19.11 // Новый вид теоретической атаки по деанонимизации в Tor
Группа исследователей из университетов США, Италии и Индии опубликовал доклад с описанием техники атаки, позволяющей с достаточной высокой вероятностью сопоставить запросы пользователей до и после прохождения цепочки анонимизации в сети Tor. В частности, исследователи в 81.4% случаев смогли правильно сопоставить исходный запрос и запрос после анонимизации (выяснить реальный IP), использовав только предоставляемые маршрутизаторами (через Netflow) метаданные о потоках пакетов, при условии, что пользователь обратился к сайту, подконтрольному атакующему. Для успешного сопоставления, съём данных о трафике должен осуществляться в двух точках – на пути между пользователем и входящим узлом Tor и между выходящим узлом Tor и целевым сайтом.
Суть метода состоит в отдаче пользователю с подконтрольного атакующими сайта контента, приводящего к определённым всплескам трафика, которые можно сопоставить с изменением параметров потока пакетов (число пакетов, размер и распределение поступления пакетов во времени), получаемых через Netflow. Так как Tor минимально влияет на флуктуации трафика, особенности изменения параметров трафика, выявленные на отрезке между сайтом и точкой выхода Tor, коррелируют с параметрами, получаемыми на отрезке между пользователем и точкой входа Tor, что можно использовать как признак для осуществления деанонимизации. В качестве метода для защиты от указанного вида атак предлагается добавлять дополнительные задержки для нарушения однородности трафика.
По мнению разработчиков Tor, атаки, основанные на корреляции потоков данных, не новы, но, как правило, ограничиваются теорией, так как при текущем числе узлов Tor требуют огромной работы для реализации на практике. По своему дизайну Tor пытается защитить трафик от анализа, но не рассчитан на защиту от атак по определению корреляции трафика до и после входа в Tor. Предложенный исследователями тип атаки приводит к ложным срабатываниям примерно в 19% случаев (12.2% ложных отрицательных результатов и 6.4% ложных положительны результатов), что слишком много для уверенного определения и не позволяет рассматривать атаку как эффективную. При том, что значение в 81.4% попаданий получено не на реальной сети, а в условиях синтетического эксперимента. Кроме того, для успешного проведения атаки и охвата большей части узлов Tor необходимо наличие контроля над тысячами маршрутизаторов в разных частях света.
Источник: http://www.opennet.ru/opennews/art.shtml?num=41094
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1079 документов: 58 редакций: 59
комментариев: 9796 документов: 488 редакций: 5664
Не значит. Удаляется и критикуется только откровенный бред. Возможно, что для вынесения своего мнения до чтения оригинальной работы из новости я доберусь не скоро или вообще никогда.
Здесь есть масса таких тем, которые мне никак неинтересны и если там уровень бреда явно не зашкаливает, то я их подробно не читаю. Например, этот раздел. Понятия не имею, насколько (не)нужно то, что там написано. Мне лично — нет, для остальных — пусть будет, но я не даю оценки правильности написанного.
комментариев: 9796 документов: 488 редакций: 5664
Ложь. А еще опасные темы про работу и закладки спецслужб.
Что значит характеристика "FUD" удаленного документа?
комментариев: 11558 документов: 1036 редакций: 4118
опасныебредовые темы про работу и закладки спецслужб.fixed
https://en.wikipedia.org/wiki/.....ncertainty_and_doubt
https://en.wikipedia.org/wiki/Female_urination_device
опасныебредовые темы про работу и закладки спецслужб.Ай-ай, как нехорошо коверкать чужие цитаты.
У меня были удалено сообщение 83469 (о закладках в графич.-аудио-видео-редакторах на выявление стего) в теме Стеганография с характеристикой FUD и еще, помню, сообщение 83301 (об ограничениях работы с базами данных, полная отслеживаемость запросов) в теме Ошибка в структуре российской хэш-функции Stribog... с комментарием от unknown, что мол нечего здесь обсуждать не имеющее отношение к теме.
(так, штатные профилировщики, профилируем, сличаем стили речи, не сачкуем)
Ну, было еще десяток-два удаленной чистой политоты, которую не беру в расчет.
Можно было сразу на русском
комментариев: 9796 документов: 488 редакций: 5664
Новость заслужила уже две официальных заметки в торблоге. Помимо не вполне официальных коментов ;)
комментариев: 11558 документов: 1036 редакций: 4118
И какие претензии к модератору в данном случае? Коммент был из разряда чайника Рассела, конструктива ноль, точно так же можно рассуждать, что все мы живём в Матрице. Когда сможете представить хотя бы какой-то тесткейс, подтверждающий Вашу гипотезу, тогда и поговорим.