09.04 // Деанонимизация BitTorrent пользователей, совместно использующих сеть Tor


Состояние холодной войны между P2P пользователями и "антипиратскими" организациями приводит к попыткам использовать для файлообмена анонимные сети, позволяющие скрыть личность пользователей. Однако, если протокол P2P сам по себе неспособен обеспечить анонимность, то он создаёт опасность утечки данных, раскрывающих пользователей, даже если он запущен под прикрытием анонимной сети.

Исследователи Stevens Le Blond, Pere Manils, Abdelberi Chaabane, Mohamed Ali Kaafar, Arnaud Legout, Claude Castellucia, Walid Dabbous из французского национального иснтитута исследований в области компьютерных наук и управления I.N.R.I.A[link1] опубликовали анонс исследования "De-anonymizing BitTorrent Users on Tor"[link2], в котором они предложили три атаки по деанонимизации пользователей BitTorrent внутри сети Tor.

Совместное использование BitTorrent и Tor не приветствуется разработчиками сети Tor, так как нагружает сеть Tor избыточным трафиком, тем не менее многие пользователи прибегают к трём различным сценариям совместного использования: (1) использовать Tor для соединения с сервером (трэкером) для получения списка файлообменных узлов, у которых есть искомый файл, (2) для соединения с другими узлами для распространения файла, (3) для того и другого одновременно.

Исследователи запустили 6 исходящих узлов сети Tor и в течении 23 дней убедились, что атакуюший может деанонимизировать пользователя в любом из трёх вариантов использования. В дополнение к этому, если цепочки пользователя разделяются с другой сетевой активностью (например, посещение вэб страниц), то возможна также и деанонимизация сопутствующего пользовательского трафика. Исследователи предложили три различные атаки.

В первой атаке на исходящем узле просто прослушиваются контрольные сообщения BitTorrent для поиска IP-адреса пользователя. В частности сообщение, анонсирующее, что клиент посылает трэкеру запрос на список файлообменных узлов, распространяющих контент и расширенные сообщения подтверждения установления соединения, иногда содержат IP адрес пользователя в открытом виде.

Во второй атаке список файлообменных узлов, запрашиваемых пользователем подменяется на такой, в котором часть IP-адресов этих узлов контролируется атакующим. Если пользователь будет соединяться с этими узлами напрямую (не через Tor, используя Tor только для соединения с трекером), то выдаст свой IP-адрес.

В третьей атаке используется свойство DHT (хэш-таблиц распределённого контента) для поиска IP-адреса пользователя. Поскольку Tor не осуществляет транспорт UDP, то IP адрес пользователя попадает в DHT, минуя Tor. При этом атакующий, зная какой порт использует пользователь (так как они распределяются равномерно) и зная идентификатор контента, может вычислить IP-адрес пользователя. DHT-атака достаточно точна и работает, даже если пользователь соединяется с другими пользователями файлообменной сети также только через Tor.

Используя DHT-атаки и атаки перехвата, исследователи деанонимизировали 9000 IP-адресов, с которых использовался BitTorent через Tor, а для отдельных пользователей, используя распознавание смешивания трафика от разных сетевых приложений, одновременно работающих на пользовательской машине через одну Tor-цепочку, были составлены профили анонимного вэб-браузинга таких пользователей.

Подробнее работа будет представлена на конференции 7th USENIX Symposium on Network Design and Implementation (NSDI '10), San Jose, CA: United States (2010)[link3]

Источник: ArXiv.org: Cryptography and Security[link2]

Ссылки
[link1] http://www.inria.fr/

[link2] http://arxiv.org/abs/1004.1267

[link3] http://www.usenix.org/events/nsdi10/