id: Гость   вход   регистрация
текущее время 12:57 08/04/2020
Владелец: unknown (создано 10/01/2007 16:08), редакция от 10/01/2007 19:43 (автор: SATtva) Печать
Категории: софт, анонимность, анализ трафика, tor, уязвимости, хард, атаки
http://www.pgpru.com/Новости/2007/01-10-ТермовременнаяАтакаПротивСкрытыхСервисовСетиTOR
создать
просмотр
редакции
ссылки

10.01 // Безопасность // Термовременная атака против скрытых сервисов сети TOR


Обнаружен новый канал утечки информации с компьютеров – термовременный. Он базируется на том простом факте, что чем выше нагрузка процессора, тем выше температура и выше отклонение в работе системных часов и прерываний. Можно вводить стабилизацию. Можно усиливать охлаждение. Можно нагружать компьютер случайными процессами. Можно отключить трансляцию времени в пакетах. Но это не изменит общей картины: при изменении нагрузки будут относительно синхронно меняться параметры TCP-пакетов, которые можно выделить, отфильтровать от шумов и сопоставить друг с другом.


Для сети TOR это означает возможность перебора серверов путём посылки загружающего трафика и измерения параметров приходящих пакетов. Рано или поздно можно будет вычислить весь маршрут анонимной цепочки от тестирующего компьютера до точки встречи и соответственно до скрытого сервиса.


Работа на эту тему называется file"Hot or Not: Revealing Hidden Services by their Clock Skew". Автор – Стивен Дж. Мёрдок, один из разработчиков tor, работающей в Кэмбриджском университете. Код "эксплойта" прилагается. Отмеченные результаты могут быть достигнуты через 10-12 часов при трансатлантическом соединении, при этом можно обнаружить изменение температуры в 1–2°С между нагруженным и ненагруженным сервером.


Данный факт ещё раз доказывает, что даже при огромном объёме научных исследований создание анонимных сетей находится ещё в самой ранней стадии и представляет собой очень непростую задачу.


Источник: filehttp://www.cl.cam.ac.uk/~sjm217/papers/ccs06hotornot.pdf


 
— unknown (11/01/2007 15:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Собственно, поскольку новость старая и работа обсуждалась ещё в сентябре прошлого года, тогда же разработчики высказали своё мнение, на главной странице у нас можно её не публиковать.
— unknown (12/01/2007 11:39, исправлен 12/01/2007 12:00)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
P. S. Возможна также термогеолокация сервера: приблизительное определение его географической ширины и долготы при сравнении его рабочих колебаний температуры с суточными и сезонными данными метеорологических спутниковых наблюдений.
— spinore (12/01/2007 20:11)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Ну и насколько там рабочий "эксплоит"? С какой вероятностью может детектить?
— unknown (12/01/2007 20:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
С ненулевой :-) Т.е. неопределённо низкой. Интересно, что парадоксальным образом, чем больше будет серверов в сети и чем лучше она будет работать, тем эффективнее будет этот метод, т.е. это атака может создать проблему в будущем.

Пока разработчики высказались в том духе, что существует масса аналогичных атак, в соответствующих работах они описаны, а концепция entry guard nodes, использованная в последних версиях tor, помогает снизить их и без того невысокую эффективность.
— unknown (12/01/2007 20:55, исправлен 12/01/2007 20:56)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вероятность обнаружения скрытого сервиса также резко снижается:

1) если он размещен не совместно с сервером tor (но тогда снижается возможность отрицания при помощи покрывающего траффика). Т.е. если скрытый сервис не имеет публичного IP, известного кому-либо, кроме владельца.

2) Отключён timestamping в пакетах

3) Фильтруются заголовки времени в пакетах предоставляемого web-сервиса
— Гость (13/01/2007 11:50)   <#>
Объясните непонятливым – а как узнать температуру процессора на удаленном сервере? Или я всё не так понял?
— spinore (13/01/2007 18:10)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Температуру вы не узнаете. Вы узнаете разность температур процессора по отношению к стандартному режиму. А это разность температур связана с забитостью канала.
— unknown (13/01/2007 20:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Кажется, новость всё-таки заслуживает интереса.

Кому интересно, советую скачать fileслайды 5.6 M, где всё наглядно показано, кроме того там есть новые тезисы, не вошедшие в работу, наглядное представление других атак на tor. Это то, что было представлено на конференции 23rd Chaos Communication Congress и возможно будет на USENIX Security 2007.

Создавая нагрузку в компьютере можно организовать стеганографический канал утечки данных, который пройдёт через все файрволлы. А если два компьютера находятся в одной стойке, то можно передавать данные с одного на другой, как это не бредово звучит, прямо по воздуху – несколько битов в час, но этого достаточно, чтобы незаметно похитить ключ шифрования или пароль.

Работа систем кондиционирования и другие температурные факторы также позволяют установить факт работы компьютеров в одном помещении. Тоже интересная корреляция, если будут искать скрытый сервис среди крупных хостеров.

Также можно выделять количество хостов за файрволом, запуск ОС в виртуальной машине, идентифицировать компьютер в сети даже при смене его IP, провайдера, определить его перемещение в район с другим температурным климатом или другое помещение и т.д.

Всё это на уровне предположений, но позволяет при некотором везении разрушить анонимные протоколы связи.
— spinore (14/01/2007 15:35)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
unknown так шустро отвечает, как будто сам соавтор всего этого :) респект.
— unknown (14/01/2007 18:19, исправлен 14/01/2007 18:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
unknown так шустро отвечает, как будто сам соавтор всего этого :) респект.

К сожалению, шустро – значит торопливо и урывками.

За :) респект спасибо, но это Вы меня перехвалили. Скорее следовало не торопиться с новостью в кратком виде, а внести все последующие комментарии в её текст, чтобы она была более развёрнутой, понятной и интересной изначально. Вот SATtva всегда печатает более основательно подготовленные материалы, правда? Давайте и ему респект напечатаем :) :) :)
— SATtva (14/01/2007 19:34)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
Да, давайте напечатаем! Тем более у него завтра День рожденья. ;-))

А вообще тут все молодцы... в сугубо позитивном смысле слова. :-)

Скорее следовало не торопиться с новостью в кратком виде, а внести все последующие комментарии в её текст

Для этого и предназначены комментарии. Но, в принципе, внести изменения в текст можно даже сейчас при желании.
— unknown (14/01/2007 21:23)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Желание есть, но с началом новой недели уже не успеваю. Если не сложно, можете собрать всё воедино в связный текст в рассылке новостей.

И поздравлю с Д. Р., всего самого самого и чтобы то, за что Вас все ценят, у Вас получалось всё лучше и лучше!
— SATtva (15/01/2007 13:07)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
Спасибо Вам, воспользуюсь пожеланием и постараюсь оправдать на все сто! :-)

Тоже кросспостинг.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3