Простой способ атаки "в обход" tor

P. S.: стоит добавить, что местами логика чуть слетела. Сначала я думал что скачиваемая статистика содержить ключи всех имеющихся тор-нод в сети, а также отдельное указание к каждой ноде её статуса. Потом я решил что она содержит только список онлайн-нод с их ключами. Это всё от незнания формата и спецификаций :) В иоге опции были написаны под случай логики, когда при каждой скачке статистики клиент банально получает онлайн-список нод и их ключи, и ничего более [ни о каких других нодах скачанная статистика не говорит, а частности о том кто ушёл в оффлайн – если только по сравнению с предыдущим файлов статистики это можно продетектить]. В общем, если итоговая логика сильно несоответствует спецификации, то предложенные опции надо немного пофиксить, возможно, на другие.

Что касается PGP-сети доверия и прочих инструментов – это вопрос обсуждения. Пока мой вариант самый лёгкий – ничего не надо менять в протоколе, – только диагностиику самого клиента. Со временем можно будет видимо ввести и какие-то более драконовские меры, чем я предложил, только надо сначала будет понять: какова атака, от которой мной предложенное не защищает, новые меры защитят. Моё имхо, хорошо если протолкнуть хотя бы такой, облегчённый формат, для начала :) А то Роджер испугается и скажет что "атака малореальна", "не есть основная угроза" и прочее. В моём понимании, больше стоит бояться атаки на корреляцию трафика. Единственное, чем лучше атака с ацкой машинкой – она позволяет детерминистским образом деанонимизировать полностью (а не вероятностно как в кореляции трафика), и читать надёжно весь транслируемый в тор от конкретного лица трафик.

Хотя в самом упрощённом варианте, пользователи действительно как говорит Sattva, могут просто обмениваться данными, извлечённых из своих кэшей и вести аудит без доп. требований к DA.

Но если у spinore есть ещё более простое решение, то было бы ещё
интереснее.

ЫЫЫ, фактически я сделал то, что SATtva сказал изначально, просто облекши в техническую форму :))

Да, забыл добавить важное: по прошествии какого-то времени (месяца, недели?) пользователь меняет свой файл "средней статистики" на новый. Он берёт самую свежую статистику, на которую ему указывает клиент, сравнивает её со статистиками своих знакомых/соседей/собутыльников, и возводит в ранг "средней", прописывая к ней путь в конфиге. Таким образом, вкратце схема защиты такова:
Все стадртуют с доверяемого среднего, накладывая ограничения на эволюцию статистики. Время от времени средняя статистика между пользователями синхронизируется (вручную), и обновляется.

Tor watchers проверяют, что список корректный (в нём не содержится ключей, которых бы не было в общей статистике

А вот тут бага. Дело в том, что для того чтобы гарантировать что у тор-клиента есть все ключи тор-нод, которые подписал DA за сутки, ему надо сутки держать запущенным клиент, как минимум. Иначе DA сможет сказать, что те ноды, ключи которых он подписал, были в точности в то время онлайн, когда все тор-вочеры сидели незаконнекченными к тору. это если тор-вочеры – тор-клиенты (для тор-нод это не так критично, как аргумент). Идея в том что объединение некоторого числа тор-вочеров даст строго обоснованную претензию к DA лишь в случае если те постоянно online.

Таким образом проблема решается не беспокоя разработчиков, а между пользователями и
наблюдателями и возможно владельцами tor узлов и только при обнаружении серъёзных
доказательств выносится на обсуждение.

Как я уже высказался, лучше для начала воздержаться от беспокойства владельцев тор-нод – им итак достаётся проблем.

P. S. Это как защита дома от молнии с помощью громоотвода? Если она есть, то молния скорее всего не попадёт и кажется что она не нужна. Она ведь и так редко попадает. Но последствия попадания могут быть разрушительными.

Кстати, очень действенное сравнение. Поддерживаю написать об этом в письме в качестве красивой аллегории.

В целом набор опций выглядит хорошо.
Только по моему у нас у всех не до конца ясное представление о работе сети.

Всё что подписано DA лежит в /var/lib/tor/cached-status
Каждый список – от своего DA, можно узнать каким DA подписан ключ.
Там есть отпечаток каждого ключа и время. Принуждение DA к аудиту, как заметил SATtva не нужно.

Но это пока в версии 2. В версии 3 не так? И подпись какого-то хэша в начале списка относится
к последующей части файла? Или он не подписан и предъявить его в качестве доказательства нельзя?

Дальше, по этим отпечаткам ключей скачиваются сами ключи по мере возможности и складируются
в /var/lib/tor/cached-routers и /var/lib/tor/cached-routers.new. По методу разностей (диффа), но не побайтово, а по секциям,
как я понимаю.

Выяснить что в списке от DA есть ключ от несуществующего узла нереально: кто-то может включить узел ненадолго и тут же
вырубить. Кстати можно даже вызвать ложное срабатывание, если запускать и отрубать после авторегистрации в DA много tor серверов умышленно.

Единственное, что можно это после срабатывания выделять подозрительные ключи и переписываться с кем-то или связываться по
иному защищённому каналу и выявлять левые ключи.

Сомнение Роджера было не только в том, какие опции нужны для регистрации подозрительного,
но и в том, что делать пользователю, если сработал детектор на скачок статистики, чтобы кто-то параноидальный не
включил этих опций, а потом не морочил всем голову в рассылке, создавая панику,
не выяснив по-возможности предварительно сам в чём дело.

Когда средние значения отклонений для опций будут ясны (те, которые почти никогда не превышаются), их можно по умолчанию включить уже для всех.

Ну не будет такого никогда. Какие-то шутники собирались ставить серваки с тором незаметно на флэшках в какой-то университетской библиотеке.
Кто-то ещё что-то придумает.
Узлы теперь не регистрируют вручную. Каждый может стать узлом. Через время не больше 3 часов кажется он попадает в статистику DA.

По какой-то причине куча серваков исчезает (сбой), затем снова запускается, некоторые держат серваки на CDR генеря ключ после ребута в памяти.

Т.е. регистрация такого рода атаки очень опциональна, это не автоматическое детектирование, а скорее действительно аудит для особо желающих.

P. S. Кстати, китайцы в рассылке пару раз просили выслать статистику по
почте – у них были заблокированы только DA, но не вся сеть и после
подкладывания чужой статистики они могли работать.

А вот тут бага. Дело в том, что для того чтобы гарантировать что у тор-клиента есть все ключи тор-нод, которые подписал DA за сутки, ему надо сутки держать запущенным клиент, как минимум. Иначе DA сможет сказать, что те ноды, ключи которых он подписал, были в точности в то время онлайн, когда все тор-вочеры сидели незаконнекченными к тору.

Не совсем. Я исхожу из того, что группа скомпрометированных DA не будут настолько наглыми, что подпишут кучу левых ключей для всех.
Левые ключи будут поставляться лишь отдельным изолированным клиентам. А не по всему миру, не во всех странах и не во всей сети.

Кто-то, устроивший сговор с 50% DA не захочет это так публично выставлять, чтобы обнаружить было легче.

Пусть DA в списке подписывает время действия полученных ключей.

Каждый список? От своего DA, можно узнать каким DA подписан ключ.

Важно, есть ли там сама подпись от DA, или её клиент проверяет и уничтожает?

Но это пока в версии 2. В версии 3 не так? И подпись какого-то хэша в начале списка относится к последующей части файла? Или он не подписан и предъявить его в качестве доказательства нельзя?

Были торокопатели класса лыжы_асфальт и soot. Они бы могли точно сказать что к чему.

Дальше, по этим отпечаткам ключей скачиваются сами ключи по мере возможности и складируются в /var/lib/tor/cached-routers и /var/lib/tor/cached-routers.new.

Видимо, cashed-routers и есть пример собственно файла статистики...

Кстати можно даже вызвать ложное срабатывание, если запускать и отрубать после авторегистрации в DA много tor серверов умышленно.

Что касается этой атаки и беспокойства самого Роджера:

• Опция для параноиков. Кто хочет – включает лишь диагностику, никто никого не заставляет включать Actions.
• Если будет предпринята массовая атака по подключению большого числа тор-нод на короткое время, то не вижу ничего неадекватного в том что тор-клиенты на это среагируют и известят пользователя. Далее уже тор-team будет думать что с этим делать, я пока ничего предложить не могу.

На следует исходить из очень простого тезиса: от заметания мусора под ковёр сам мусор никуда не исчезает, так что опциональную (по желанию) диагностику включить надо – она делает лишь лучше. Далее: есть группа параноиков, она хочет хоть какую-то защиту – для них Actions. Атаку с массовым подсоединением новых нод к сети можно провести и сейчас, но это вряд ли кто обнаружит и никто толком ничего не сможет предпринять (банально нет инструментов) – так лучше что ли? Не стоит сразу хвататься за звёзды, давайте для начала протолкнём Diagnostics и Actions для параноиков и для диагностики возможных атак тор. Далее, может быть сам Роджер выскажет идеи что можно сделать против тех ддос атак.

Кстати, что приходит в голову против такой атаки: можно установить квоту – число возможных подключений тор-нод к тор сети за единицу времени исходя из реальной статистики (чтобы очередь не накапливалась и атака не проканывала). – почему бы и нет? Сейчас все сайты устанавливают счётчики на скачку файла например – это чем-то напоминает то.

Всё это, как я понимаю, можно делать сторонним скриптом, зачем беспокоить разработчиков? На чём нынче принято писать межплатформенные скрипты?

Всё это, как я понимаю, можно делать сторонним скриптом, зачем беспокоить разработчиков?

Секцию Diagnostics, возможно, и можно (пока ещё не ясно до конца).
Секцию Actions нельзя написать (скрипт может реагировтаь лишь постфактум, а это может уже оказаться поздно).
Там предлагается скрипт, но он кроме того должн быть ещё и интегрирован в функционал tor'а (tor его должен запускать). Кстати, если узлов – сотни, не факт что это будет делаться достаточно быстро.
Кроме того, действия скрипта в стиле "перехватить статистику, успев создать её бэкап в другом каталоге" я считаю извращением.
Это всё-таки базовые вещи, потмоу сам tor тоже надо допиливать.
Другое дело, что можно самим попатчить тор-клиент, так как протокол совершенно не меняется. НО... я не программист.

Важно, есть ли там сама подпись от DA, или её клиент проверяет и уничтожает?

Да, именно это для меня не ясно.

Были торокопатели класса лыжы_асфальт и soot. Они бы могли точно сказать что к чему.

Именно soot говорил в этом треде, что в v.3 клиент получает уже согласованный между нодами список,
если я правильно понял. У меня клиента с поддержкой v.3 пока нет. Если это так, то это плохо
для аудита. Они там по тихому между собой голосуют, что затрудняет обнаружение
атаки :-)

Видимо, cashed-routers и есть пример собственно файла статистики...

Смотря что называть статистикой.
Раньше всё было в одном файле, теперь это просто разделили, чтобы разгрузить DA и равномернее
распределить нагрузку между зеркалами.
отпечатки ключей в cached-status, а сами ключи и подробности об узлах в большом файле cached-routers.

Причём файл cached-routers скачивается и обновляется постепенно. Так что анализировать его труднее.
И обмениваться им нежелательно в отличие от cached-status, который у всех примерно одинаковый
(различия по времени некритичны и не указывают ключей каких узлов не хватало клиенту, каких он
не использовал в цепочках на какой-то определённый момент времени).

Если в v.3 действительно клиенту поставляется готовый cached-status с отпечатками, уже подписанный всеми DA,
то это ещё больше разгружает и DA и зеркала на узлах, но для нашего предложения это хуже :-(

Поэтому и хорошо хотя бы раз в сутки с каждого DA требовать подробный отчёт по каждому подписанному ключу
тор-узла с указанием времени появления и исчезновения его из статистики.

В cashed-routers есть для каждого узла opt write-history и opt right history.
Про это и про многое другое хорошо бы почитать в спецификациях, прежде чем нас опять вежливо отправят это делать.

Если будет время, предлагаю примерно в течении следующей недели выучить почти наизусть спецификации
и v.1, и v.2 и v.3, чтобы было можно обсуждать более предметно.

Если будет предпринята массовая атака по подключению большого числа тор-нод на короткое время, то не вижу ничего неадекватного в том что тор-клиенты на это среагируют и известят пользователя. Далее уже тор-team будет думать что с этим делать, я пока ничего предложить не могу.

Это они и так мониторят без помощи клиентов, собирая и анализируя статистику с DA.
Им возможно бы интересно только знать что у отдельных клиентов картина tor-сети отличается от общей.

Кстати, что приходит в голову против такой атаки: можно установить квоту – число возможных подключений тор-нод к тор сети за единицу времени исходя из реальной статистики

Может это уже есть? DA регистрируют узлы почему то через неодинаковые промежутки времени, может есть и очереди и квоты.
Надо спецификации читать, учитывая ещё что они местами и устаревшие и неполные.

отпечатки ключей в cached-status, а сами ключи и подробности об узлах в большом файле cached-routers.

Нужны подробности, в один-два абзаца о том как это всё происходит, протокол обновления статистики. Без этого говорить о конкретике невозможно.

Если в v.3 действительно клиенту поставляется готовый cached-status с отпечатками, уже подписанный всеми DA

А там вообще есть какие-нить подписи кого-нибудь из DA?

Если будет время, предлагаю примерно в течении следующей недели выучить почти наизусть спецификации и v.1, и v.2 и v.3, чтобы было можно обсуждать более предметно.

Блин, как всё не просто... А по какому протоколу сейчас работает большинство? Я не уверен что это спецификации, подробные и внятные, на каждый протокол есть (в терминах ИДЕИ а не в терминах программистских выпендрёжов). Мне например пох как называется та или иная функция, я бы хотел видеть, меня интересует сама научная идея организации доставки статистики, и мне кажется что прийдётся изучать всю рутину чтобы это понять, но на рутину у меня к сожалению уже нет времени (pgpru.com съедает много времени, да...).

Можно перевести вопрос в плоскость "есть пример атаки" на то, то и то – сделайте что-нибудь. Мне не нравится сама идея, что они полагаются на то, что ключи DA никем не будут похищены и DA всегда можно доверять. Это сродни доверию что владелец сервиса-анонимайзера не сдаст ваши логи когда его прижмут. В общем, есть вариант объяснить вкратце идею решения в рассылке, а уже как её конкретно согласовать с протоколомроем протоколов – оставить Роджеру. Сразу честно скажу что спецификации читать не буду, я итак оборзел – нифига не делаю по учёбе. Если кто-то поймёт логику работы со статистикой и кратко, внятно её изложит – можно будет ещё пообсуждать, иначе, видимо, ограничимся "вбиванием кола" что "проблема существует".

Блин, как всё не просто... А по какому протоколу сейчас работает большинство?

Стабильные на втором. Третий только в альфа-версиях и он в стадии разработки.

Я не уверен что это спецификации, подробные и внятные, на каждый протокол есть (в терминах ИДЕИ а не в терминах программистских выпендрёжов). Мне например пох как называется та или иная функция, я бы хотел видеть, меня интересует сама научная идея организации доставки статистики

Там изложено именно так как вы хотите. На уровне идеи.

Сразу честно скажу что спецификации читать не буду, я итак оборзел – нифига не делаю по учёбе.

Я Вас понимаю. Предлагаю сделать перерыв примерно на неделю, если ничего революционного в голову не прийдёт.

Если кто-то поймёт логику работы со статистикой и кратко, внятно её изложит – можно будет ещё пообсуждать

Надеюсь у меня будет свободное время за неделю подробно осмыслить все спецификации. Там совместными усилиями двинемся дальше.

Можно перевести вопрос в плоскость "есть пример атаки" на то, то и то – сделайте что-нибудь.

Они думаю лучше нас понимают чего можно придумать, если иметь ключи от DA. Того что было изложено в новогоднем письме было достаточно.

иначе, видимо, ограничимся "вбиванием кола" что "проблема существует".

ну мы и так уже много чего придумали.

тезисно кратко пока:

• проблема существует и может породить кризис доверия

• первый уровень защиты (автономный): выявление аномалий в статистике; второй (сетевой) сравнение с другими источниками по защищённым каналам выявленных подозрительных ключей; совместное решение с tor watchers о нахождении фальшивых ключей и выявление скомпрометированных DA

Так или иначе всё что нужно для защиты от атаки это определение того, что клиент видит искажённую картину tor-сети что выявляется или автономно или относительно к другим источникам.
Может разработчики могут предложить совершенно иной способ решения.

Ясно. Хорошо.

Собственно, чтение спецификаций не дало ничего интересного.

Статистика состоит как и говорилось выше из двух частей: статуса сети /var/lib/tor/cached-status и дескрипторов узлов (/var/lib/tor/cached-routers и /var/lib/tor/cached-routers.new).


Статус сети – это то что подписывают DA, там в основном отпечатки ключей узлов и очень краткое их обозначение. В версии 2 каждый отдаёт список порознь, пользователь скачивает все списки и сам по ним голосует.

В версии 3 готовый консенсус с подписанным всеми DA статусом голосования (консенсусом). В консенсусе есть подписи всех согласных нод.

V3 не только разгружает сеть, но и даёт всем пользователям одинаковые данные без рассинхронизации между DA (рассинхронизация нежелательна из-за возможных атак разделения). В статусе содержатся только отпечатки и краткое описание узлов.

Дескрипторы – это уже подробное описание узлов, их ключи, политики и т.д.
Они могут скачиваться по частям.

Если что то анализировать, так это файл статуса сети.
Собственно все опции укладываются просто в разность уникальных ключей и их количества в предыдущем и текущем статусе.

Вот что на основе ваших опций, spinore, придумалось:

Если имеется N_k ключей нод и N_k+1 за интервал обновления, можно сравнивать увеличение/уменьшение их количества:

C=N_k+1/(N_k) – изменение общего кол-ва ключей (на самом деле это показывает число нод)

I – число совпадающих ключей между списками N_k+1 и N_k (индекс совпадающих ключей)

Его максимальное значение не может быть больше размера меньшего из списков:

max I = min (N_k+1, N_k)

Чем ближе C к единице, а I к своему максимуму (т.е. меньшему значению между N_k и N_k+1), тем стабильнее tor-сеть.

Пусть D = I/I_max – индекс изменения ключей. Тогда и D будет стремиться к единице при стабильной сети.

D <=1 (всегда); C<1 при уменьшении числа узлов, C>1 при увеличении.

Увеличение числа узлов опаснее. Также как и уменьшение числа совпадающих ключей.

Тогда можно подсчитать стабильность сети в самом примитивном виде как некое S=C/D

Чем больше единицы значение S, тем опаснее. Ну и чтобы D не равно было нулю, а то вообще хана :-)

Только как отслеживать данные между интервалами? Например часть нод пропала из статистики, а затем
появилась снова, но не с новыми ключами, а с теми которые и были? (Некоторые тор-ноды работают по крону:
только по ночам или по выходным).

Другие подозрительные параметры, о которых мы писали в письме не вытащить из статистики: это верная
статистика (статус сети), но неверные ключи, заблокированные ноды и т.д. Само по себе это об атаке
не свидетельствует, но в сочетании с повышением индекса S усиливает подозрение.

Таким статистическим анализом можно выявить подозрительные ключи (чем их больше и чем быстрее они вброшены,
тем это будет эффективнее).

Затем их можно прдъявлять как доказательство, сравнивая с данными по индексу S за определённое время и с ключами у других пользователей.

К индексу S (а также к C, D и всему остальному) можно прикрутить построение графиков, вычисление их собственной статистики "хи-квадрат" и прочее.

Но всё это трудно автоматизировать и похоже требует вынесения в отдельную утилиту.

Возможно это следует внести в проект torflow

Если на нём обкатают, тогда только можно думать о какой-то автоматизации и включение в сам tor. А так маловероятно.