id: Гость   вход   регистрация
текущее время 22:29 28/03/2024
Владелец: unknown (создано 02/09/2013 15:21), редакция от 09/09/2013 09:58 (автор: spinore) Печать
Категории: софт, анонимность, приватность, анализ трафика, инфобезопасность, прослушивание коммуникаций, tor, атаки, модель угрозы
http://www.pgpru.com/Новости/2013/НовыеОценкиСниженияЗатратНаКорреляционныеАтакиПротивПользователейTor
создать
просмотр
редакции
ссылки

02.09 // Новые оценки снижения затрат на корреляционные атаки против пользователей Tor


Сеть Tor является одной из самых популярных для анонимизации сетевых соединений в интернете. Она состоит из узлов, которые могут быть запущены любыми добровольцами или заинтересованными группами для шифрования соединений и скрытия IP-адресов клиентов. Поскольку анонимизации подвергаются TCP-соединения реального времени, то это приводит к известной концептуальной уязвимости: анализ входящего и исходящего трафика может показывать корреляции на входе и выходе из сети на основе количества переданных данных и их распределения по времени. Это позволяет отследить анонимную цепочку до IP-адреса пользователя, не прибегая к её дешифровке или полному обходу всех задействованных в ней узлов. Для проведения корреляционного анализа противник должен наблюдать как можно больше таких точек входа и выхода из сети Tor (при полном наблюдении он становится глобальным наблюдателем, против которого Tor не защищает) или запустить как можно больше своих подконтрольных узлов в сети Tor.


Ранние оценки были сравнительно оптимистичными из-за наличия большого разнообразия групп, заинтересованных в запуске своих узлов и трудностей в создании глобального наблюдателя. Однако, чем больше исследований проводилось на эту тему, тем слабее оценивался реальный уровень защиты и тем меньше становились оценки затрат противника на проведение атак. Особый интерес представляет возможность проведения атаки при малых затратах ресурсов, доступных рядовому противнику.


Исследователи Аарон Джонсон, Роб Джэнсен, Пол Сайверсон (Лаборатория военно-морских исследований, округ Вашингтон) и Крис Вацек, Майк Шер (Университет Джорджтаун, округ Вашингтон) представили новое исследование "Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries", в котором моделируют разные группы пользователей и противников, рассматривают модель построения цепочек, вероятность успеха корреляционных атак и предлагают новые алгоритмы маршрутизации в сети Tor. В предыдущих работах рассматривались возможности, даваемые противнику при получении контроля над точками обмена трафиком (IXP — Internet Exchange Point) и автономными системами (AS). Однако, авторы обратили внимание, что в современной ситуации легкоосуществимы атаки на основе сотрудничества географически разделённых AS и IXP, например, на основе принадлежности к одной организации или вынужденного сотрудничества. В новом исследовании применялась симуляция активности пользователя и использовались последние данные сети Tor, а также данные из карты BGP-маршрутизации в интернете.


Исследователи рассчитали оценки вероятностей на деанонимизацию в расчёте на промежуток времени и считают реалистичными и обоснованными существенные снижения затрат на атаки и повышение вероятностей раскрытия пользователей по сравнению с теми, что считались ранее. Так, по их данным, противник, располагающий сравнительно умеренным количеством узлов в Tor-сети (доступным обычному рядовому энтузиасту) способен деанонимизировать 80% всех типов пользователей за 6 месяцев сбора статистики. Противник, контролирующий единственную AS, способен деанонимизировать практически 100% пользователей за три месяца. Также за 3 месяца можно деанонимизировать 95% пользователей при контроле над единственым IXP.


Особенно интересным является тот факт, что чем сильнее выделяется трафик пользователя, тем быстрей он имеет шанс быть деанонимизированным. Так, пользователи Bittorrent, которые пропускают свой трафик через сеть Tor, не только снижают её пропускную способность, но и существенно повышают риск своей деанонимизации, разумеется, даже с учётом того, что они не допускают никаких ошибок конфигурации, которые бы приводили к непосредственной утечке их IP-адреса. Схожим нетипичным видом трафика, легко подлежащим раскрытию, является трафик IRC. Иначе говоря, благоприятными для пользователя являются лишь HTTP и HTTPS соединения, а более редкие виды трафика, идущие по другим портам, резко выделяют его среди основной массы. Ещё одним интересным наблюдением является то, что контроль со стороным противника над несколькими AS увеличивает вероятность деанонимизации пользователя на порядки. Такое неблагоприятное сочетание факторов, как использование протокола Bittorent и контроль противником двух AS позволяет отследить пользователя за 1 день.


Следует, однако, отметить, что хотя вероятность деанонимизации соединений пользователя велика, количество деанонимизированных соединений пользователя выглядит не столь впечатляющим: оно составляет от 0.25% до 1.5% его активности и зависит от типа трафика. С другой стороны, эти цифры не так малы — при небольшом разнообразии посещаемых пользователем ресурсов количество раскрытых соединений не так важно для составления списка этих ресурсов.


Исследователи пессимистично оценивают уровень анонимности в сети Tor, однако, считают его удовлетворительным для многих пользователей. Они обсуждают временные меры по ручному изменению конфигурационных файлов Tor, которые хотя и увеличивают профилируемость пользователя, всё же снижают эффективность против статистических атак. Тем не менее, такие рискованные меры недостаточны, и следует провести большой объём исследований по построению новых протоколов, которые могли бы усилить анонимность Tor.


Исследование проведено на основе предоставленных материалов и при поддержке агентства перспективных оборонных исследований (DARPA), штаба космических и боевых систем (SPAWAR) и национального научного фонда (NSF) США, но может не отражать официальную позицию этих организаций. Работа будет представлена на 20-ой конференции по компьютерной и коммуникационной безопасности CCS 2013 в Берлине 4-8 ноября 2013 года.


Источник: работа доступна на страницах авторов: Aaron Johnson, Paul Syverson, слайды опубликованы на fileCryptome.org.


См. также: TorScan: трассировка долговременных соединений и дифференциальные сканирующие атаки, В Tor Browser помещена экспериментальная защита от серьёзной статистической атаки, Потенциальные возможности пассивного анализа трафика Tor, Пассивная атака на сеть Tor: вычисление любого пользователя за 20 минут.


 
— Гость (02/09/2013 18:01)   <#>
— unknown (02/09/2013 20:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ту работу активно критиковали, см. комментарии к той новости.
— Гость (02/09/2013 23:21)   <#>
Рассмотрим ситуацию: p2p клиент работает через vpn, веб-браузер через vpn+Tor. vpn сервер находится вне досягаемости наблюдателя (сейчас все налюдатели локальные, глобального пока нет). Этот наблюдатель видит шифрованный vpn трафик, малая часть которого далее идёт в Тор. Т.е. шифрованную смесь входа в Тор и прочего трафика, но не сам вход. Для получения корреляции между входом и выходом из Тора необходимо отделить часть шифрованного vpn трафика, которая дальше идёт через Тор. Возможно ли это? Объём Тор-трафика мал по сравнению с остальным. Предположим, что узлы Тор не подконтрольны данному локальному наблюдателю.
— unknown (03/09/2013 12:10)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Это явно затруднит наблюдение и потребует специализированных мер от прослушивающей стороны. Вопрос, какие это меры и насколько они могут быть эффективны?

В работе упомянуто, что против наблюдателя ISP любой гвард-узел бесполезен, т.к. ISP видит весь входящий в Tor трафик через любой узел. В случае покрытия VPN трафиком ISP будет видеть трафик VPN и далее пытаться выделить в нём трафик Tor без дешифровки, а только по паттернам. Сложно оценить, насколько успешно и эффективно он может это отфильтровать, если задастся такой специфической целью, но изветно, что VPN плохо покрывает размер пакетов, а у Tor размер пакетов 512 байт. Можно ли их эффективно выделять в VPN потоке — неизвестно.

Также, поскольку адрес VPN известен провайдеру, он может попытаться поискать его соединения в P2P сетях и самому установить такое соединение — регулярно что-то через него качать, пытаясь увидеть своё соединение в VPN-потоке снаружи, чтобы точнее строить паттерны и корреляции. Опять же, эффективность такой стратегии неизвестна, как и то, что ещё может быть предпринято.
— филологический_кружок (04/09/2013 00:39)   <#>

Без пояснений это скорее передёргивание, чем истина. Под деанонимизацией имелось в виду, судя по слайдам, нахождение хотя бы одного (из, возможно, десятков тысяч) соединения, для которого противник узнаёт всё.


Для анализа, учитывающего исключительно порты для соединений — может быть, а что, если учитывать продолжительность HTTP(S)-соединений и приложения, которые их удерживают? Особенно это касается скачивания файлов большого объёма через Tor. Всё может оказаться ещё хуже, чем для IRC и Bittorent'а, боюсь.

Интересно, авторы использовали статистику по тому, какой тип трафика какой процент занимает в реальной сети? IMHO, Bittorent в Tor — вообще уникальное явление, а вот долговременные HTTP — вполне даже.


Да, возможна такая атака: публичных VPN не так много, поэтому можно:
  1. Эмпирически определить, какому из VPN-сервисов принадлежит конкретный IP.
  2. Зарегистрироваться на этом VPN-сервисе и направить собственный трафик через тот же IP.

У Сиверсона интересные заголовки порой. Например, статья «Sleeping dogs lie on a bed of onions but wake when mixed».


[филологи обедают]

Лучше «на проведение»



Здесь можно бы поставить ссылку на новость. Вы же её переводили и публиковали здесь.


Статистика Tor? Тогда лучше прямо так и сказать.


По всей видимости, тут должно быть либо «повышение вероятности раскрытия пользователей по сравнению с той, что считалась ранее», либо «повышение вероятностей раскрытия пользователей по сравнению с теми, что считались ранее».


Автономная система — ж.р. на русском, потому лучше «способна».






[/филологи поели]

P.S. Спасибо за привлечение внимания к статье. Очень интересно. Слайды, мне показалось, чуть ли ни более информативны, чем сама статья.
— Гость (04/09/2013 00:51)   <#>
Со слайдов:

  1. Так и не понял, чем порт 6523 самый плохой. Это был какой-то порт для теста, который авторы сами же и выбрали?

  1. "Best": most secure client AS
    "Worst": least secure client AS
    Что они этим хотели сказать? Чем лучшая AS отличается от худшей?
— unknown (04/09/2013 12:49, исправлен 04/09/2013 12:49)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

  1. Worst-порт был выбран потому, что его использует система совместного редактирования Gobby. Маловероятно, что ею кто-то пользуется через Tor, поэтому его трафик будет заметен как клоун на похоронах.
  2. Как топологически располагается AS по отношению к клиенту и что это ей даёт. Формальности смотрите в работе.


Спасибо за интерес.



Хорошо подготовленная публикация.


С филологией можете поправить сами.

— unknown (10/09/2013 11:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
2 spinore:
спасибо, что привели в более удобочитаемый вид.
— Гость (11/09/2013 01:42)   <#>
Пожалуйста. Исправление более свежей новости тоже проверьте.
— unknown (10/03/2015 11:16, исправлен 10/03/2015 11:23)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Defending Tor from Network Adversaries: A Case Study of Network Path Prediction. В другой работе проблему изучали, измерения проводили, но толком так ни к чему и не пришли. Вроде как от заявленных алгоритмов выбора пути в зависимости от IXP толку мало.


We also find that the AS/IXP-independent path-selection algorithm
may still leave a significant chance for users to be deanonymized
over time due to the errors in path prediction — we estimate a 5–
11% risk in just one week when the claimed chance is 0. Moreover,
we find that this algorithm appears to force a tradeoff between con-
nection failures and exposing users to potentially-malicious relays,
even though in nearly all cases the failures could be avoided with
better measurement.

В то воремя как кто-то думает, что исключая через конфиг тора узлы своей страны, он становится безопаснее, лучшие исследователи изучают навороченные алгоритмы выбора маршрутизации с учётом IXP/AS и не добиваются никаких существенных успехов.

— Гость (10/03/2015 14:42)   <#>
Реинкарнировавшись в шифрпанк, теоретикам:

Tor — штука из слишком реального мира, её трудно исследовать стандартными методами. Часто вместо этого исследуются модели, имеющие очень сомнительное отношение к реальности. Как теоретическая максима, никакой анонимности в Tor'е нет, это легко показать. Однако, это не означает, что сдеанонить его пользователей АНБ может, потому что АНБ — тоже штука из реального мира с ограниченными возможностями. В итоге вместо изучения моделей поидее приходится моделировать противника — то, что часто называется «битвой щита и меча», «обфускацией», «security through obscurity» и «игра с противником в прятки». В рамках теории игр это тоже не формализовать, т.к. много всего, всё слишком неидеально, у нас нет знания того, что cделает и как поведёт себя противник, придерживающийся максимы «основа тактики — полная секретность».

Вместо теоретической «абсолютной» анонимности на практике большинство придерживается анонимности в вышеозначенном смысле, которая основана на учёте возможностей противника. К этому плюсуется множество вещей реального мира, таких как «вот эту методику применять ко мне не будут, потому что профита мало, вон та методика слишком дорога, а вот эту, даже если она у них есть, не будут палить, чтобы не светить свои возможности по слежке».

Интересно, что теоретическая «абсолютная» анонимность (т.е. завязка на такие её определения) на пратике может давать анонимность меньшую, чем анонимность на уловках. Грубо говоря, теоретически проработанная анонимность даёт, в лучшем случае, свои минимальные гарантии (сдеанонить будет, как минимум, настолько сложно), в то время как анонимность «практическая» даёт лишь гарантии в среднем.

Это различие чётко видно в старом сраче на тему длины цепочек и сменяемости guard-узлов. Фиксациия guard'ов — это замена анонимности на больших временах на анонимность на коротких. При нефиксированном guard'е: вы за день построили тысячу цепочек, из них 5%, допустим, оказались деанонимизируемыми. При фиксированном: вы пользуетесь сетью много лет, в среднем всё было хорошо, но пару месяцев у вас было такое, что все ваши коммуникации были полностью открыты атакующему. Т.е. на достаточно больших временах выигрыша от фиксации guard'а появиться не может, и приходится выбирать свой trade-off: либо перебирать множество узлов и цепочек, ничего не фиксируя и смирившись с шансом, что часть из них будут деанонимизируемы, либо изредка тыкать пальцем в небо, выбирать один guard, и надеяться, что вероятность выбрать подставной мала. Однако, если вы напоретесь на подставной, вы потеряете больше, чем при первой стратегии с часто меняемыми guard'ами.

Наконец, при анализе реальности в первую очередь приходится учитывать, кто ваш противник, и на что он способен. Для большинства атакующих и осмысленных типов атак самый реальный способ нападения — раскрутка цепочек, из-за чего максима «трёх узлов достаточно» становится очень сомнительной, а с учётом того, что guard'ы фиксированы, а exit'ов не много в общем числе, такая анонимность вырождается в почти что однохоповый прокси: всё висит на миддлмане. Конечно, всё чуть сложнее, но на концептуальном уровне это примерно так. К счастью, протокол связи с HS уже намного умней и анонимней в этом плане. Ну, и хуже всего то, что что-либо менять для себя лично бесполезно, т.к. сразу же приведёт к профилированию на фоне средней массы.

Противник большинства анонимов — их собственное государство. Как правило, оно может делать что угодно в своей вотчине, но абсолютно слепо в зарубежном трафике. Исходя из этого, узлы своей страны многие выкидывают, считая возникающее дополнительное профилирование по этому признаку окупающим увеличение защиты. Здесь всё о trade-off'ах. Любая мера помогает против одной атаки, но упрощает другие, как тогда меры сравнивать между собой? Насколько одна помогает, а другая облегачает? Как измерить в единых единицах пироги и сапоги? А как это сопрячь с реальными противниками и их возможностями, а также с угрозами конкретных пользователей? Остаётся почти что сплошная спекулятивность, где, как говорится, «практика — критерий истины», т.е. «не нашли втечение длительного времени, хотя, скорей всего, искали — значит, анонимен». Вот такой примитивный первобытный метод проб и ошибок. Чтобы было иначе, нужен другой интернет, другие сети, другие протоколы, где анонимность будет закладываться в самую основу всего.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3