28.12 // Потенциальные возможности пассивного анализа трафика Tor


На конференции Chaos Computer Club Congress[link1] в Берлине, исследователи из института Регенсбурга представили новые предупреждения о недостаточной защите анонимности пользователей, которую предоставляет сеть Tor.

Подробности их атаки неизвестны. По общему описанию можно понять, что раскрыть трафик пользователя как открытую книгу невозможно. Однако, если атакующий является провайдером пользователя, точкой беспроводного доступа или иной сетевой структурой, сотрудничающей с правоохранительными органами, то атака на раскрытие анонимности становится возможной.

Как сообщил Доминик Херрман, исследователь из Регенсбурга по вопросам профилирования и атак на основе статистических отпечатков, разработчики озабочены данной проблемой и пытаются предпринять контрмеры, что однако будет досточно сложноосуществимым.

Tor всего-лишь средство маскировки в сети, но не средство сокрытия самого факта коммуникации. Он пытается противостоять анализу трафика, чтобы зная циркулирующие в сети незашифрованные заголовки, наблюдатель в определённых случаях не мог делать заключения о личности, местоположении, профессии, социальных связях пользователя.

Для сокрытия этой информации Tor пропускает сообщения через множество промежуточных узлов добровольцев, каждый из которых знает предыдущий и последующий шаг в цепочке.
После установления цепочки, сам по себе никакой скомпрометированный узел теоретически не может связать данные о пути с передаваемой информацией.

По последним измерениям в сети Tor[link2], сеть используют от 100000 до 300000 пользователей в день.

Херманн и его помощники утверждают, что потенциальный злоумышленник, прослушивающий конечный участок, наиболее близкий к сети пользователя, может строить предположения о том, к каким ресурсам он обращается.

Атакующий (например провайдер интернета, проинструктированный правоохранительными органами) создаёт список сайтов, которые прослушиваемый пользователь потенциально может посещать. Затем они (представители прослушивающей стороны) сами запускают Tor и создают список отпечатков этих сайтов (вероятно подразумеваются образцы статистического распределения объёма по времени для шифрованного трафика).

Путём перехвата Tor-соединений пользователя и сравнения их с базой данных отпечатков сайтов в автоматическом режиме группе Хермана удалось достичь 50-60% распознаваемости. Как он отмечает — это конечно недостаточно для судебного доказательства, но весьма некомфортно, для тех, кто ожидает для себя высокой степени приватности.

На успех прослушивающей стороны влияют много факторов — путь до сетевого ресурса, его наполненность контентом, специфичность. Так, сайты, которые копируют наиболее популярные ресурсы (например сервисы Google) будут распознаваться значительно хуже. Кроме того, пользователь может скачивать несколько сайтов одновременно, что резко снижает шансы атакующего.

Исследователи не пытаются разубедить пользователей отказаться от использования Tor, который всё равно остаётся одним из лучших средств достижения анонимности в сети (это вероятно означает, что и другие анонимные сети будут подвержены схожим атакам).

Можно отметить, что исследования такого рода не новы, публиковались ранее и находились в поле внимания разработчиков проекта Tor. Предложенные разработчиками варианты защиты оказались пока теоретически интересными, но непрактичными. Кроме того, по предыдущим исследованиям, Tor лучше других систем анонимного доступа справлялся с атаками на основе статистических отпечатков.

Из приведёной заметки неясно, как исследователям удалось получить высокий результат и в чём заключается принципиальная новизна их работы. Можно предположить, что база отпечатков составляется непосредственно у провайдера или в сети пользователя, что даёт больше точности или используются улучшенные методы сравнения, но более конкретные выводы можно будет делать после публикации работы и комментариев разработчиков проекта Tor.

Источник: Arstechnica[link3]

Ссылки
[link1] http://events.ccc.de/congress/2010/wiki/Main_Page

[link2] https://metrics.torproject.org/users.html

[link3] http://arstechnica.com/tech-policy/news/2010/12/flaws-in-tor-anonymity-network-spotlighted.ars