Naukowcy udoskonalili ataki polegające na usuwaniu anonimizacji stron ukrywających się w Torze

Naukowcy opracowali nową technikę, która może umożliwić atakującym określenie z dużą dokładnością, do których stron Tora mają dostęp użytkownicy i gdzie są hostowane.

Nowy atak, który poprawia się po wcześniejszym techniki odcisków palców ruchu zostały opracowane przez naukowców z Massachusetts Institute of Technology (MIT) i Katarskiego Instytutu Badań Komputerowych (QCRI), którzy znaleźli sposoby na rozróżnienie różnych typów połączeń w zaszyfrowanym ruchu Tora użytkownika.

Anonimowość Tora sieć została zbudowana, aby ukryć przed przeglądarkami sieciowymi, które witryny lub inne zasoby internetowe użytkownik uzyskuje. Czyni to poprzez owijanie żądań użytkownika w kilka warstw szyfrowania i kierowanie ich przez wiele komputerów, na których działa oprogramowanie Tora.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Każdy z tych komputerów, znany jako węzły lub przekaźniki, usuń jedną warstwę szyfrowania, zanim przekażesz żądanie do następnego węzła. W ten sposób ostatni węzeł, zwany przekaźnikiem wyjściowym, zna cel żądania, ale nie jego pierwotne źródło, podczas gdy pierwszy węzeł, znany jako strażnik wejściowy, zna oryginalne źródło, ale nie ostateczne miejsce docelowe.

od dawna wiadomo, że jeśli atakujący kontroluje zarówno strażnika wejściowego, jak i przekaźnik wyjściowy używany do połączenia Tora lub obwodu, może użyć technik korelacji ruchu w celu deanonimizowania użytkownika. Trudno to jednak zrobić, ponieważ przekaźniki Tora są wybierane losowo dla każdego połączenia, więc atakujący musiałby kontrolować bardzo dużą liczbę strażników wejściowych i wyjść przekaźnikowych, aby mieć dużą szansę na sukces.

W przeszłości naukowcy również zaproponował inny rodzaj ataku, znany jako odciski palców na stronie internetowej, który wymaga jedynie kontroli straży wejścia. Założono, że atakujący mogą zbudować listę stron internetowych, które chcą monitorować, a następnie skonfigurować klienta Tora i uzyskać dostęp do tych witryn za pośrednictwem kontrolowanego przez nich wejścia, aby zaobserwować różnice w wzorcach ruchu i użyć ich do zbudowania tak zwanych odcisków palców. .

Te odciski palców można później wykorzystać z pewnym powodzeniem, aby stwierdzić, czy inni użytkownicy przechodzący przez tego samego strażnika wjazdowego uzyskują dostęp do jednej z monitorowanych witryn.

Technika ta ma znaczące wady. Na przykład strony internetowe mają reklamy i skrypty stron trzecich, które często się zmieniają, więc odciski palców szybko stają się niewiarygodne. W ruchu przychodzi również dużo szumu pochodzącego od klienta Tora i ciężko jest wyizolować tylko te układy, które są interesujące do analizy.

Nowa technika opracowana przez naukowców MIT i QCRI rozwiązuje drugi problem, zwłaszcza, że odnosi się do ukrytych serwisów - witryn, które są dostępne tylko w sieci Tor, a nie w większym Internecie.

Ukryte usługi są popularne wśród działaczy politycznych, którzy w niektórych krajach są zagrożeni nadzorem i którzy chcą działać w społecznościach internetowych, których nie da się wyśledzić, ale także kryminalistów, którzy wykorzystali je do utworzenia rynków nielegalnych towarów lub witryn zawierających nielegalne treści pornograficzne.

Te strony internetowe są naturalnie celem represyjnych rządów lub organów ścigania, które chcą wiedzieć, kto ich odwiedza.

Dzięki nowej metodzie fingerprintingu badaczy, napastnik kontrolujący strażnika może z 99% dokładnością określić, czy Tor Circu przechodzenie przez nią jest używane do spotkania z usługą ukrytą lub służy do ogólnego przeglądania Internetu. Pomaga to wyeliminować hałas w tle i skupić się tylko na ukrytych obwodach serwisowych.

Naukowcy twierdzą również, że kierowanie ukrytych usług za pomocą technik odcisków palców na stronie internetowej jest łatwiejsze niż ogólne witryny internetowe, ponieważ ich zawartość nie zmienia się zbyt często.

"W naszym ataku pokazujemy, że w sferze usług ukrytych nie mamy ograniczeń, które istnieją w poprzednich atakach" - powiedział Mashael AlSabah, adiunkt nauk komputerowych na Uniwersytecie Katar i jeden z autorów badań, za pośrednictwem e-mail. "To sprawia, że ​​poprzednie ataki z użyciem odcisku palca na stronie są poważniejsze w konkretnym przypadku usług ukrytych."

Naukowcy zebrali odciski palców dla 50 ukrytych usług i stwierdzili, że mogli z 88-procentową dokładnością stwierdzić, kiedy odwiedził klienta Tora używającego strażnika jeden z nich. Zastosowali tę samą technikę z podobnym stopniem sukcesu, aby zde zanonimizować usługi ukryte, gdy komputery, które je hostowały, używały ochrony wejścia.

Usługi ukryte działają na komputerach będących klientami Tora, więc muszą się połączyć z siecią przez strażników wejściowych. Jednak strażnik wejściowy dla tych komputerów nie powinien być w stanie stwierdzić, które usługi ukryte na nich działają, ponieważ cały punkt usług ukrytych polega na ukrywaniu adresów IP komputerów je hostujących.

Zamiast tego, użytkownicy Tora łączą się z ukrytymi usługi za pośrednictwem węzłów, które działają jako punkty spotkań i są wybierane zgodnie ze specjalnym algorytmem

Atakujący mogą zwiększyć swoje szanse na sukces poprzez utworzenie wielu strażników wejścia. Klient Tor zazwyczaj wybiera trzech strażników wejściowych i używa ich średnio przez okres 45 dni. Za każdym razem, gdy ustanawiane jest nowe połączenie, wybierany jest jeden z trzech strażników.

Im więcej strażników wejściowych pod ich kontrolą, tym większa szansa, że ​​atakujący będą identyfikować użytkowników odwiedzających strony z odciskami palców lub de-anonimizujących określone usługi ukryte.

W swoim referacie, który zostanie zaprezentowany na 24. Sympozjum USENIX Security w przyszłym miesiącu, naukowcy proponują również zmiany w sieci Tora, które, ich zdaniem, znacznie utrudnią obwody drukowane.

"Jest to znany problem z ukrytymi obwodami serwisowymi są zauważalne, ale ten atak jest bardzo trudny do wykonania, "powiedział Projekt Tor w e-mailowym oświadczeniu. "Środki zaradcze opisane w artykule są interesujące, ponieważ autorzy twierdzą, że rozmieszczenie niektórych z nich zneutralizowałoby ich atak i lepiej broniło się przed atakami odcisków palców w systemie ukrytych usług. To jeszcze nie zostało udowodnione. "

Kilku deweloperów Tora i badaczy prywatności będzie uczestniczyć w badaniu USENIX i są zainteresowani opublikowaniem badań. "Zachęcamy do recenzowania badań dotyczących zarówno ataków przeciwko sieci Tora, jak i ich obrony."