Sensori onsaattanut myös suoraan estää Googlen DNS-palveluiden käytön.

Seuraavaksi esittelemme joukon tekniikoita, joilla Internet-sensuuria voikiertää. Aloitamme HTTP- ja DNS-protokollien turvallisemmista versioista.Näiden jälkeen esittelemme erilaisia välityspalvelintoteutuksia. Välityspalveli-mista siirrymme tunneloimaan liikennettä VPN-palveluiden, SSH-protokollan

63

ja sipulireitityksen avulla. Lopuksi esittelemme muutamia tekniikoita, jotkaon luotu ensisijaisesti sensuurin kiertämiseen.

5.1.1 HTTP- ja DNS-protokollien turvallisemmat versiot

HTTP-protokolla ei salaa liikennettä millään tavalla [GT11]. HTTP:n pyyntö-ja vastausviestit lähetetään TCP:n yli selväkielisinä. Esimerkiksi salaamatto-massa WLAN-verkossa olevat muut käyttäjät voivat kuunnella viestiliiken-nettä ja selvittää mitä sivustoja käyttäjä selaa tai mitä hän näille sivustoillesyöttää. Näin ollen HTTP on sopimaton sellaisen tiedon välitykseen, jonkatarvitsee pysyä salattuna. Tällaista tietoa ovat esimerkiksi salasanat, luotto-korttien numerot ja henkilötunnukset. Kuten viime luvussa huomasimme,esimerkiksi Kiinan sensurointijärjestelmä lukee joitain osia selväkielisistäHTTP-viesteistä ja suodattaa käyttäjän nettiliikennettä löydösten perusteella[CMW06].

Vastaukseksi ongelmaan HTTP:n rinnalle on kehitetty HTTPS-protokolla(Hypertext transfer protocol over secure socket layer) [Res00]. HTTP jaHTTPS ovat identtisiä syntaksiltaan, mutta HTTPS-protokollaan on lisättyturvallisuuskerros. Salauksesta vastaa joko SSL-protokolla (Secure SocketsLayer) tai sen uudempi toteutus TLS-protokolla (Transport Layer Security).HTTPS on standardoitu vuonna 2000 ja siitä löytyy RFC-dokumentti nume-rolla 2818 [Res00]. Tässä standardoinnissa HTTPS käyttää TLS-protokollaa.

Sekä SSL että TLS luottavat julkisen avaimen sertifikaattiin todentaes-saan palvelimen identiteetin ja luodessaan salatun yhteyden palvelimen jaasiakasohjelman välille. Julkisen avaimen salaus on salausjärjestelmä, jos-sa käyttäjällä on kaksi salausavainta (salausohjelmalla luotua merkkijonoa)[GT11], salainen avain ja julkinen avain. Salainen avain on vain käyttäjäntiedossa, mutta julkisen avaimen käyttäjä voi jakaa kelle tahansa. Kun jo-ku haluaa lähettää käyttäjälle viestin, hän salaa viestin käyttäjän julkisenavaimella, ja lähettää tämän salatun muodon käyttäjälle. Käyttäjä pystyyomalla salaisella avaimellaan purkamaan tuon salauksen ja lukemaan senjälkeen selkokieliseksi muutetun viestin. Salaaminen onnistuu siis julkisenavaimen avulla, mutta salauksen purkuun tarvitaan aina avainparin salainenavain.

64

Webbipalvelimen sertifikaatti tarjoaa mahdollisuuden todentaa webbi-palvelun identiteetti [GT11]. Sertifikaatteja myöntäjät kaupalliset toimijat.Webbipalvelimen omistaja pyytää toimijaa allekirjoittamaan palvelimen ser-tifikaatin ja maksaa tästä toimijalle. Tämän jälkeen sertifikaattia tarjotaanasiakasohjelmille todisteena siitä, että palvelin on se mikä se sanoo olevansa.Tästä syntyy luottamusketju, jossa kaupallisen toimijan antama sertifikaattitodistaa palvelimen olevan oikea. Sertifikaateilla on myös tietty voimassao-loaika, joten ne pitää uusia tietyin väliajoin. Näin ylläpidetään tietojenoikeellisuutta.

Kuvassa 12 on kuvattu HTTPS-yhteyden muodostaminen [GT11]. En-simmäisenä asiakasohjelma pyytää HTTPS-yhteyden muodostamista pal-velimelta. Samalla asiakasohjelma lähettää palvelimelle tiedon siitä mitäsalausmenetelmiä se tukee. Palvelin valitsee asiakasohjelman salausmenetel-mistä vahvimman sellaisen, mitä se itsekin tukee ja tiedottaa asiakasohjelmaavalinnastaan. Palvelin lähettää asiakasohjelmalle myös sertifikaattitiedoston,joka sisältää palvelimen julkisen salausavaimen. Asiakasohjelma varmistaapalvelimen lähettämän sertifikaatin aitouden. Tämän jälkeen asiakasohjelmavielä salaa satunnaisen luvun käyttäen palvelimen julkista salausavainta jalähettää salatun tiedon palvelimelle. Näin varmistetaan molemminpuoleinenluottamus.

Palvelimen saatua salatun tiedon ja purettuaan sen, luovat sekä palvelinettä asiakasohjelma jaetut salausavaimet symmetriseen salausjärjestelmään[GT11]. Salausavainten lisäksi luodaan viestien autentikointikoodi (MAC,message authentication code). Näiden salausavainten ja autentikointikoodinavulla tietoa voidaan siirtää salatusti päätepisteiden välillä. Viestinvälitykses-sä MAC liitetään aina HTTP-viestin mukaan, jotta siitä saadaan autentikoitu,ja sitten tämä kokonaisuus salataan. Näin viestinvaihdosta saadaan sekäluottamuksellinen että eheä.

Koska HTTPS-protokolla salaa liikenteen, se auttaa kiertämään avainsa-nasuodatusta. Tämä vaatii kuitenkin sen, että tietosisältöä tarjoava palvelinkäyttää HTTPS-protokollaa.

DNS-järjestelmää luotaessa ei otettu huomioon sitä mahdollisuutta, ettäjokin taho haluaisi hyökätä protokollaa vastaan [GT11]. Hyökkääjät ovat kek-sineet tavan DNS-palvelinten välimuistitietojen myrkyttämiseen. Välimuistin

65

Kuva 12: HTTPS-yhteyden muodostus [GT11]

myrkytyksen jälkeen kyseinen DNS-palvelin tarjoaa väärää tietoa kysyjille.Edellisestä luvusta kävi selkeästi ilmi, että usea valtio tietentahtoen käyt-tää DNS-järjestelmää väärin tai injektoi omia viestejään jo olemassa olevanjärjestelmän sisään [FG13, AAH13, CCC+14].

DNSSEC (Domain Name System Security Extensions) on joukko tie-toturvalaajennoksia DNS-protokollaan [GT11]. DNSSEC lisää digitaalisenallekirjoituksen DNS-pyyntöihin käyttäen julkisen avaimen salausta. SalattuaDNS-pyyntöä on paljon vaikeampi väärentää, joten erinäiset injektointiyrityk-set ja DNS-välimuistin myrkytykset muuttuvat hyvin paljon vaikeammiksi,jos eivät mahdottomiksi. DNSSECin nykyinen versio on standardoitu vuonna2005 ja siitä löytyvät dokumentit RFC-numeroilla 4033 [AAL+05a], 4034[AAL+05c] ja 4035 [AAL+05b].

DNSSEC on lisäys DNS-protokollaan, joten se ei korvaa alkuperäistä pro-tokollaa [GT11]. Näin ollen DNSSEC on toteutettava sekä asiakaspäättessä

66

että palvelimella, jotta salauksesta saa kaiken hyödyn irti.Toimiakseen DNSSEC käyttää useita uudentyyppisiä DNS-tietueita [GT11].

Asiakasohjelma kertoo DNSSECin käytöstä DNS-kyselyssään. Jos DNS-kyselyn kohdepalvelin käyttää DNSSECiä, niin DNS-vastauksessa palaute-taan normaalin vastauksen lisäksi RRSIG-tietue (resurssitietueen allekir-joitus). RRSIG-tietue sisältää palautettujen tietueiden digitaalisen allekir-joituksen. Tämä allekirjoitus luodaan siten, että tietueista muodostetaanhajautusarvo, joka sitten salataan autoritäärisen nimipalvelimen salaisellaavaimella. DNS-vastauksessa palautetaan RRSIG-tietueen lisäksi DNSKEY-tietue, joka sisältää autoritäärisen nimipalvelimen julkisen avaimen. Asiakas-ohjelma voi muodostaa DNS-vastauksen normaaleista tietueista hajautusar-von ja salata sen tuolla julkisella avaimella. Lopputuloksen pitäisi vastataRRSIG-tietueesta löytyvää digitaalista allekirjoitusta.

Jottei sensori voi itse luoda salausavaimia ja tarjota niitä oikeiden tilalla,on DNSSEC-järjestelmässä pystyttävä luottamaan autoritäärisen palvelimentarjoamaan julkiseen avaimeen [GT11]. DNSSEC käyttää niin sanottua luot-tamusketjua. Koska DNS-järjestelmä on hierarkkinen, voidaan kysyä ainaylemmältä hierarkian tasolta voidaanko sen lapseen luottaa. Todentaakseenjonkin DNS-palvelimen julkisen avaimen oikeellisuuden asiakasohjelma pyy-tää hierarkian ylemmän tason DNS-palvelimelta DS-tietueen (DesignatedSigner). DNS-vastauksen DS-tietue sisältää hajautusarvon lapsen julkisestaavaimesta. Lisäksi vastaus sisältää DNSSEC-vastauksen muut tiedot, kutenylemmän tason palvelimen DNSKEY- ja RRSIG-tietueet. Asiakasohjelmavarmistaa täten aluksi tuon DNS-vastauksen oikeellisuuden aiemmin kuva-tulla tavalla ja sen jälkeen vertaa DS-tietuetta autoritäärisen palvelimenDNSKEY-tietueeseen.

HTTPS-protokollan tapaan DNSSEC lisää salauskerroksen alkuperäiseenprotokollaan. DNSSEC auttaa DNS-järjestelmään perustuvan sensuroinninkiertämisessä, sillä se varmistaa DNS-vastausten aitouden. Koska DNSSECon tietoturvalaajennos, on sen oltava käytössä molemmissa päätepisteissäennen kuin siitä on hyötyä.

67

5.1.2 Välityspalvelimet

Välityspalvelin on palvelu, esimerkiksi nettisivu, jonka kautta käyttäjä pääseenäkemään jonkin toisen nettisivun tai palvelun [RZP11]. Näin sensuroidunyhteyden käyttäjä pystyy selaamaan sellaisia verkkosivuja, joihin hän eimuuten pääsisi käsiksi. Sensori pystyy mahdollisesti vaikuttamaan siihenyhteyteen, mikä on käyttäjän ja välityspalvelimen välissä, mutta ei siihenyhteyteen, joka on välityspalvelimen ja lopullisen kohdesivun välissä.

Alkujaan verkon välityspalvelimet eli välimuistit luotiin sitä varten, ettävoitiin vähentää turhaa verkkoliikennettä solmujen välillä vähentäen näinpullonkaulojen syntymistä [KR13]. Tällöin välityspalvelinten pääasiallinentehtävä oli pitää välimuistissa sivuja, joita käyttäjät lukivat usein. Välimuis-tit pystyivät siis tarjoilemaan verkkosivun paljon nopeammin kuin mitä seolisi ollut suoraan oikealta palvelimelta hakiessa. Välimuistit toimivat sa-malla sekä palvelimina että asiakkaina. Kommunikointi eri solmujen välillähoidettiin tässä tapauksessa TCP-yhteyksillä ja HTTP-pyynnöillä. Nykyäänjopa mobiiliyhteydet ovat niin nopeita, että välimuistipalvelimien käyttöniiden alkuperäiseen käyttötarkoitukseen alkaa olla varsin harvinaista. Ny-kyään välimuistia käytetäänkin juuri sensuurin kiertämiseen sekä joidenkinmuuttuneiden sivujen aiempien versioiden lukemiseen.

Yksinkertainen välityspalvelin on palvelinpuolen ohjelma, joka toimii net-tilomakkeen kautta [RZP11]. Käyttäjä syöttää kohdesivun osoitteen osoite-palkin sijasta nettisivulla olevaan tekstikenttään ja sivusto hakee kohdesivunkäyttäjän näkyville. Hakutuloksena oleva nettisivu näytetään välityspalve-linsivuston sisällä kehystekniikan avulla. Tämä yhdistettynä siihen, ettävälityspalvelinsivusto toimii palvelinpuolen ohjelmana, vaikeuttaa sensorintyötä selvittää mitä tietoa käyttäjä on hakemassa.

Lähes kaikki yksinkertaiset välityspalvelimet ylläpitävät palveluaan mai-nostulojen turvin [RZP11]. Näin ollen palvelun käyttäjä joutuu katsomaanmainoksia selatessaan välityspalvelinten kautta haluamiaan verkkosivuja. Jot-kin välityspalvelut mainostavat itseään esimerkiksi mahdollisuutena päästäYoutubeen sensuroinnin alaisesta maasta.

Kun käyttäjä haluaa reitittää kaiken nettiselaimen liikenteen välityspalve-limen kautta, yksinkertainen välityspalvelin ei tähän enää riitä [RZP11]. Täl-

68

löin apuun tulevat HTTP- ja SOCKS-välityspalvelimet. HTTP-välityspalvelintoimii sovelluskerroksella HTTP-protokollan päällä [FGM+99]. SOCKS5-välityspalvelin toimii kuljetuskerroksen ja sovelluskerroksen välissä, ja sekäyttää TCP- ja UDP-protokollia [LGL+96]. SOCKS5 on määritetty RFC-dokumentissa 1928.

Sekä HTTP että SOCKS5-välityspalvelinta voi käyttää nettiselaimenkautta [RZP11]. Käyttäjä kertoo nettiselaimelle mistä IP-osoitteesta ja por-tista välityspalvelin löytyy. Tämän jälkeen nettiselain reitittää kaiken lii-kenteensä tuon välityspalvelimen kautta. HTTP-välityspalvelimella voi siir-tää ainoastaan HTTP-liikenettä, mutta SOCKS5-välityspalvelin välittäämuutakin liikennettä. SOCKS5-välityspalvelin tukee todentamista, jolloinvälityspalvelimen käyttöön tarvitaan tunnukset [LGL+96].

Välityspalvelimet auttavat esimerkiksi pakettisuodatuksen ja DNS-järjes-telmään perustuvan sensuroinnin kiertämisessä sillä varsinainen tiedonhakutapahtuu sensorin ulottumattomissa. Avainsanasuodatukseen välityspalveli-met eivät suoraan auta. Esimerkiksi suojaamaton HTTP-liikenne käyttäjänja välityspalvelimen välillä herättää helposti sensorin huomion.

5.1.3 Liikenteen tunnelointi ja sipulireititys

Jos taas käyttäjä haluaa reitittää kaiken päätelaitteensa verkkoliikenteenpalveluntarjoajan kautta, eivät välityspalvelimet tähän enää sovellu [RZP11].VPN ja sipulireititys ovat tekniikoita, joiden avulla käyttäjä voi tunneloidaverkkoliikenteen omalta päätelaitteeltaan aina palveluntarjoajan palvelimelleasti [KR13, RSG98]. Lisäksi esittelemme SSH:n, jonka avulla käyttäjä voitunneloida sovelluskerroksen protokollia [GT11].

VPN (Virtual Private Network) on virtuaalinen erillisverkko [KR13].Sitä käytetään laajalti yritysmaailmassa yhdistämään eri alueilla sijaitse-via sisäverkkoalueita yhdeksi isommaksi sisäverkoksi. Yksityisen verkon ra-kentaminen eri konttoreiden välille, ilman VPN:n kaltaista ratkaisua, olisihyvin kallista. Yliopistoissa tutkijat ja opiskelijat käyttävät yliopiston VPN-yhteyttä päästäkseen käsiksi niihin palveluihin, joiden käyttö on sallittu vainyliopiston IP-osoiteavaruudesta [Tie17]. Käyttäessään VPN:ää käyttäjän onasennettava asiakasohjelma koneelleen, joten VPN:n käyttäminen on moni-

69

mutkaisempaa kuin välityspalvelinten. VPN-asiakasohjelmia löytyy kuitenkinsekä tietokoneissa toimiville käyttöjärjestelmille (Windows, Linux, Mac OSX) että mobiililaitteille (Android, iPhone).

VPN:ää itsessään ei ole standardoitu, joten monet eri tahot tarjoavatkilpailevia VPN-ratkaisuja [GT11]. Tunnettuja VPN-ratkaisuja ovat esi-merkiksi PPTP (Point to Point Tunneling) ja L2TP (Layer 2 TunnelingProtocol). PPTP-protokolla luo yhteyden käyttäen linkkikerrolla toimivaaPPP-protokollaa (Peer-to-Peer). Tämän jälkeen IP-paketit koteloidaan PPP-pakettien sisälle, jotka sitten salataan käyttäen MPPE-salausta (MicrosoftPoint-to-Point Encryption). L2TP suunniteltiin PPTP-protokollan korvaa-jaksi. L2TP-paketti (otsake+tietosisältö) koteloidaan UDP-pakettiin, jokasitten reititetään verkossa. L2TP-paketeilla pystytään koteloimaan linkki-kerroksen protokollia kuten PPP- ja ethernet-protokollat. L2TP:n kanssakäytetään usein IPsec:iä.

IPsec (IP Security Architecture) on protokollajoukko, joka auttaa lii-kenteen salaamisessa ja sen autentikoinnissa [KR13]. IPseciä käytetäänkinusein nykyaikaisissa VPN-toteutuksissa liikenteen salaamiseen päätepisteidenvälillä. IPsec ei rajoitu vain VPN-toteutuksiin, vaan sitä voidaan käyttäämuissakin yhteyksissä.

IPsec tarjoaa joukon turvallisuusominaisuuksia [KR13]. Näitä ovat esi-merkiksi luottamuksellisuus, lähdepisteen todentaminen, tiedon eheydenylläpitäminen ja toistohyökkäyksen ennaltaehkäisy. IPsecistä on useita RFC-dokumentteja. Kaksi tärkeää RFC-dokumenttia ovat 4301 [KS05] vuodelta2005 ja 6071 [FK11] vuodelta 2011. RFC4301:ssä kuvataan IPsecin arkkiteh-tuuri ja 6071:ssä avataan IPsec-protokollaperhettä yleisemmin [KS05, FK11].

IPseciä käytettäessä normaalit IPv4-paketit enkapsuloidaan IPsec-pake-teiksi, jotka sitten reititetään normaalisti Internetin läpi [KR13]. IPsec-paketin otsakkeista löytyvät myös normaalit IPv4-otsakkeet ja reititin käyt-tääkin näitä reitittäessään paketteja. Reitittimelle IPsec-paketti näyttäänormaalilta IP-paketilta. IPsec-paketti sisältää kuitenkin myös IPsecille tar-koitettuja otsakkeita ja paketin tietosisältö on salattu, joten sitä ei voi lukeatriviaalisti.

IPsec-protokollaperheen tiedonsiirtoprotokollat ovat AH (AuthenticationHeader) ja ESP (Encapsulation Security Payload) [KR13]. Lähettäessään

70

tietoa verkon läpi, lähettäjä valitsee joko AH- tai ESP-protokollan, jollatieto siirretään. AH-protokolla toteuttaa lähdepisteen todentamisen ja tiedoneheyden ylläpidon, mutta ei toteuta luottamuksellisuutta. ESP toteuttaanämä kaikki kolme. VPN:n tapauksessa luottamuksellisuus on tärkeää, jotenESP on siten paljon yleisimmin käytössä kuin AH. Seuraavaksi keskitymmeensisijaisesti ESP-protokollaan.

IPsec-paketit lähetetään aina kahden päätepisteen välillä [KR13]. Ennenkuin varsinaisia paketteja voidaan lähettää, on päätepisteiden luotava loogi-nen yhteys verkkokerroksella. Tätä yhteyttä kutsutaan termillä SA (SecurityAssociation). SA on yksisuuntainen looginen yhteys. Näin ollen jos molem-mat osapuolet haluavat kommunikoida salatusti toisilleen, on luotava toinenSA, jotta molemminpuoleinen liikennöinti onnistuu.

Jotta SA-yhteys säilyisi toiminnallisena, molemmissa päätepisteissä onreititin, joka ylläpitää tietoja SA-yhteydestä [KR13]. Ylläpidettäviin tie-toihin kuuluu SA-yhteyden tunniste ja alku- ja päätepisteen rajapintojenIP-osoitteet. Lisäksi tiedoissa määritetään millaista salausta ja tiedon ehey-den tarkastusta yhteydessä käytetään. Salauksen ja tiedon autentikointiinliittyvät salausavaimet löytyvät myös ylläpidettävistä tiedoista.

Reitittimen lähettäessä tietoa SA-yhteyden yli, se tarkistaa aluksi mitätietoja SA-yhteydestä on määritetty ja kokoaa IPsec-paketin esimerkiksioikeanlaisella salauksella [KR13]. Kohdepään reititin taas osaa purkaa IPsec-paketin salauksen, koska sillä on tieto siitä, mitä asetuksia SA-yhteys käyttää.

IPsecissä on kaksi eri pakettiformaattia [KR13]. Toinen niistä on tun-nelointimuoto ja toinen kuljetusmuoto. Tunnelointimuoto sopii paremminVPN:ään ja on siten muodoista enemmän käytetty.

Kuvassa 13 esitetään ESP-protokollaa käyttävä IPsec-paketti [KR13].Kolmas ja neljäs rivi koostuvat normaalista IP-paketista, joka on koteloituuuden IPsec-paketin sisään. Alkupisteen reititin luo tämän paketin aloit-tamalla paketoinnin lisäämällä alkuperäiseen IP-pakettiin ESP-lopukkeen(viides rivi). Tämän jälkeen reititin salaa rivit 3-5 käyttäen SA-yhteydenmääräämää salausalgoritmiä. Salauksen jälkeen reititin lisää ESP-otsakkeen(toinen rivi). Viestin autentikointikoodi luodaan SA:n määritysten mukaanriveistä 2-5 ja luotu koodi lisätään ESP MAC -arvoksi kuudennelle rivil-le. Lopuksi reititin luo uuden IP-otsakkeen, joka sisältää kaikki normaalin

71

IPv4-otsakkeen tiedot ja lisää sen paketin alkuun (ensimmäinen rivi).

1. Uusi IP-otsake2. ESP-otsake3. Alkuperäinen IP-otsake4. Alkuperäinen IP-paketin tietosisältö5. ESP-lopuke6. ESP MAC

Kuva 13: IPsec-paketin rakenne [KR13]

ESP-lopuke pitää sisällään esimerkiksi tiedon siitä millaista tietosisältöävarsinainen IP-paketti kuljettaa [KR13]. ESP-otsakkeessa taas säilytetääntietoa siitä, mille SA:lle paketti kuuluu ja mikä on paketin sekvenssinumero.

VPN auttaa usean sensurointitekniikan kiertämisessä. Koska VPN-yhteyssalaa käyttäjän verkkoliikenteen, se auttaa avainsanoihin, pakettisuodatukseenja DNS-järjestelmään perustuvan sensuroinnin kiertämisessä. VPN auttaamyös TCP-yhteyksien kuristamiseen, sillä VPN toimii verkkokerroksella,joten myös TCP-yhteydet ovat sen salauksen piirissä.

Jos jostain syystä ei ole mahdollista käyttää VPN:ää, voi liikennettätunneloida myös SSH-protokollan (Secure Shell) kautta [GT11]. Uusin SSH:nversio on standardoitu RFC-dokumentissa 4251, joka on julkaistu vuonna2006 [YL06].

SSH-protokollaa käytetään ensisijaisesti Linux- ja Unix-maailmassa konei-den etähallintaan [GT11]. SSH-protokolla luottaa julkisen avaimen salaukseenja luo näin ollen salatun yhteyden päätepisteiden välille. SSH:ta käytetäänpohjana myös muissa toteutuksissa kuten tiedostojen siirrossa joko SCP:llä(Secure Copy Protocol) tai SFTP:llä (Secure File-Transfer Protocol). Juuri-kin tunnelointimahdollisuus ja SSH-protokollan päälle rakentaminen luovatmahdollisuuden käyttää SSH:ta myös VPN:n tapaan liikenteen tunnelointiin.SSH on sovelluskerroksella toimiva protokolla, joten sen läpi ei voi tunneloidaalempien kerroksien paketteja. SSH-yhteyden muodostamiseen päätelaitteellaon oltava SSH-asiakasohjelma ja kohdepalvelimella SSH-palvelinohjelmisto.

SSH-protokolla auttaa esimerkiksi paketti- ja avainsanasuodatukseen. Tä-mä ainakin silloin jos kyseistä SSH-palvelinta ei ole estetty sensorin puolelta.

72

Sipulireititys on reititysteknologia, jossa käyttäjän tieto kulkee niin sa-nottujen sipulireitittimien kautta alkupisteestä päätepisteeseen [RSG98]. Si-pulireititysverkko eli piiri pitää tiedon anonyyminä sen kulkiessa verkon läpi.Anonyymi yhteys piilottaa tiedon siitä, kuka on yhteydessä keneen ja mistäsyystä. Tieto pysyy salassa niin yhteyden salakuuntelijoilta kuin mahdolli-silta tietoturvattomiksi joutuneilta sipulireitittimiltä. Tiedon vastaanottajasaa kuitenkin tietää mikä taho tiedon on lähettänyt, joten siten teknologiaei takaa täyttä anonymiteettiä.

Sipuli -nimitys tulee siitä, miten tieto kääritään eri kerroksiin ja kuin-ka kerroksia puretaan tiedon päältä reitityksen edetessä [RSG98]. Sipu-lireititystä ei ole luotu suoraan sensuurin kiertämiseen. Kommunikaatio-osapuolten salaaminen ulkomaailmalta ja sipulireitityksen päälle rakennetunTor-verkon suosio ovat kuitenkin rakentaneet vankan pohjan tämän teknii-kan käytölle sensuroiduissa maissa [Gre10]. Sipulireititystä voidaan käyttääTCP-protokollaan perustuvilla ohjelmilla, kuten nettiselaimilla, ssh:lla japikaviestimillä [DMS04].

Sipulireitittimet ovat kytketty toisiinsa pitkäaikaisilla pistokeyhteyksillä[RSG98]. Käyttäjien anonyymit yhteydet kulkevat näiden pistokeyhteyksienkautta ja yhteyksille määritetään tietty muuttumaton reitti yhteyden ase-tusvaiheessa. Turvalliseksi yhteyden tekee se, että sipulireitittimet pystyvättunnistamaan ainoastaan edellisen ja seuraavan solmun reitillä. Välitettävätieto muuttuu siirtyessään solmulta toiselle, joten sen jäljittäminen pidem-piaikaisesti on vaikeaa.

Piiriin otetaan yhteys välityspalvelinten kautta [RSG98]. Ensimmäinenvälityspalvelin (niin sanottu sovellusvälityspalvelin) järjestää lähetettäväntiedon sekä viestiformaatin sipulireitityksen hyväksymään muotoon. Jokaistatuettua sovellusprotokollaa vastaa sipulireitityksen oma sovellusprotokolla.Saatuaan tiedon oikeaan muotoon sovellusvälityspalvelin ottaa yhteyttä sipu-livälityspalvelimeen, joka määrittää kuljettavan reitin muodostamalla siitäkerroksittaisen salausrakenteen eli sipulin (Kuva 14). Lähetettävän tiedon si-sältämä sipulirakenne ohjataan sisääntulosuppiloon, joka varaa yhden pitkäai-kaisen pistokeyhteyden ensimmäiseen sipulireitittimeen sekä moninkertaistaayhteyden kulkemaan eteenpäin sipulireitityksessä tältä sipulireittimeltä.

Jokainen sipulin kerros määrittää seuraavan sipulireitittimen reitillä

73

Kuva 14: Sipulin rakenne [Mak13]

[RSG98]. Sipulireititin kuorii sipulirakenteesta yhden salauskerroksen pois,tunnistaa seuraavan reitin ja lähettää sipulin seuraavalle sipulireitittimel-le. Viimeinen sipulireititin ohjaa lähetetyn tiedon ulostulosuppiloon, jonkatehtävä on välittää tieto piirin ja vastaanottajan välillä. Mahdollinen vies-tinvaihto taaksepäin tapahtuu käänteisessä järjestyksessä, jolloin jokaisensipulireitittimen kohdalla tiedon päälle lisätään yksi salauskerros.

Sipulireitittimet pitävät kirjaa vastaanotetuista sipulirakenteista siihenasti kun sipulirakenteet vanhenevat [RSG98]. Sipulireitittimet eivät välitäeteenpäin toistona tulevia tai vanhentuneita sipulirakenteita, joten niidenavulla ei voida selvittää tietoa reitistä.

Sipulireititys tapahtuu protokollapinon sovelluskerroksella ja pitkäaikaisis-sa pistokeyhteyksissä liikennöidään normaalin IP-protokollan päällä [RSG98].Sipulireitityksessä on tärkeää, että kuljetettu tieto pysyy oikeassa järjes-tyksessä ja korruptoimattomana. Tästä syystä sipulireitityksessä käytetäänTCP-yhteyksiä. Tunnetuin sipulireititystä käyttävä palvelu on Tor [DMS04].Tor on kehittänyt sipulireititystä turvallisempaan ja anonyymimpään suun-taan. Kerromme Tor-verkosta luvussa 5.2.2.

Sipulireitityksessä emme ota kantaa sensurointitekniikoiden kiertoon, silläTor on vienyt sipulireititystekniikkaa paljon eteenpäin. Otamme Tor-verkkoakäsittelevässä luvussa tarkemmin kantaa sensuurin kiertoon.

74

5.1.4 Muut kiertotavat

Siinä missä välityspalvelimet ja VPN-palvelut ovat arkipäivää myös muussakäytössä, on olemassa tekniikoita pelkästään sensuroinnin kiertoon ja tiedonvälittämiseen salassa [MHS16]. Steganografia eli tiedon piilottaminen onyksi tällainen tekniikkakategoria. Koska nämä tekniikat eivät kuulu tämäntutkielman laajuuteen, emme käsittele niitä tätä alilukua enempää.

Steganografiaan perustuvassa Infranet-ohjelmassa [FBH+02] asiakasoh-jelma vaikuttaa selaavan sensuroimatonta nettisivua normaalisti, mutta oi-keasti se vaihtaa salattua tietoa palvelimen kanssa [MHS16]. Palvelin onvapaaehtoistunut jakamaan sensuroitua materiaalia ja asiakasohjelma käyt-tää palvelimen kanssa kommunikointiin salaista koodikirjaa lähettääkseenpyynnön sensuroidusta sivustostosta. Palvelin palauttaa sensuroidun tiedonupottamalla sen nettisivustolle kuvatiedostoina.

Sensurointia kiertävät niin kutsutut papukaijaohjelmat luovat normaalienverkkoprotokollien kaltaista liikennettä [MHS16]. Tällaisiin ohjelmiin kuuluuesimerkiksi SkypeMorph [MLDG12], joka matkii Skype-protokollaa.

Protokollien sisällä piileskelevät ohjelmat tunneloivat liikennettä käyttäenvarsinaisia protokollia liikennöintiin [MHS16]. Näin ne eroavat papukaija-protokollista, jotka vain matkivat liikennettä. Tämän kiertotavan ohjelmatkäyttävät protokollia luovasti. Esimerkiksi FreeWave-ohjelma [HRBS13] mu-kauttaa liikenteen akustiseksi signaaliksi, jonka se sitten sisällyttää VoIP-protokollaan. SWEET [HZCB12] piilottaa liikenteen sähköpostiviesteihin.SWEETin ja FreeWaven ongelmana on kuitenkin se, että molemmilla onhyvin kapea kaistanleveys, joten niiden kautta tiedon hankkiminen on hyvinhidasta.

CloudTransport [BHS14] tunneloi liikenteen pilvitallennuspalveluidenkautta käyttäen hyväkseen kaupallisia pilvipalveluita [MHS16]. Koska Cloud-Transport käyttää kaupallisia palveluita, maksaa sen käyttö myös itsessään jatämän piirteen vuoksi se ei mahdollisesti sovellu kaikkien maiden käyttäjille.

Verkkotunnusten taakse piiloutuminen on tekniikka, jolla luodaan väli-tyspalvelin välityspalvelinperusteisille kierto-ohjelmille. Näin kierto-ohjelmatvoivat vastustaa IP-osoitteiden estoa [MHS16]. Käytännössä tekniikka toi-mii siten, että kierto-ohjelmia ajetaan verkkopalveluina saman IP-osoitteen

75

alla kuin monia muitakin palveluita. Tällöin kierto-ohjelman IP-osoitteenestäminen aiheuttaa mahdollisesti laajojakin rinnakkaisvahinkoja estäessäänmuiden palveluiden toimimisen. Tekniikassa käytetään hyväksi yleisiä palve-limia kuten Googlen App Engineä [Goo17a], Microsoftin Azure-pilvipalvelua[Mic17] ja CloudFront CDN:ää [Ama17], joissa jokaisessa pyörii hyvin paljonmuita verkko-ohjelmia.

Facet [LSH14] on estettyjen videoiden katsomiseen tarkoitettu ohjel-ma [MHS16]. Facet lataa videot estetyiltä sivustoilta kuten YouTubestaja Vimeosta ja lähettää ne sitten käyttäjälle Skypen kautta merkittävästihuonommalla laadulla.

Lisäksi on olemassa houkutuslintureititykseksi kutsuttu menetelmä, jokavaatii toimiakseen yhteistyötä Internet-yhteyden palveluntarjoajan kans-sa [MHS16]. Tässä tekniikassa palveluntarjoajan on tarkoitus tunnistaa jasiirtää asiakkaan luomaa peiteltyä ja steganografista liikennettä asiakkaanpyytämään osoitteeseen. Tekniikan ongelma on pitkälti se, että Internetiäsensuroivien maiden palveluntarjoajat eivät ole lähtökohtaisesti halukkaitaauttamaan Internet-sensuurin kiertämisessä.

Internet-sensuuria voi toki kiertää myös fyysisiä medioita käyttäen [Fre15a].Erilaiset USB-massamuistit ja muistikortit siirtyvät nopeasti kansalaiseltatoiselle. Pienimpienkin massamuistien kapasiteetti on useita gigatavuja, jotenesimerkiksi tekstimuotoista tietoa niihin mahtuu hyvin paljon. Seuraavassaaliluvussa esiteltäviä kierto-ohjelmia jaetaan myös massamuistien avulla, silläsensorin on hankalampi päästä käsiksi tähän jakotapaan.

Tässä aliluvussa esittelemämme kiertotekniikat auttavat useaan luvussa3 mainittuun sensurointitekniikkaan. Esimerkiksi verkkotunnusten taaksepiiloutuminen auttaa DNS-järjestelmään perustuvassa sensuroinnissa ja pro-tokollan sisään piiloutuvat ohjelmat huijaavat pakettisuodatusta käyttävääsensoria.

5.2 Kierto-ohjelmat perusteellisemmin

Tässä aliluvussa käymme läpi kolme Internet-sensuurin kiertämiseen tarkoi-tettua ohjelmaa. Nämä ohjelmat ovat Psiphon, Tor ja Covertcast.

Tor luotiin ensisijaisesti anonyymiä verkkoselaamista varten, mutta ny-

76

kyään sitä kehitetään myös Internet-sensuurin kiertämistä silmällä pitäen[DM06]. Psiphon on VPN:ään ja SSH-protokollaan luottava kierto-ohjelma[Psi11]. CovertCast siirtää tietoa sensuroiduilta sivuilta live-suoratoistopalve-luiden avulla [MHS16].

5.2.1 Psiphon

Psiphon 3 Circumvention System (myöhemmin pelkkä Psiphon) on VPN-yhteyttä ja SSH-tunnelointia käyttävä Internet-sensuurin kierto-ohjelma[Psi11]. Psiphon reitittää käyttäjän kaiken liikenteen omien palvelintensakautta, jotka sijaitsevat sensurointialueen ulkopuolella. Psiphonin asiakasoh-jelma toimii tietokoneella Windows-käyttöjärjestelmässä ja mobiililaitteissa,joissa on Android-käyttöjärjestelmä. Psiphon 3 on ohjelman kolmas versio.Aiemmat versiot ovat pohjautuneet välityspalvelimiin eikä käyttäjän oletällöin tarvinnut ladata koneelleen asiakasohjelmaa.

Psiphonin asiakasohjelma ei vaadi asennusta ja sen voi ladata miltä ta-hansa sivustolta, tiedostonjakopalveluista tai esimerkiksi jakaa usb-tikulla.Asiakasohjelman mukana tulee joukko tiedettyjä Psiphon-palvelinten osoittei-ta, joiden kautta käyttäjän verkkoliikenne reititetään. Ajan kuluessa asiakas-ohjelma löytää uusia palvelimia sensorin estämien tilalle. Psiphon kontrolloisitä, kuinka monta palvelinta yksittäinen asiakasohjelma pystyy kerrallalöytämään. Näin estetään se, ettei sensori pysty sensuroimaan kerralla suurtamäärää Psiphonin palvelimia.

Psiphonin asiakasohjelman voi tietyillä ehdoilla brändätä omanlaisekseen.Asiakasohjelmaan saa digitaalisen allekirjoituksen ohjelman oikeudellisuudentodentamisen helpottamiseksi. Asiakasohjelma pystyy myös todentamaanpalvelinten oikeudellisuuden palvelinsertifikaattien avulla.

Psiphonin asiakasohjelma osaa vaihtaa liikennöintiprotokollaa riippuensiitä, onko jokin tietty protokolla estetty. Ohjelma voi siis vaihtaa esimerkiksiVPN-yhteyden SSH-yhteyteen. Psiphonin liikenteen salaus ei tarjoa anony-miteettiä eikä turvaa hyökkäyksiltä, jotka käyttävät hyväkseen liikenteenanalysointia. Psiphon ei siis piilota tietoa siitä, että käyttäjä käyttää sitä.

Kuvassa 15 esitetään Psiphonin rakenne. Seuraavaksi käymme tarkemminläpi Psiphonin osia.

77

Kuva 15: Psiphon-järjestelmän rakenne [Psi11]

Kuvassa 15 vasemmalla alakulmassa sijaitsee käyttäjän tietokone taimobiililaite, johon on ladattu Psiphon 3 asiakasohjelma. Ohjelma määrittääautomaattisesti verkkoasetukset niin, että yhteyden ollessa päällä käyttäjänverkkoliikenne reititetään Psiphonin tiedetyn palvelinjoukon kautta.

Jokaisella Psiphonin asiakasohjelmalla on Client ID -arvo, joka määrittäämitä palvelinjoukkoja kyseiselle asiakasohjelmalle näytetään. Asiakasohjel-man koontiversio määrittää sen, minkä Client ID -arvon ohjelma saa. Näinesimerkiksi eri lähteistä jaettaville asiakasohjelmille tuodaan eri palvelinjou-kot näkyville.

Palvelinjoukko säilytetään asiakasohjelmassa. Asiakasohjelma järjestääpalvelinjoukon rivit sen mukaan, onko yhteys toimiva vai ei. Toimivat palve-limet pidetään listan ylimpänä ja toimimattomat alimpana.

Jokainen Psiphonin palvelin (kuvassa 15 keskirivissä) sisältää kaksi eri

78

osaa. Ensimmäinen osa on palvelin, joka hoitaa päivitykset ja palvelin-joukkojen löytämisen. Toinen osa pitää huolta yhteyksien tunneloimisestaesimerkiksi VPN-palvelimen läpi.

Pääasiallisena tunnelointiprotokollana Psiphon käyttää VPN:ää. Vaih-toehtoina VPN:lle ovat SSH-tunnelointi ja SOCKS-välityspalvelin. SSH jaSOCKS eivät tunneloi kaikkea koneen verkkoliikennettä, vaan ainoastaanerikseen konfiguroitujen ohjelmien liikenteen.

Psiphonia luotaessa sen kehittäjät vertailivat monia eri VPN-tekniikoitaja valitsivat lopulta L2TP/IPSecin PSK:lla. Kriteereinä valinnassa pidettiinmuun muassa seuraavia asioita: Kyseisen protokollan on selvittävä NAT-tekniikasta, sillä käyttäjä voi olla NAT-tekniikalla toteutetun yhteydenpäässä. VPN-protokollan on toimittava valituilla käyttöjärjestelmillä ja pää-telaitteilla. VPN-protokollan on oltava suojattu avainsanaperusteista sen-surointia vastaan. Lisäksi palvelimen autentikoinnin on oltava luotettavasilloinkin, kun asiakasohjelmaa jaetaan erilaisilla tavoilla ja asiakasohjelmanautentikointitunnukset sijaitsevat ohjelmassa itsessään.

Kun asiakasohjelma yhdistää palvelimeen, se käyttää autentikointiin pal-velimen julkista avainta. Palvelin tarkistaa kättelyvaiheessa muun muassaasiakasohjelman Client ID -arvon ja mistä maasta käyttäjä on yhdistämässä.Kättely hoidetaan HTTPS:n yli. Kättelyn lopuksi palvelin lähettää asiakas-ohjelmalle uuden PSK-arvon, jolla asiakasohjelma voi aloittaa VPN-yhteydentodentamisen.

Psiphonin taustapalvelin (kuvassa 15 vasemmalla ylhäällä) toimii keskitet-tynä konfigurointipalvelimena, joka laittaa asiakasohjelmien eri koontiversiotkiertoon, määrittää palvelinten asetukset kuntoon ja manageroi palvelin-ten löytöprosessia. Taustapalvelin käyttää apunaan tietokantaa (kuvassa 15oikealla ylhäällä). Tietokannassa säilytetään tietoa palvelimista ja niidennimistä, mahdollisista sponsorikonfiguraatioista, ja palvelinten löytöaikatau-luista.

Kehittäjät ovat ottaneet huomioon sen tosiasian, että sensorilla saattaaolla täysi kontrolli verkkoyhteyteen käyttäjän ja Psiphonin palvelinten välissä.Tämän vuoksi kehittäjät ovat valinneet kolme päästrategiaa palvelintenlöytöprosessin tueksi.

Ensimmäinen strategia on aiemmin kuvattu asiakasohjelman koontiver-

79

sioiden levittäminen eri kanavien kautta ja tähän liittyvät eri palvelinjoukoteri koontiversioille. Jotta sensori saisi tietoonsa eri palvelinjoukkoja, senolisi selvitettävä useampia levityskanavia ja haettava asiakasohjelma niidenkautta. Silloinkaan palvelimet eivät olisi selkokielisinä tarjolla.

Toinen strategia on päivämääräperusteiset julkaisut, joissa palvelintenjulkaisua asiakasohjelmien löydettäväksi säädellään aloitus- ja päättymis-päivämäärillä. Aloituspäivämäärän tarkoitus on myöhästyttää löytämistäja päättymispäivämäärän päättää löytämisprosessi palvelimen osalta. Kunasiakasohjelman uusi koontiversio julkaistaan, sen kautta löydetään uusiapalvelimia. Näiden palvelinten löytämisen aloitus- ja päättymispäivämäärätovat tarkoituksella lähellä toisiaan, jotta niiden joutuminen sensorin tietoonolisi mahdollisimman haastavaa. Asiakasohjelman vanhetessa päivämääräpe-rusteinen löytymiskierto pitenee, jotta se ei syö palvelimen resursseja liikaa.Lyhyet löytymiskierrot auttavat myös palvelimen resurssien kanssa. Jos jokinjulkaisukanava vaarantuu, se saadaan helposti suljettua.

Kolmas ja viimeinen päästrategia palvelinten löytöprosessin tueksi oneri palvelinten jakaminen asiakasohjelmalle asiakkaan IP-osoitteen mukaan.Jos sensori haluaa selvittää mahdollisimman monta palvelinta, sen on ope-roitava useasta eri IP-osoitteesta. Psiphonin tapauksessa IP-osoitteissa kes-kitytään kahteen viimeiseen lukuun, eli jos koko IP-soite on A.B.C.D, niintässä tapauksessa otetaan käsittelyyn luvut C ja D. Nämä luvut muutetaanhajautusarvoksi, jonka avulla sitten jaetaan käytettävät palvelimet.

Koska Psiphon käyttää sekä VPN-yhteyttä että SOCKS- ja SSH-protokol-lia hyväkseen, sen sensuuritekniikoiden kierto on samanlaista taustaprotokol-liinsa verrattuna. Kierrettäviin sensurointitekniikoihin lukeutuvat avainsana-ja pakettisuodatus, DNS-järjestelmän sensurointi ja TCP-yhteyden häiriköin-ti.

5.2.2 Tor

Tor on toisen sukupolven sipulireititysteknologia, joka toimii sovelluskerrok-sessa ja on niin sanottu olemassa olevan verkon päälle rakennettu verkko(overlay network) [DMS04]. Jokainen Tor-verkon sipulireititin toimii nor-maalina käyttäjätason prosessina ilman erityisoikeuksia. Sipulireitin pitää

80

yllä TLS-yhteyttä toisiin sipulireitittimiin. Käyttäjät käyttävät Tor-verkkoaasiakasohjelmien eli sipulivälityspalvelinten kautta. Asiakasohjelma vastaahakemistojen hausta, uusien piiriyhteyksien perustamisesta ja hoitaa TCP-yhteydet käyttäjän ohjelmilta Tor-verkkoon. Tor-asiakasohjelman saa Win-dowsille, Linuxille ja Applen OS X:lle [Tor17a]. Lisäksi asiakasohjelmasta onversio myös Androidille.

Tor on parantanut alkuperäistä sipulireititystä ja tehnyt siitä helpostilähestyttävän teknologian [DMS04]. Alkuperäinen sipulireititys ei koskaanottanut tuulta alleen, vaikka siitä nopeasti luotiinkin laaja-alainen verkko.Julkisesti saatavilla oli pitkään ainoastaan yksi hauras prototyyppiverkko,jota ajettiin yhdellä koneella.

Tor-verkossa sipulireitittimet ovat asynkronisia eli ei-reaaliaikaisia jalöyhästi hajautettuja [DMS04]. Tor-verkon sipulireitittimet tarjoavat useitaparannuksia alkuperäiseen sipulireititykseen verrattuna.

Ensimmäinen parannus on täydellinen salaus eteenpäinreitityksessä [DMS04].Alkuperäisessä sipulireitityksessä huomattiin puutteena muun muassa se, ettäyksittäinen kaapattu solmu pystyi nauhoittamaan liikennettä. Myöhemminsamainen solmu pystyi pakottamaan muut reitityksen solmut purkamaannauhoitettua liikennettä. Tor ei käytä alkuperäistä sipulirakennetta, jossayksittäinen monikerroksinen salausrakenne siirtyy reitittimeltä toiselle. Torkäyttää teleskooppista polunrakennusmallia, jossa alkupiste neuvottelee is-tuntoavaimet jokaisen peräkkäisen solmun kanssa erikseen. Näin ollen kunistuntoavaimet on tuhottu, peräkkäiset kaapatut solmut eivät pysty pur-kamaan vanhaa liikennettä. Piirien rakentaminen on myös luotettavampaa,koska alkupiste tietää milloin jokin hyppy epäonistuu ja voi tällöin yrittäähypätä toiselle solmulle.

Toinen parannus on Tor-verkon tapa erottaa protokollien siistiminenanonymiteetistä [DMS04]. Alkuperäisessä sipulireitityksessä oli oltava sovel-lusvälityspalvelin jokaista tuettua sovellusprotokollaa varten. Tor sen sijaankäyttää SOCKS-välityspalvelinprotokollaa, joka on hyvin laajalti käytössä.SOCKS-protokollan kanssa Tor pystyy tukea useimpia TCP-protokollaanperustuvia ohjelmia ilman muutoksia. Lisäksi Tor luottaa yksityisyydensuojaa edistävien sovellustason välityspalvelimien suodatusominaisuuksiinyrittämättä jäljentää niitä itse.

81

Tor ei toteuta ainakaan ensimmäisessä versiossaan alkuperäisessä sipuli-reitityksessä olleita toiminnallisuuksia, kuten liikenteen muotoilua, sekoitta-mista tai täyttämistä [DMS04]. Tutkijat ovat todenneet etteivät nämä toi-minnallisuudet ole olleet sipulireitityksessä käytännöllisiä tai taloudellisestikannattavia.

Toisin kuin alkuperäisessä sipulireitityksessä, Tor-verkon toteutuksessauseampi TCP-virta voi jakaa yhden piirin [DMS04]. Näin Tor-protokollaparantaa verkkojen tehokkuutta ja anonymiteettiä. Torin piiritopologia salliiliikenteen poistua piirin keskeltä eikä ainoastaan piirin viimeisestä solmusta.Tämä auttaa esimerkiksi tapauksissa, joissa sensori tutkii viimeisen solmunjälkeistä liikennettä.

Aiemmat anonymiteettiohjelmat eivät ole ottaneet huomioon liikenteenpullonkauloja, mistä saattaa aiheutua ongelmia [DMS04]. Tor-verkon ha-jautettu ruuhkanhallinta käyttää päästä päähän ACK-viestejä ylläpitääk-seen anonymiteettiä. Samalla se antaa reunasolmujen tunnistaa mahdollisenruuhkan tai tulvimisen, ja antaa niiden näin ollen lähettää väliaikaisestivähemmän tietoa piirin sisälle.

Tor-verkossa tietyt enemmän luotetut solmut toimivat hakemistopal-veluina, jotka jakavat muun muassa tilatietoja [DMS04]. Alkuperäinen si-pulireititysprotokolla jakoi tilatiedon levittämällä sen verkkoon tulvimalla.Tor-verkon hakemistopalvelusolmut tarjoavat allekirjoitettuja hakemistoja,jotka kuvaavat tunnettuja sipulireitittimiä ja niiden tilatietoa. Käyttäjilletieto jaetaan käyttäen HTTP-protokollaa.

Tor-verkko suo vaihtelevat poistumiskäytännöt ja tarjoaa näihin joh-donmukaisen mekaniikan, jota noudattaa [DMS04]. Eri solmut voivat siismainostaa käytäntöään siitä mihin verkkotunnuksiin ja portteihin ne ottavatyhteyttä. Tor-verkko tarkistaa tiedon eheyden ennen kuin tieto päästetäänpiiristä ulos.

Tor-verkkossa vastaanottajan anonymiteetti suojataan sisäisen mekanis-min avulla [DMS04]. Mekanismi käyttää sijainniltaan suojattuja palvelimia.Asiakasohjelmat neuvottelevat tapaamispaikat, joissa ne ottavat yhteyttänäihin palvelimiin.

Kuvassa 16 näemme miten Tor käytännössä toimii [Tor17b]. Ensimmäi-sessä vaiheessa käyttäjän Tor-asiakasohjelma hakee listan Tor-solmuista hake-

82

mistopalvelusta. Toisessa vaiheessa Tor-asiakasohjelma valitsee satunnaisenreitin kohdepalvelimelle käyttäen kolmea eri Tor-solmua reititykseen. Käyt-täjän verkkoliikenne reititetään näiden solmujen kautta kohdepalvelimelle.Yhtenäinen nuoli kuvaa salattua yhteyttä ja katkonainen nuoli salaamatontayhteyttä. Näin ollen vain viimeiseltä Tor-solmulta kohdepalvelimelle oleva yh-teys on salaamaton. Viimeinen Tor-solmu ei kuitenkaan tiedä, kuka käyttäjäon ja missä hän sijaitsee, joten anonyymiys toteutuu.

Kuva 16: Tor-verkon toiminta [Tor17b]

Kolmas vaihe kuvaa sitä, kun käyttäjä haluaa myöhemmin ottaa yhtey-den jollekin toiselle sivustolle [Tor17b]. Tällöin Tor-asiakasohjelma reitittääverkkoliikenteen taas Tor-verkon läpi, mutta tällä kertaa liikenne käyttää eriTor-solmuja kuin viimeksi.

Tor-verkkoa ei kehitetty alkujaan sensuurin kiertämiseen, mutta Tor-verkon kehittäjät huomasivat Tor-verkkoa käytettävän myös siihen [DM06].Tämän vuoksi kehittäjät ovat ottaneet Tor-verkkoa kehittäessään huomioonmyös sensuurin kiertämisen.

83

Koska Tor salaa käyttäjän liikenteen, se auttaa pitkälti samojen sen-surointitapojen kierrossa kuin VPN. Nämä tavat ovat avainsanoihin, pa-kettisuodatukseen ja DNS-järjestelmään perustuva sensurointi. Koska Torei kuitenkaan toimi VPN:n tavoin verkkokerroksella vaan se luottaa TCP-yhteyksiin, TCP-yhteyden häiriköinti voi olla sille ongelmallista. Toisin kuinVPN, Tor anonymisoi käyttäjän sijainnin. Tämä on hyvin tärkeää sellaistenmaiden kansalaisille, joiden valtio vainoaa sensuroinnin kiertäjiä.

5.2.3 CovertCast

CovertCast on live-suoratoistoa apuna käyttävä Internet-sensuurin kiertämi-seen tarkoitettu ohjelma [MHS16]. CovertCast jakaa digitaalista sisältöä ku-ten uutissivustoja kuvasarjoiksi koodattuina suosittujen live-suoratoistopalve-lujen kuten Youtuben kautta. CovertCast on suunniteltu siten, että se voikäyttää mitä tahansa live-suoratoistopalvelua. Youtube on valittu siitä syystä,että se käyttää oletuksena HTTPS-protokollaa kaikissa suoratoistopalveluis-saan.

CovertCast koostuu palvelimesta ja asiakasohjelmasta [MHS16]. Palvelinkoostaa live-suoratoistolähetyksen valitusta live-suoratoistopalvelusta. Asia-kasohjelma on välityspalvelin, joka tuo sisällön käyttäjälle. Käyttäjä asentaaCovertCast-asiakasohjelman koneelleen. Ohjelma toimii normaalin välityspal-velimen tapaan eli käyttäjä käyttää sitä nettiselaimen kautta. CovertCastinasiakasohjelma toimii Windowsissa ja palvelinohjelmisto Linuxissa [Cov17].

CovertCastin palvelin sijaitsee sensuroidun alueen ulkopuolella ja luo live-suoratoistolähetyksiä sivuista [MHS16]. Jokaista palveltua sivustoa kohdenpalvelin käy sivuston sivu kerrallaan läpi ja muodostaa sivuista kuvasarjo-ja live-lähetystä varten. CovertCast käyttää live-suoratoistopalveluissa erikäyttäjäprofiileja eri sivustojen sisällön jakamiseen. Näin ollen yksi käyttäjä-profiili eli kanava vastaa yhdestä sivustosta. Live-suoratoistopalvelu toimiinäin ollen tunnelina sensuroidun alueen sisälle.

CovertCastin asiakasohjelma sisältää paikallisen välityspalvelimen ja koo-dimoduulin [MHS16]. Koodimoduuli lataa ja demoduloi kuvat live-suoratois-tosta takaisin verkkosisällöksi. CovertCastin asiakasohjelma ei kommunikoimissään vaiheessa CovertCast-palvelimen kanssa. Asiakasohjelma ainoastaan

84

hakee ja demoduloi live-suoratoistopalvelusta saatavan sisällön käyttäjännäkyville.

CovertCastin asiakasohjelmaa jaetaan ensisijaisesti tiedostonjakopalve-luissa ja sosiaalisessa mediassa [MHS16]. Käyttäjän on asennettava ohjelmaennen sen käyttöönottoa. Live-suoratoistokanavien osoitteet jaetaan nor-maalien nettisivustojen sijaan ulkopuolisten kanavien kautta. Käyttäjä voiesimerkiksi kysyä osoitteita CovertCast-palveluntarjoajalta tai palvelua käyt-täviltä ystäviltään.

CovertCast sopii kahteen aiemmin mainittuun kiertotekniikkakatego-riaan [MHS16]. Sitä käytetään kuin välityspalvelinta ja käyttäessään live-suoratoistopalveluita, se kuuluu protokollien sisällä piileskelevien ohjelmiin.CovertCastin levitysmalli antaa sen skaalautua kuitenkin paremmin kuinesimerkiksi FreeWaren malli, jossa kiertopalvelinten kaista- ja laskentakulutkasvavat lineaarisesti käyttäjämäärän kasvaessa.

Yleisimmät live-suoratoistopalvelut pystyvät palvelemaan ison määränasiakkaita, jotka katsovat samaa live-suoratoistolähetystä [MHS16]. Tämänvuoksi CovertCast-palvelimen ei tarvitse varata resursseja live-suoratoistoon,vaan se pystyy keskittymään sivustojen läpikäymiseen ja niistä live-suoratoisto-videoiden tekemiseen. Tästä syystä se on myös paremmassa turvassa palvelu-nestohyökkäyksiltä. FreeWare taas on helpommin palveluestohyökkäyksenulottuvilla arkkitehtuurinsa vuoksi. CovertCast eroaa aiemmin esitellystäFacetista siinä, että CovertCastin kautta voi katsoa myös normaaleja nettisi-vuja eikä pelkästään videosisältöä.

CovertCastin kehittäjät lähtevät siitä oletuksesta, että sensori ei ak-tiivisesti suodata kaikkea salattua nettiliikennettä, tiettyjä protokollia taisuosittuja live-suoratoistopalveluita [MHS16]. Lisäksi he olettavat, että live-suoratoistopalvelut ovat neutraaleja osapuolia. Näin ollen ne eivät tee yh-teistyötä CovertCastin kanssa, mutta eivät myöskään aktiivisesti yritä estääCovertCastin toimintaa.

Kuvassa 17 esitetään tarkemmin, miten sivusto siirtyy CovertCastin kaut-ta loppukäyttäjälle [MHS16]. CovertCastin palvelin koostuu kahdesta osasta.Ensimmäinen osa hoitaa verkkosivujen läpikäynnin ja niiden lataamisen(Kuvan 17 ylälaita). CovertCast osaa ladata sivustolta kaiken sisällön mu-kaanlukien sen, mikä haetaan käyttäen JavaScriptiä. Kun sivuston DOM-puu

85

on saatu haettua, se lähetetään palvelimen toiseen osaan. Tämä toinen osamuuttaa DOM-puun kuviksi.

Kuva 17: CovertCast-järjestelmän toiminta [MHS16]

Live-suoratoistopalvelut eivät lähetä videota sellaisenaan loppukäyttäjälle,vaan välissä tapahtuu prosessointia ja mahdollisesti myös videoformaatinvaihto [MHS16]. Tästä johtuen CovertCast ei lähetä sivustoa sellaisenaanpalveluiden läpi, vaan koodaa sen 8x8 pikselin lohkoiksi, joissa jokaisellapikselillä on oma väriarvonsa. Palvelut voivat muuttaa videon värisävyjähieman, mutta tämä on otettu CovertCastin toteutuksessa huomioon. Lisäksipalvelut saattavat leikata videon reunoja, joten CovertCastin moduloimatkuvat sisältävät paksut mustat reunat.

CovertCast päivittää live-suoratoistopalveluun lähetettävän kuvan kak-si kertaa sekunnissa [MHS16]. Kun uusia kuvia ei ole lähetettävänä, Co-vertCastin palvelin lähettää valkoisia kuvia ja ohjeistaa palvelimen toistapuolta lataamaan seuraavan sivun. CovertCast käyttää kuvien lähettämi-seen Adoben Real Time Messasing -protokollaa (RTMP) tai sen salattuaversiota RTMPS:ää. Youtube ei käytä RTMP:tä vaan omaa protokollaansa.CovertCast on varautunut myös tähän. Kuvan 17 oikeassa laidassa näkyy,kuinka live-suoratoistopalvelu tunneloi väripikseleiksi muutetun nettisivus-ton CovertCastin palvelimelta sensurointialueen sisälle aina loppukäyttäjänasentamaan asiakasohjelmaan asti.

86

Kuvan 17 alalaidassa näkyvä CovertCastin asiakasohjelma käyttäytyykuin normaali live-suoratoistoa katsova käyttäjä [MHS16]. Asiakasohjelmatarkkailee live-suoratoistoa herkeämättä ja lukee sieltä tulevaa informaatiota.Asiakasohjelma on jaettu palvelimen tapaan kahteen osaan. Esimmäinen osakommunikoi ruudunkaappaajan kanssa, joka lukee live-suoratoistopalvelunvideosisältöä palvelun oman käyttöliittymän kautta. Asiakasohjelma lukeevideosisällöstä kuvan kerrallaan ja demoduloi sen metatiedon. Jos kuva onseuraava odotettu kuva, se ohjaa kuvan asiakasohjelman toiselle osalle. Joskuva taas on sama kuin edellinen tai valkoinen, asiakasohjelma ei huomioikuvaa. Asiakasohjelman toinen osa demoduloi kuvan lopullisesti ja lähettääraakatiedon välityspalvelinosalle. Asiakasohjelman kahtiajako auttaa siinä,että toinen osa voi seurata live-suoratoistoa herkeämättä ja samalla toinenosa saa demoduloida hidastumatta. Asiakasohjelma sisältää yksinkertaisenHTTP/1.1-välityspalvelimen. CovertCast tukee myös HTTP2 SSL/TLS -välityspalvelimia, mutta yleiset nettiselaimet eivät niitä vielä täysin sujuvastitue. Kun käyttäjä on asentanut CovertCastin asiakasohjelman ja muut-tanut välityspalvelinasetuksensa nettiselaimestaan, CovertCast näyttäytyykäyttäjälle HTML-sivuna. Tähän HTML-sivuun on upotettu videosoitin.Videosoittimen avulla käyttäjä pystyy lukemaan sensuroituja nettisivustoja.

CovertCastin kehittäjät myöntävät palvelussa olevan myös muutamiaongelmia [MHS16]. Yksi näistä ongelmista on CovertCastin pitkät latausajatsivustoille. Tämä johtuu siitä, että CovertCast varmistaa suoratoistopalve-lun toistavan kuvat ilman näkyviä artefakteja. Toinen ongelma on se, ettäCovertCast on vielä prototyyppivaiheessa ja sen tuottama sisältö on niukkaa.Kolmas ongelma on sisällön mahdollinen linkittyminen toiseen sisältöön, jotaei olla sisällytetty CovertCastin viestisisältöön.

CovertCast on luotu kierto-ohjelmaksi, joten se auttaa monen eri sensu-rointitekniikan kanssa. Koska sivustot siirretään live-suoratoistopalvelujenkautta, on sensorin estettävä kyseinen suoratoistopalvelu tai HTTPS-protokol-la, jotta CovertCast vammautuu. Sensuroidun sivuston tapauksessa Co-vertCast auttaa ainakin avainsana- ja pakettisuodatukseen ja DNS-järjestel-mään perustuvaan sensurointiin.

87

5.3 Kiertotekniikat kansalaisten käytössä ja valtioiden suh-

tautuminen niihin

Jotta kierto-ohjelmista olisi hyötyä, on sensuroitujen maiden kansalaistentiedettävä niistä ja osattava ottaa ne käyttöön. Kiinan ja Iranin kansalaisetovat käyttäneet ajan saatossa esimerkiksi erilaisia VPN-palveluita, SSH-tunneleita ja Tor-ohjelmistoa sensuroinnin kiertämiseen [And12, AAH13].Tor on ollut hyvin suosittu molemmissa maissa. Lisäksi kiinalaiset ovat käyt-täneet myös Psiphonia, sen ollessa tarkoitettu selkeästi ei-teknisille käyttäjille[And12]. Koska arabikevään tapauksessa Internet-yhteydet käytännössä sul-jettiin useiksi päiviksi, kansalaisten oli mahdotonta kiertää sensuuria. Näinollen arabikevättä ei käsitellä tässä luvussa. Meillä ei myöskään ole Co-vertCastin käytöstä tarkempaa tietoa, sillä ohjelma on niin uusi. Mikäänlöytämämme artikkeli ei vielä käsitellyt CovertCastin käyttöä sensuroiduissamaissa.

Mitä suositummaksi kiertotekniikka muuttuu, sitä varmemmin sensoriyrittää estää sen käytön [DM06]. Toimiva ja laajasti käytössä oleva kiertotek-niikka saa sensurointijärjestelmän näyttämään hyödyttömältä, joten sensorihaluaa puuttua tähän välittömästi.

Vaikka HTTPS-protokolla salaa lähetettävän tiedon, sensorin valvontajär-jestelmä saattaa silti löytää aihetta liikenteen suodatukselle [AP15]. HTTPS-yhteyden muodostamisessa TLS-kättelystä voi päätellä, mihin ohjelmaantai palveluun yhteys liittyy. DNSSEC-protokollan tapauksessa sensori voiyksinkertaisesti estää tiettyjen DNS-kyselyiden läpimenon, jolloin käyttäjänpäätelaite ei saa reititykseen tarvittavaa IP-osoitetta.

Yksinkertaisten välityspalvelinten suoja sensurointia vastaan on hyvinvähäinen [RZP11]. Sensorin on helppo estää liikenne tietyn välityspalvelimenverkkotunnukseen tai IP-osoitteeseen. Jotkin välityspalvelimet naamioivatitsensä etusivullaan toiseksi palveluksi ja toivovat näin välttävänsä sensuroin-nin. Jotkin taas vaihtavat IP-osoitettaan ja toivovat, ettei sensori huomaatätä.

Kiinan palomuurijärjestelmän pääarkkitehti on kertonut lehdistölle käyt-tävänsä kotonaan kuutta eri VPN-ohjelmistoa [FG13]. Näitä ohjelmistojahän käyttää ainoastaan testatakseen, pystyykö GFC tunnistamaan ne. Kiina

88

on estänyt suosittujen kaupallisten VPN-ohjelmistojen IP-osoitteet ja verkko-tunnukset [And12]. Lisäksi ”VPN” -merkkijonon sisältävät verkkotunnukseton estetty Kiinan sensorin toimesta. Koska VPN on laajasti käytössä niin yri-tysmaailmassa kuin merkkihenkilöilläkin, on sen sensurointi oma haasteensa[Gre10]. Sensorin on oltava tarkka siinä, mitä VPN-yhteyksiä suodatetaanja mitkä annetaan olla toiminnassa.

Kuten luvusta 5.2.1 käy ilmi, Psiphonin kehittäjät ovat nähneet vaivaa,ettei sensori pääse liian helpolla ohjelman estämisessä. Psiphon ei pystykuitenkaan erottamaan oikeita käyttäjiä sensorista, jolloin sensorille jäämahdollisuus ohjelman tutkimiseen käyttäjänäkökulmasta [MHS16]. Iraninvaltio on myös luonut väärennetyn Psiphonin asennusohjelman [Fre15a].Asennusohjelma on tämän jälkeen levitetty kansalaisten saataville.

Sekä Kiinan että Iranin valtio ovat huomanneet Tor-ohjelmiston käytönsuosion [And12, AAH13]. Molempien sensurointijärjestelmä on päivitettyestämään Tor-verkon käyttö mahdollisimman hyvin. Esimerkiksi Kiina onestänyt pääsyn Tor-projektin kotisivuille ja julkisesti näkyvillä olevaan Tor-verkkoon [WL12]. Nämä estot on tehty paketti- ja avainsanasuodatuksella.

Tor-projekti on vastannut sensurointiin kehittämällä Tor-sillan, jonkakautta asiakasohjelma pystyy yhdistämään Tor-verkkoon [DM06]. Tor-siltaon piilotettu välityspalvelin, joten sen IP-osoitetta ei ole julkisesti saatavilla.Tor-verkon käyttäjä voi muuttua Tor-sillaksi aktivoimalla ominaisuuden ohjel-man käyttöliittymästä. Tällöin käyttäjän verkkoyhteyden kautta reitittyvätmuiden käyttäjien yhteydenottopyynnöt Tor-asiakasohjelmilta Tor-verkkoon.

Sensorit eivät ole jääneet neuvottomiksi Tor-siltojen tulon jälkeen [WL12,AAH13]. Sekä Kiina että Iran sensuroivat Tor-verkkoa nykyään avainsana-suodatuksen avulla. GFC tunnistaa Tor-protokollan käytön ja osaa kaivaapaketista kaiken tarpeellisen tiedon lisätutkimuksia varten [WL12]. Kun tun-nistus on tehty, yrittää GFC luoda oman Tor-yhteyden samaan Tor-siltaan.Jos yhteys onnistuu, estää GFC tuon Tor-sillan käytön.

Kuten aiemmin totesimme, CovertCast on sen verran uusi ohjelma, etteisen käytöstä ole tarkempaa tietoa. CovertCast on kuitenkin luotu sen ver-ran ovelasti, että sen estäminen saattaa vaatia live-suoratoistopalveluidenestämistä [MHS16]. Tämän kaltainen ylisensurointi ei ole suotavaa.

89

Ohjelma Tekniikka Asiakasohjelma Auttaa sensuroin-titekniikkaan

Välityspalvelin Erilaiset välitysp. W/M/L IP, DNSTunnelointi SSH, VPN W/M/L/A/I Avains., DNS, IP,

TCPPsiphon HTTPS, SOCKS,

SSH, VPNW/A Avains., DNS, IP,

TCPTor Sipulireititys,

SOCKSW/M/L/A Avains., DNS, IP

CovertCast HTTPS W Avains., DNS, IP

Taulukko 4: Kiertotekniikoiden ja -ohjelmien yhteenveto

5.4 Yhteenveto

Taulukossa 4 esittelemme tässä luvussa läpikäydyt kiertotekniikat ja ohjel-mat. Luvun 5.1.4 tekniikat kävimme läpi sen verran kevyesti, ettei niitäole sisällytetty tähän taulukkoon. Taulukon ensimmäisessä sarakkeessa onlistattu aiemmin esittellyt kiertotekniikat ja -ohjelmat. Toinen sarake kertoo,mitä tekniikkaa ohjelma käyttää. Kolmas sarake kertoo käyttöjärjestelmät,missä kyseinen kierto-ohjelma toimii. Käyttöjärjestelmien lyhenteet aukeavatseuraavasti: W on Windows, M on Mac OS X, L on Linux, A on Android jaI on Apple iOS. Neljännessä sarakkeessa kerromme mihin sensurointitapaankyseinen kierto-ohjelma auttaa.

Välityspalvelimet ja liikenteen tunnelointi ovat sen verran yleisiä teknii-koita, että ne toimivat tietokoneissa, joissa on joku kolmesta yleisimmästäkäyttöjärjestelmästä. Välityspalvelinten käyttöön tarvitaan ainoastaan netti-selain. VPN-tunnelointia voidaan käyttää myös mobiililaitteilla. Tor-ohjelmaon ollut jo sen verran kauan toiminnassa, että sille on ehditty luoda toimi-va asiakasohjelma yleisimpiin käyttöjärjestelmiin. Psiphon ja CovertCasttoimivat vain osalla käyttöjärjestelmistä.

Kierto-ohjelmien tehokkuus sensuroinnin kiertämisessä riippuu siitä, milläprotokollapinon kerroksella ohjelman käyttämä tekniikka toimii. EsimerkiksiHTTP-protokollien päällä toimivat välityspalvelimet ja CovertCast eivätautomaattisesti auta avainsanasuodatukseen. CovertCastin toimintalogiik-

90

ka on toki hyvin erilainen välityspalvelimiin verrattuna, joten se saattaatoimia avainsanasuodatuksesta huolimatta. Koska VPN-tunnelointi toimiiverkkokerroksella, se auttaa useaan sensurointitapaan. Vaikka Tor salaakin lii-kenteen, se toimii silti TCP-yhteyden päällä ja on näin ollen haavoittuvainenTCP-yhteyden häiriköinnille. BGP-protokollan manipulointia on mahdotontakiertää, ainakin jos sitä käytetään arabikevään tapahtumien laajuudessa.

Sensuroinnin kiertämisen ongelmaksi muodostuu pääosin kaksi asiaa. Nä-mä ovat kansalaisten tietoteknisten taitojen mahdollinen heikkous ja sensorinhalu estää suosittujen kierto-ohjelmien toimiminen. Kierto-ohjelmien on siisoltava helppokäyttöisiä, jotta kansalaiset ottavat ne jokapäiväiseen käyttöön.Tämä taas johtaa siihen, että ohjelmat herättävät sensorin mielenkiinnon.Tämän vuoksi nämä ohjelmat päätyvät helpoiten sensuroitaviksi. Kissa-hiiri-leikki syntyy siinä kohtaa, kun sekä kierto-ohjelman kehittäjä että sensoripäivittävät järjestelmiään kilpaa vastaamaan toistensa vaatimuksia.

91

6 Yhteenveto

Tässä tutkielmassa kävimme läpi millaisia tekniikoita Internet-sensuurintekninen toteutus sisältää, miten osa maista sensuroi Internetiä ja miten kan-salaiset pystyvät kiertämään tätä sensuuria. Tutkielman alussa taustoitimmemiten Internet toimii. Tämän tiedon päälle rakensimme loppututkielman.

Internet-sensuurin tekninen toteutus saattaa helposti suodattaa liikaaasioita. Vaikka sensorin tarkoitus olisi estää pääsy vain yhdellä nettisivullaesitettyyn materiaaliin, saattaa hän sensuroida samalla koko palvelimen. Pa-kettisuodatus, DNS-järjestelmään perustuva sensurointi ja BGP-protokollanmanipulointi aiheuttavat helpoiten ylisensurointia. Avainsanasuodatuksessavalitaan huolellisesti sensuroitavat asiat, joten sen avulla ylisensurointi jääyleensä tapahtumatta. Internet-yhteyden häikiköinti ja kuristaminen ovatjoustavampia sensurointitekniikoita. Niiden avulla sensori voi rampauttaakäyttäjän Internet-yhteyden, eikä käyttäjä varsinaisesti tiedä johtuuko yh-teyden huono laatu sensuurista vai jostain muusta. Sensori voi yhdistelläeri sensurointitekniikoita luodakseen monimutkaisemman sensurointijärjes-telmän. Järjestelmän ei tarvitse olla sensorin itsensä kokoama, vaan tähäntarkoitukseen luotuja ohjelmistoja voi ostaa yrityksiltä.

Esittelimme tutkielmassa kymmenen maata, joista seitsemän maan sen-surointitekniikat pystyimme määrittämään. Näistä maista Kiina ja Irankäyttävät eniten erilaisia sensurointitekniikoita. Arabikevään tapahtumatEgyptissä ja Libyassa olivat omaa luokkaansa sensuroinnin kattavuudessa,sillä Internet-sensuuria harjoittavat maat eivät normaalisti sulje koko maanInternet-yhteyksiä. Freedom Housen tutkimuksen mukaan maiden sananva-pauden ongelmat ovat lisääntyneet. Kiina oli vuoden 2015 vähiten vapaamaa Internetin vapautta mitattaessa.

Internet-sensuurin yleistyessä myös sensuroinnin kiertäminen on yleisty-nyt. Pohjustimme sensuurin kiertämistä esittelemällä viestintäprotokollienpäivitettyjä versioita, erilaisia välityspalvelimia ja tunnelointitekniikoita.Tämän jälkeen pureuduimme kolmeen eri kierto-ohjelmaan. Nämä olivatPsiphon, Tor ja CovertCast. Jokainen näistä ohjelmista käytti jotain aiem-min esittelemistämme kiertotekniikoista. Psiphon on tarkoitettu ensisijaisestiei-teknisille ihmisille. Tor luotiin alkujaan anonyymiä verkkoselaamista var-

92

ten, mutta se toimii sensuroinnin kiertoon myös oikein hyvin. CovertCasteroaa Psiphonista ja Tor-ohjelmasta siinä, ettei sen kautta voi selata vapaastiInternetiä. CovertCast tuottaa käyttäjälle sisältöä nettisivuilta, jotka ovatkäyttäjän ulottumattomissa. Käyttäjä on rajoitettu siihen sisältöön, jotaCovertCastin kautta tarjotaan.

Sensori ja kierto-ohjelman kehittäjä päätyvät helposti kilpailuun siitä,kumman tekniikka on toista tehokkaampi. Mitä suositumpia kierto-ohjelmatovat, sitä varmemmin sensori haluaa estää ne. Siinä missä me vapaassa demo-kratiassa elävät ihmiset olemme tottuneet Internetin viihdekäyttöön, sensu-roidun maan kansalainen saattaa olla tyytyväinen jo päästessään Internetinkautta lukemaan puolueetonta tietoa. Tämän vuoksi meidän mittapuullam-me hyvin rajoittunut CovertCast saattaa jollekin ihmiselle olla korvaamatontyökalu.

Ohjelmistopohjaiset verkot (Software-Defined Networking, SDN) on seu-raava iso edistysaskel tietoliikennelaitteiden hallinnassa [NMN+14]. SDN:navulla ohjelmistokehittäjät pystyvät hallitsemaan eri valmistajien verkko-laitteita joustavammin tietyn yhteisen rajapinnan kautta. Verkkolaitteidenhelpompi hallittavuus kiinnostaa varmasti myös sensoreita, joten SDN-tekniikoita kehitettäessä olisi hyvä miettiä miten ne eivät päätyisi ihmi-soikeusrikollisten käsiin.

Internet-sensuuri ei ole katoamassa mihinkään kuten Freedom HousenInternetin vapaus -raportista nähdään. Maat jatkavat sensurointia ja kansa-laistensa oikeuksien polkemista niin pitkään kuin se niille sallitaan. FreedomHousen kaltaiset tahot ovat tarpeellisia, koska ne tuovat näiden maiden ih-misoikeusrikokset päivänvaloon. Kierto-ohjelmien kehityksen kannalta olisihyvä saada enemmän tutkimusta siitä, miten eri maat sensuroivat Internetiä.Olisi myös hyvä tutkia, miten kierto-ohjelmat saavuttaisivat paremmin nesensuroitujen maiden kansalaiset, joilla ei ole teknistä osaamista. Teknisilläkeinoilla sensurointia ei silti voiteta, vaan ongelman ratkaisemiseen tarvitaankansainvälistä poliittista vaikuttamista pitkällä aikajänteellä.

93

Lähteet

[AAH13] Aryan, Simurgh, Aryan, Homa ja Halderman, J. Alex: Inter-net Censorship in Iran: A First Look. Teoksessa Presented aspart of the 3rd USENIX Workshop on Free and Open Com-munications on the Internet, Washington, D.C., 2013. USE-NIX. https://www.usenix.org/conference/foci13/internet-

censorship-iran-first-look.

[AAL+05a] Arends, R., Austein, R., Larson, M., Massey, D. ja Rose, S.:DNS Security Introduction and Requirements. RFC 4033, RFCEditor, Mar 2005. https://tools.ietf.org/rfc/rfc4033.txt.

[AAL+05b] Arends, R., Austein, R., Larson, M., Massey, D. ja Rose, S.:Protocol Modifications for the DNS Security Extensions. RFC4035, RFC Editor, Mar 2005. https://tools.ietf.org/rfc/

rfc4035.txt.

[AAL+05c] Arends, R., Austein, R., Larson, M., Massey, D. ja Rose, S.: Re-source Records for the DNS Security Extensions. RFC 4034, RFCEditor, Mar 2005. https://tools.ietf.org/rfc/rfc4034.txt.

[Afr17] The African Network Information Centre (AFRINIC). https:

//www.afrinic.net/, 2017. Noudettu: 18.4.2017.

[Ale17] Alexa Internet, Inc.: The top 500 sites on the web. http://

www.alexa.com/topsites, 2017. Noudettu: 17.4.2017.

[Ama17] Amazon: Amazon CloudFront – Content Delivery Network(CDN). https://aws.amazon.com/cloudfront/, 2017. Noudettu:30.4.2017.

[And12] Anderson, Daniel: Splinternet Behind the Great Firewall of Chi-na. Queue, 10(11):40:40–40:49, marraskuu 2012, ISSN 1542-7730.http://doi.acm.org/10.1145/2390756.2405036.

[AP15] Aceto, Giuseppe ja Pescapé, Antonio: Internet Censorship de-tection: A survey. Computer Networks, 83:381 – 421, 2015,

94

ISSN 1389-1286. http://www.sciencedirect.com/science/

article/pii/S1389128615000948.

[Bam13] Bambauer, D. E.: Censorship v3.1. IEEE Internet Computing,17(3):26–33, May 2013, ISSN 1089-7801.

[BHS14] Brubaker, Chad, Houmansadr, Amir ja Shmatikov, Vitaly:CloudTransport: Using Cloud Storage for Censorship-ResistantNetworking, sivut 1–20. Springer International Publishing, Cham,2014, ISBN 978-3-319-08506-7. http://dx.doi.org/10.1007/

978-3-319-08506-7_1.

[Blu17] Blue Coat. https://www.bluecoat.com/, 2017. Noudettu:27.4.2017.

[BPT15] Belshe, Mike, Peon, Roberto ja Thomson, Martin: HypertextTransfer Protocol Version 2 (HTTP/2). RFC 7540, RFC Editor,May 2015. https://tools.ietf.org/rfc/rfc7540.txt.

[CCC+14] Chaabane, Abdelberi, Chen, Terence, Cunche, Mathieu, De Cristo-faro, Emiliano, Friedman, Arik ja Kaafar, Mohamed Ali: Censors-hip in the Wild: Analyzing Internet Filtering in Syria. TeoksessaProceedings of the 2014 Conference on Internet MeasurementConference, IMC ’14, sivut 285–298, New York, NY, USA, 2014.ACM, ISBN 978-1-4503-3213-2. http://doi.acm.org/10.1145/

2663716.2663720.

[Cen17] Center for Applied Internet Data Analysis: The UCSDNetwork Telescope. https://www.caida.org/projects/

network_telescope/, 2017. Noudettu: 18.4.2017.

[Chi17a] China Telecom: Chinanet overview. http:

//www.chinatelecomglobal.com/product/

detail.html?cate_id=900006, 2017. Noudettu: 2.5.2017.

[Chi17b] China Unicom: China Unicom and China Netcom ShareholdersApprove Proposed Merger. http://www.chinaunicom.com.hk/

95

en/press/press_content.php?id=p080917, 2017. Noudettu:2.5.2017.

[CMW06] Clayton, Richard, Murdoch, Steven J. ja Watson, Robert N. M.:Ignoring the Great Firewall of China, sivut 20–35. Springer Ber-lin Heidelberg, Berlin, Heidelberg, 2006, ISBN 978-3-540-68793-1.http://dx.doi.org/10.1007/11957454_2.

[Cov17] CovertCast. https://github.com/rfmcpherson/CovertCast,2017. Noudettu: 1.5.2017.

[CW10] Chen, T. M. ja Wang, V.: Web Filtering and Censoring. Computer,43(3):94–97, March 2010, ISSN 0018-9162.

[DAR81a] DARPA INTERNET PROGRAM: INTERNET PROTOCOL.RFC 791, RFC Editor, Sep 1981. https://tools.ietf.org/rfc/

rfc791.txt.

[DAR81b] DARPA INTERNET PROGRAM: TRANSMISSION CONT-ROL PROTOCOL. RFC 793, RFC Editor, Sep 1981. https:

//tools.ietf.org/rfc/rfc793.txt.

[Dep82] Dept. of Electrical Engineering: STANDARD FOR THE FOR-MAT OF ARPA INTERNET TEXT MESSAGES. RFC 822, RFCEditor, Aug 1982. https://tools.ietf.org/rfc/rfc822.txt.

[DH98] Deering, S. ja Hinden, R.: Internet Protocol, Version 6 (IPv6)Specification. RFC 2460, RFC Editor, Dec 1998. https://

tools.ietf.org/rfc/rfc2460.txt.

[DHN+13] Dalek, Jakub, Haselton, Bennett, Noman, Helmi, Senft, Adam,Crete-Nishihata, Masashi, Gill, Phillipa ja Deibert, Ronald J.:A Method for Identifying and Confirming the Use of URL Filte-ring Products for Censorship. Teoksessa Proceedings of the 2013Conference on Internet Measurement Conference, IMC ’13, sivut23–30, New York, NY, USA, 2013. ACM, ISBN 978-1-4503-1953-9.http://doi.acm.org/10.1145/2504730.2504763.

96

[DM06] Dingledine, Roger ja Mathewson, Nick: Design of a blocking-resistant anonymity system Tor Project technical report,Nov 2006. tekninen raportti, The Tor Project, 2006.https://svn.torproject.org/svn/projects/design-paper/

blocking.pdf.

[DMS04] Dingledine, Roger, Mathewson, Nick ja Syverson, Paul: Tor:The Second-generation Onion Router. Teoksessa Proceedingsof the 13th Conference on USENIX Security Symposium - Vo-lume 13, SSYM’04, sivut 21–21, Berkeley, CA, USA, 2004.USENIX Association. http://dl.acm.org/citation.cfm?id=

1251375.1251396.

[Dor04] Dornseif, Maximillian: Government mandated blocking of foreignWeb content. CoRR, cs.CY/0404005, 2004. http://arxiv.org/

abs/cs.CY/0404005.

[DSA+14] Dainotti, A., Squarcella, C., Aben, E., Cla�y, K. C., Chiesa, M.,Russo, M. ja Pescapé, A.: Analysis of Country-Wide InternetOutages Caused by Censorship. IEEE/ACM Transactions onNetworking, 22(6):1964–1977, Dec 2014, ISSN 1063-6692.

[E�17] [Electronic Frontier Finland ry]. https://effi.org/, 2017. Nou-dettu: 5.5.2017.

[FBH+02] Feamster, Nick, Balazinska, Magdalena, Harfst, Greg, Balakrish-nan, Hari ja Karger, David: Infranet: Circumventing Web Censors-hip and Surveillance. Teoksessa Proceedings of the 11th USENIXSecurity Symposium, Security 2002, sivut 247–262, erkeley, CA,USA, 2002. USENIX.

[FG13] Feng, Guangchao Charles ja Guo, Steve Zhongshi: Tracingthe route of China’s Internet censorship: An empirical stu-dy. Telematics and Informatics, 30(4):335 – 345, 2013,ISSN 0736-5853. http://www.sciencedirect.com/science/

article/pii/S073658531200072X.

97

[FGM+99] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L.,Leach, P. ja Berners-Lee, T.: Hypertext Transfer Protocol –HTTP/1.1. RFC 2616, RFC Editor, Jun 1999. https://

tools.ietf.org/rfc/rfc2616.txt.

[Fin17] Finlex: Laki lapsipornografian levittämisen estotoimista. http://

www.finlex.fi/fi/laki/ajantasa/2006/20061068, 2017. Nou-dettu: 5.5.2017.

[FK11] Frankel, S. ja Krishnan, S.: IP Security (IPsec) and Internet KeyExchange (IKE) Document Roadmap. RFC 6071, RFC Editor,Feb 2011. https://tools.ietf.org/rfc/rfc6071.txt.

[Fre12] Freedom House: Freedom on the net 2012. https:

//freedomhouse.org/sites/default/files/resources/

FOTN%202012%20-%20Full%20Report_0.pdf, 2012. Noudettu:18.4.2017.

[Fre15a] Freedom House: Freedom on the net 2015. https:

//freedomhouse.org/sites/default/files/FOTN%202015%

20Full%20Report.pdf, 2015. Noudettu: 16.4.2017.

[Fre15b] Freedom House: The Politburo’s Predicament - Confron-ting the Limitations of Chinese Communist Party Repres-sion. https://freedomhouse.org/sites/default/files/

12222014_FH_ChinaReport2014_FINAL.pdf, 2015. Noudettu:3.5.2017.

[Fre16a] Freedom House: Freedom in the world 2016.https://freedomhouse.org/sites/default/files/

FH_FITW_Report_2016.pdf, 2016. Noudettu: 16.4.2017.

[Fre16b] Freedom House: Freedom of the press 2016.https://freedomhouse.org/sites/default/files/

FH_FTOP_2016Report_Final_04232016.pdf, 2016. Noudet-tu: 16.4.2017.

98

[Fre17] Freedom House: Freedom House reports. https:

//freedomhouse.org/reports, 2017. Noudettu: 16.4.2017.

[Goo17a] Google: Google App Engine. https://cloud.google.com/

appengine/, 2017. Noudettu: 30.4.2017.

[Goo17b] Google: Google Public DNS. https://developers.google.com/

speed/public-dns/, 2017. Noudettu: 6.5.2017.

[Gre10] Greengard, Samuel: Censored! Commun. ACM, 53(7):16–18,heinäkuu 2010, ISSN 0001-0782. http://doi.acm.org/10.1145/

1785414.1785423.

[GT11] Goodrich, Michael T. ja Tamassia, Roberto: introduction to com-puter security. Pearson, United States of America, internationaledition painos, 2011.

[Ham08] Hamade, S. N.: Internet Filtering and Censorship. TeoksessaFifth International Conference on Information Technology: NewGenerations (itng 2008), sivut 1081–1086, April 2008.

[Hed88] Hedrick, C.: Routing Information Protocol. RFC 1058, RFCEditor, Jun 1988. https://tools.ietf.org/rfc/rfc1058.txt.

[HRBS13] Houmansadr, Amir, Riedl, Thomas, Borisov, Nikita ja Singer,Andrew: I want my voice to be heard: IP over Voice-over-IP for unobservable censorship circumvention. https://

www.internetsociety.org/sites/default/files/07_5_0.pdf,2013. Noudettu: 30.4.2017.

[HZCB12] Houmansadr, Amir, Zhou, Wenxuan, Caesar, Matthew ja Borisov,Nikita: SWEET: Serving the Web by Exploiting Email Tunnels.CoRR, abs/1211.3191, 2012. http://arxiv.org/abs/1211.3191.

[ICA17] Internet Corporation For Assigned Names and Numbers. https:

//www.icann.org/, 2017. Noudettu: 8.5.2017.

[Int17] Internet Assigned Numbers Authority: Root Zone Databa-se. https://www.iana.org/domains/root/db, 2017. Noudettu:16.4.2017.

99

[KR13] Kurose, James F. ja Ross, Keith W.: Computer Networking. Pear-son, England, 6th painos, 2013.

[KS05] Kent, S. ja Seo, K.: Security Architecture for the Internet Protocol.RFC 4301, RFC Editor, Dec 2005. https://tools.ietf.org/

rfc/rfc4301.txt.

[LGL+96] Leech, M., Ganis, M., Lee, Y., Kuris, R., Koblas, D. ja Jones, L.:SOCKS Protocol Version 5. RFC 1928, RFC Editor, Mar 1996.https://tools.ietf.org/rfc/rfc4251.txt.

[LSH14] Li, Shuai, Schliep, Mike ja Hopper, Nick: Facet: Streaming overVideoconferencing for Censorship Circumvention. TeoksessaProceedings of the 13th Workshop on Privacy in the ElectronicSociety, WPES ’14, sivut 163–172, New York, NY, USA, 2014.ACM, ISBN 978-1-4503-3148-7. http://doi.acm.org/10.1145/

2665943.2665944.

[Mak13] Make Tech Easier: MTE Explains: What is Onion Routing(OR/TOR) And How You Can Get Your Privacy Back. https:

//www.maketecheasier.com/mte-explains-onion-routing/,2013. Noudettu: 7.5.2017.

[Mal98] Malkin, G.: RIP Version 2. RFC 2453, RFC Editor, Nov 1998.https://tools.ietf.org/rfc/rfc2453.txt.

[Max17] MaxMind: GeoLite Legacy Downloadable Databases. http:

//dev.maxmind.com/geoip/legacy/geolite/, 2017. Noudettu:18.4.2017.

[MHS16] McPherson, Richard, Houmansadr, Amir ja Shmatikov, Vitaly:CovertCast: Using Live Streaming to Evade Internet Censorship.Proceedings on Privacy Enhancing Technologies, 2106(3):212–225,Jul 2016.

[Mic17] Microsoft: Microsoft Azure. https://azure.microsoft.com/,2017. Noudettu: 30.4.2017.

100

[MLDG12] Moghaddam, Hooman Mohajeri, Li, Baiyu, Derakhshani, Mo-hammad ja Goldberg, Ian: SkypeMorph: Protocol Obfuscation forTor Bridges. Teoksessa Proceedings of the 2012 ACM Conferenceon Computer and Communications Security, CCS ’12, sivut 97–108, New York, NY, USA, 2012. ACM, ISBN 978-1-4503-1651-4.http://doi.acm.org/10.1145/2382196.2382210.

[Moc87a] Mockapetris, P.: DOMAIN NAMES - CONCEPTS AND FACI-LITIES. RFC 1034, RFC Editor, Nov 1987. https://

tools.ietf.org/rfc/rfc1034.txt.

[Moc87b] Mockapetris, P.: DOMAIN NAMES - IMPLEMENTATION ANDSPECIFICATION. RFC 1035, RFC Editor, Nov 1987. https:

//tools.ietf.org/rfc/rfc1035.txt.

[Moy98] Moy, J.: OSPF Version 2. RFC 2328, RFC Editor, Apr 1998.https://tools.ietf.org/rfc/rfc2328.txt.

[MP06] Meyer, D. ja Patel, K.: BGP-4 Protocol Analysis. RFC 4274, RFCEditor, Jan 2006. https://tools.ietf.org/rfc/rfc4274.txt.

[Net17] Netsweeper. https://www.netsweeper.com/, 2017. Noudettu:27.4.2017.

[Nik12] Nikkanen, Hanna: Verkko ja vapaus. Into Kustannus Oy, Helsinki,1st painos, 2012.

[NMN+14] Nunes, B. A. A., Mendonca, M., Nguyen, X. N., Obraczka,K. ja Turletti, T.: A Survey of Software-Defined Networking:Past, Present, and Future of Programmable Networks. IEEECommunications Surveys Tutorials, 16(3):1617–1634, Third 2014,ISSN 1553-877X.

[ONI17] OpenNet Initiative. https://opennet.net/, 2017. Noudettu:16.4.2017.

[Ope14] OpenNet Initiative: Looking Forward: A Note ofAppreciation and Closure on a Decade of Research.

101

https://opennet.net/blog/2014/12/looking-forward-

note-appreciation-and-closure-decade-research, 2014.Noudettu: 16.4.2017.

[Pos80] Postel, J.: User Datagram Protocol. RFC 768, RFC Editor, Aug1980. https://tools.ietf.org/rfc/rfc768.txt.

[Psi11] Psiphon Circumvention System: Psiphon Circumvention Sys-tem Design Paper. https://bitbucket.org/psiphon/psiphon-

circumvention-system/downloads/DESIGN.pdf, 2011. Noudet-tu: 1.5.2017.

[Puo08] Puolamäki, Kai: Finnish Internet censorship. https://effi.org/

blog/kai-2008-02-18.html, 2008. Noudettu: 5.5.2017.

[Rep16] Reporters Without Borders: 2016 World Press Freedom Index.https://rsf.org/en/ranking/2016, 2016. Noudettu: 28.4.2017.

[Res00] Rescorla, E.: HTTP Over TLS. RFC 2818, RFC Editor, May2000. https://tools.ietf.org/rfc/rfc2818.txt.

[RIP17] RIPE NCC: Routing Information Service (RIS). https:

//www.ripe.net/analyse/internet-measurements/routing-

information-service-ris, 2017. Noudettu: 18.4.2017.

[RMK+96] Rekhter, Y., Moskowitz, B., Karrenberg, D., Groot, G. J. de jaLear, E.: Address Allocation for Private Internets. RFC 1918, RFCEditor, Feb 1996. https://tools.ietf.org/rfc/rfc1918.txt.

[Roo17] Root-servers.org: Root servers. http://root-servers.org/,2017. Noudettu: 16.4.2017.

[Rou17] University of Oregon Route Views Project. http://

www.routeviews.org/, 2017. Noudettu: 18.4.2017.

[RSG98] Reed, M. G., Syverson, P. F. ja Goldschlag, D. M.: Anonymousconnections and onion routing. IEEE Journal on Selected Areasin Communications, 16(4):482–494, May 1998, ISSN 0733-8716.

102

[RWB17] Reporters Without Borders. https://rsf.org/en, 2017. Noudet-tu: 16.4.2017.

[RZP11] Roberts, Hal, Zuckerman, Ethan ja Palfrey, John G.: 2011 Circum-vention Tool Evaluation. Berkman Center Research Publication,2011(08), August 2011, ISSN 1556-5068.

[SC 17] SC Labs: CCNA Chapter 7 Transportation Layer.http://sclabs.blogspot.fi/2013/09/ccna-chapter-7-

transportation-layer.html, 2017. Noudettu: 7.5.2017.

[Sma17] McAfee Smartfilter. http://www.bluecirrus.com/mcafee-

smartfilter/, 2017. Noudettu: 27.4.2017.

[Sto08] Storsjö, Mikael: Web-sensuuri nostaa päätään. https://

effi.org/blog/2008-02-08-Mikael-Storsjo.html, 2008. Nou-dettu: 5.5.2017.

[The16] The Media Line Ltd.: Iran Introduces Halal Internet.http://www.themedialine.org/news/iran-introduces-

halal-internet/, 2016. Noudettu: 29.4.2017.

[Tie17] Tietotekniikkakeskus, Helsingin yliopisto: Yhteydet yliopiston ul-kopuolelta. https://helpdesk.it.helsinki.fi/5190, 2017. Nou-dettu: 30.4.2017.

[Tiv16] Tivi: Ärsyttävätkö Netflixin maarajoitukset? Erittäin hyviä uutisia:ne voi jälleen kiertää. http://www.tivi.fi/Kaikki_uutiset/

arsyttavatko-netflixin-maarajoitukset-erittain-hyvia-

uutisia-ne-voi-jalleen-kiertaa-6608626, 2016. Noudettu:5.5.2017.

[Tor17a] Tor project: Tor. https://www.torproject.org/, 2017. Noudet-tu: 1.5.2017.

[Tor17b] Tor project: Tor: Overview. https://www.torproject.org/

about/overview.html.en, 2017. Noudettu: 1.5.2017.

103

[VG12] Verkamp, John Paul ja Gupta, Minaxi: Inferring Mechanicsof Web Censorship Around the World. Teoksessa Presentedas part of the 2nd USENIX Workshop on Free and OpenCommunications on the Internet, Bellevue, WA, 2012. USE-NIX. https://www.usenix.org/conference/foci12/workshop-

program/presentation/Verkamp.

[WL12] Winter, Philipp ja Lindskog, Stefan: How China Is Blocking Tor.CoRR, abs/1204.0447, 2012. http://arxiv.org/abs/1204.0447.

[XMH11] Xu, Xueyang, Mao, Z. Morley ja Halderman, J. Alex: InternetCensorship in China: Where Does the Filtering Occur?, sivut133–142. Springer Berlin Heidelberg, Berlin, Heidelberg, 2011,ISBN 978-3-642-19260-9. http://dx.doi.org/10.1007/978-3-

642-19260-9_14.

[YL06] Ylonen, T. ja Lonvick, C.: The Secure Shell (SSH) ProtocolArchitecture. RFC 4251, RFC Editor, Jan 2006. https://

tools.ietf.org/rfc/rfc4251.txt.

[Yle17] Yleisradio: Turkki esti kansalaistensa pääsyn Wikipediaan. http:

//yle.fi/uutiset/3-9588838, 2017. Noudettu: 5.5.2017.

104