28.12 // Потенциальные возможности пассивного анализа трафика Tor
На конференции Chaos Computer Club Congress в Берлине, исследователи из института Регенсбурга представили новые предупреждения о недостаточной защите анонимности пользователей, которую предоставляет сеть Tor.
Подробности их атаки неизвестны. По общему описанию можно понять, что раскрыть трафик пользователя как открытую книгу невозможно. Однако, если атакующий является провайдером пользователя, точкой беспроводного доступа или иной сетевой структурой, сотрудничающей с правоохранительными органами, то атака на раскрытие анонимности становится возможной.
Как сообщил Доминик Херрман, исследователь из Регенсбурга по вопросам профилирования и атак на основе статистических отпечатков, разработчики озабочены данной проблемой и пытаются предпринять контрмеры, что однако будет досточно сложноосуществимым.
Tor всего-лишь средство маскировки в сети, но не средство сокрытия самого факта коммуникации. Он пытается противостоять анализу трафика, чтобы зная циркулирующие в сети незашифрованные заголовки, наблюдатель в определённых случаях не мог делать заключения о личности, местоположении, профессии, социальных связях пользователя.
Для сокрытия этой информации Tor пропускает сообщения через множество промежуточных узлов добровольцев, каждый из которых знает предыдущий и последующий шаг в цепочке.
После установления цепочки, сам по себе никакой скомпрометированный узел теоретически не может связать данные о пути с передаваемой информацией.
По последним измерениям в сети Tor, сеть используют от 100000 до 300000 пользователей в день.
Херманн и его помощники утверждают, что потенциальный злоумышленник, прослушивающий конечный участок, наиболее близкий к сети пользователя, может строить предположения о том, к каким ресурсам он обращается.
Атакующий (например провайдер интернета, проинструктированный правоохранительными органами) создаёт список сайтов, которые прослушиваемый пользователь потенциально может посещать. Затем они (представители прослушивающей стороны) сами запускают Tor и создают список отпечатков этих сайтов (вероятно подразумеваются образцы статистического распределения объёма по времени для шифрованного трафика).
Путём перехвата Tor-соединений пользователя и сравнения их с базой данных отпечатков сайтов в автоматическом режиме группе Хермана удалось достичь 50-60% распознаваемости. Как он отмечает — это конечно недостаточно для судебного доказательства, но весьма некомфортно, для тех, кто ожидает для себя высокой степени приватности.
На успех прослушивающей стороны влияют много факторов — путь до сетевого ресурса, его наполненность контентом, специфичность. Так, сайты, которые копируют наиболее популярные ресурсы (например сервисы Google) будут распознаваться значительно хуже. Кроме того, пользователь может скачивать несколько сайтов одновременно, что резко снижает шансы атакующего.
Исследователи не пытаются разубедить пользователей отказаться от использования Tor, который всё равно остаётся одним из лучших средств достижения анонимности в сети (это вероятно означает, что и другие анонимные сети будут подвержены схожим атакам).
Можно отметить, что исследования такого рода не новы, публиковались ранее и находились в поле внимания разработчиков проекта Tor. Предложенные разработчиками варианты защиты оказались пока теоретически интересными, но непрактичными. Кроме того, по предыдущим исследованиям, Tor лучше других систем анонимного доступа справлялся с атаками на основе статистических отпечатков.
Из приведёной заметки неясно, как исследователям удалось получить высокий результат и в чём заключается принципиальная новизна их работы. Можно предположить, что база отпечатков составляется непосредственно у провайдера или в сети пользователя, что даёт больше точности или используются улучшенные методы сравнения, но более конкретные выводы можно будет делать после публикации работы и комментариев разработчиков проекта Tor.
Источник: Arstechnica
комментариев: 9796 документов: 488 редакций: 5664
Пока другого источника нет. А так замечания верные, ничего по сути там не объяснено, можно трактовать как угодно, плюс не сказано сколько "false positive". Но судя по предыдущим работам (где больше изучался не Tor, а некий абстрактный VPN) может (должно?) быть похоже именно на тот вариант, который вы сказали.
В рассылке or-talk Ник и Роджер (разработчики Tor) сами теряются в догадках. По видео с презентации мало что понятно, а опубликованной работы нет. Авторы с ними не связывались. Материалы, на которые они ссылаются, есть в списке публикаций http://freehaven.net/ и разработчикам известны. Про пассивный fingerprinting разработчики знали с 2002 года, также как и то, что он улучшался за всё это время.
P.S. Вот у нас кто-то в форуме большие сканы картинок с задачами по криптографии размещал. Так при просмотре этих страниц через Tor, графический паттерн трафика получался очень характерный. И почему-то чисто визуально резко непохожий на просмотр других картинок аналогичного размера. Если его сравнить с образцом, то можно уверенно показать, что пользователь смотрит в интернете именно это (если провайдер заведомо хочет именно это и проверить).
комментариев: 9796 документов: 488 редакций: 5664
Ну даже на
таких примитивных прогах заметно или там, сенсорах KDE. В Linux это читается из /proc/net/dev
Можете сами сдампить трафик и более подробно разобрать по пакетикам и хоть в гнуплоте его рассматривать, если не нужен реалтайм.
Чисто визуально при просмотре заглавных страниц разных сайтов или каких-то специфических видах сетевой активности паттерн заметен. Возможности для статистической обработки есть, что давно не секрет. Разработчики спорят, насколько это применимо за пределами лабораторных экспериментов и также пока недоумевают, за счёт чего могли особо продвинуться докладчики.
комментариев: 9796 документов: 488 редакций: 5664
Причём необязательно сглаживающий, ИМХО достаточно небольших характерных "вбросов", чтобы паттерн активности был случайным.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Если он для этого запускает разных Tor-клиентов, то и цепочки будут построены разные. Следовательно, их можно рассортировать на отдельные сеансы по заголовкам SSL-сессий.
Если через одно соединение смотреть одновременно несколько разных сайтов, то это снижает успех атаки, что указано в новости. Что не указано и к данной новости имеет косвенное отношение — это то, что так потенциально увеличиваются возможности для атак, построенных на других принципах и моделях угрозы (разделение и профилирование).
По пересказу в рассылке длинной презентации с ютуба, Tor'у там уделена лишь часть доклада. Разглядели и поняли там примерно следующее (пересказ пересказа пересмотра, где на видео заметен всего один слайд, дополненный домыслами и интерпретациями):
Без применения пункта 2 и неких улучшенных алгоритмов самообучения по наполнению базы, якобы вероятность была не больше 3%.
Работа вроде-бы основана на кандидатской Андрея Панченко, которую обещают опубликовать.
комментариев: 9796 документов: 488 редакций: 5664
Для скрытых сервисов оно тоже работает?
Почему это так важно? Firefox с torbutton под разными ОС будет работать по-разному? На Дебиане не так, как на Убунту?
комментариев: 9796 документов: 488 редакций: 5664
Аналогичные вышеприведённым вопросы...