09.04 // Деанонимизация BitTorrent пользователей, совместно использующих сеть Tor
Состояние холодной войны между P2P пользователями и "антипиратскими" организациями приводит к попыткам использовать для файлообмена анонимные сети, позволяющие скрыть личность пользователей. Однако, если протокол P2P сам по себе неспособен обеспечить анонимность, то он создаёт опасность утечки данных, раскрывающих пользователей, даже если он запущен под прикрытием анонимной сети.
Исследователи Stevens Le Blond, Pere Manils, Abdelberi Chaabane, Mohamed Ali Kaafar, Arnaud Legout, Claude Castellucia, Walid Dabbous из французского национального иснтитута исследований в области компьютерных наук и управления I.N.R.I.A опубликовали анонс исследования "De-anonymizing BitTorrent Users on Tor", в котором они предложили три атаки по деанонимизации пользователей BitTorrent внутри сети Tor.
Совместное использование BitTorrent и Tor не приветствуется разработчиками сети Tor, так как нагружает сеть Tor избыточным трафиком, тем не менее многие пользователи прибегают к трём различным сценариям совместного использования: (1) использовать Tor для соединения с сервером (трэкером) для получения списка файлообменных узлов, у которых есть искомый файл, (2) для соединения с другими узлами для распространения файла, (3) для того и другого одновременно.
Исследователи запустили 6 исходящих узлов сети Tor и в течении 23 дней убедились, что атакуюший может деанонимизировать пользователя в любом из трёх вариантов использования. В дополнение к этому, если цепочки пользователя разделяются с другой сетевой активностью (например, посещение вэб страниц), то возможна также и деанонимизация сопутствующего пользовательского трафика. Исследователи предложили три различные атаки.
В первой атаке на исходящем узле просто прослушиваются контрольные сообщения BitTorrent для поиска IP-адреса пользователя. В частности сообщение, анонсирующее, что клиент посылает трэкеру запрос на список файлообменных узлов, распространяющих контент и расширенные сообщения подтверждения установления соединения, иногда содержат IP адрес пользователя в открытом виде.
Во второй атаке список файлообменных узлов, запрашиваемых пользователем подменяется на такой, в котором часть IP-адресов этих узлов контролируется атакующим. Если пользователь будет соединяться с этими узлами напрямую (не через Tor, используя Tor только для соединения с трекером), то выдаст свой IP-адрес.
В третьей атаке используется свойство DHT (хэш-таблиц распределённого контента) для поиска IP-адреса пользователя. Поскольку Tor не осуществляет транспорт UDP, то IP адрес пользователя попадает в DHT, минуя Tor. При этом атакующий, зная какой порт использует пользователь (так как они распределяются равномерно) и зная идентификатор контента, может вычислить IP-адрес пользователя. DHT-атака достаточно точна и работает, даже если пользователь соединяется с другими пользователями файлообменной сети также только через Tor.
Используя DHT-атаки и атаки перехвата, исследователи деанонимизировали 9000 IP-адресов, с которых использовался BitTorent через Tor, а для отдельных пользователей, используя распознавание смешивания трафика от разных сетевых приложений, одновременно работающих на пользовательской машине через одну Tor-цепочку, были составлены профили анонимного вэб-браузинга таких пользователей.
Подробнее работа будет представлена на конференции 7th USENIX Symposium on Network Design and Implementation (NSDI '10), San Jose, CA: United States (2010)
Источник: ArXiv.org: Cryptography and Security
А что, SSL там не прикручен совсем? Жесть.
А без UDP никак нельзя заставить работать? Во всяком случае, на правильно настроенной системе такое либо не заведётся (udp будет порезано fw'ом), либо всё-таки будет анонимно.
PS: вопрос чисто технологический, и использует отсутствие квалификации пользователей. Подобная система вполне могла бы быть приемлемо анонимной, заворачивай они всё в Tor и порежь UDP. В крайнем случае можно завести внешний сервер, на который передавать UDP через Tor и TCP (наверняка есть такие транспорты, тот же OpenVPN может). Конечно, такое решение также имело бы массу минусов, но примитивнейшие атаки, не использующие свойство передачи больших объёмов информации, уже бы отдыхали.
комментариев: 9796 документов: 488 редакций: 5664
Сравните картинки:
2.1 Totally public BitTorrent — это вообще без анонимности.
2.2 Totally Anonymous BitTorrent — это третий вариант — "полностью анонимный", в т.ч. от своего провайдера.
4.1.1 Public Clients Здесь только соедиенение с сервером анонимно, а связь с пирами — нет. Так пользователи надеялись получить частичную анонимность, не перегружая сеть Tor, друг с друга качая напрямую, а через Tor получать только ссылки друг на друга.
4.2 Anonymous Tracker Client Пользователи качают друг у друга через Tor, а от трекера не прячутся.
Там ещё 4.3, 4.4 — асимметричные случаи
и 4.5 — ненарисованный суперанонимный вариант — все сидят внутри сети Tor и пиры и трэкер — это скрытые сервисы.
Так вот, 4.1.1 соответствует первому варианту из статьи, 4.2 — второму, а 2.2 — третьему. В третьем варианте пользователи думали, что защищены от всех атак, пожертвовав скоростью ради анонимности.
Да, только адрес с внешнего интерфейса.
Именно. Но 9000 IP пойманных исследователями не самых глупых пользователей (которые таки смогли вообще прикрутить torrent к Tor'у хоть как-то) всё-таки обломались. Скорее всего, действительно что-то не заведётся.
Это близко к варианту 4.5 по ссылке — все упаковались внутрь сети Tor, каждый — сам себе скрытый сервис. Помимо низкой скорости обмениваться файлами сможете только с такими же параноидальными гиками, которые это осилят, а не со свеми остальными пользователями BitTorrent. Тоже и в случае навесных VPN — будете договариваться со всеми лично настроить VPN.
Тут интересно, что BitTorrent — открытый протокол, но такие очевидные вещи выявились не сразу. А некоторые, хотят к примеру, Skype в Tor завернуть, который шлёт достоверно неизвестно что, неизвестно кому, неизвестно как.
Ограничения понятные:
– только lowid
– невозможность пользоваться kad, по причине невозможности завернуть UDP в тор
– возможность соединяться только с клиентами на нестандартных портах
– морально-этический аспект (активность p2p грузит сеть в разы сильнее чем обычное скачивание файла одинакового размера)
Плюс еще несколько проблем:
– трехкратная перестройка цепочки при невозможности соединиться с клиентом, что сильно напрягает сеть (здесь на форуме я поднимал вопрос)
А статья еще раз показывает – даже небольшая часть трафика в обход тора приводит к деанонимизации.
PS Изыскания по работе emule я проводил год-два назад, возможно что-то изменилось. Когда тестировал было две машины: у первой машины был внутренный адрес и на ней стоял emule, на второй стоял тор и с внутреннего интерфейса были разрешены соединения только на 9050 порт. Как вариант рассматривал emule и тор на одной машине с внутренним адресом, а роутером ограничивать соединения только к нескольким ентри-нодам (но так и не решил для себя какой вариант предпочтительнее).
Что это значит?
Это совершенно не нужно. Если я получаю аккаунт на каком-то внешнем сервере OpenVPN, могу к нему коннектиться через Tor, и принудительно пробросить весь нужный UDP-траф на этот сервер. Могут быть проблемы с тем, что "всегда одна точка выхода" => ущерб для анонимности, а также вопрос: будет ли работать torrent, если tcp траф будет идти по одному маршруту (просто через сеть Tor с точкой выхода – exit-узлом), а udp-трафик – по-другому (сеть Tor, с точкой выхода OpenVPN-сервера).
А что здесь не так? Если мыслить системно, то не важно что торифицировать. Есть абстрактное понимание ресурсов, на которых влёгкую может погореть анонимность, и достаточно лишь их блокировать: вирт. машина без доступа к левой информации, все сетевые и фильтрационные настройки только на рутере и т.д. При таких ограничениях никакая программа ничего левого послать не сможет, просто потому что у неё нет ни к чему критичному доступа. Конечно, человек со стороны такое не настроит, но принципиальная возможность имеется.
DHT можно отключить и все будет нормально работать, сам лично проверял. Торрент без UDP отлично пашет.
P. S. сам качаю торренты через VPN, и считаю, что этого достаточно. Торренты – это не взлом пентагона, за них хватают кого попало, а не занимаются выслеживанием конкретного человека, так что можно пользоваться VPN и спать спокойно.
[offtopic]
ed2k
– сеть ОДНА для всех
– регистрация не нужна
– забанить не могут
– сеть не зависит от серверов – kad полностью независимая распределенная сеть
– естественная автоматическая регулировка скорости (быстрее раздаешь-быстрее качаешь)
– поиск файлов идет по ВСЕЙ СЕТИ
torrent
– каждый придумывает свой трекер
– чтобы скачать файл нужно сначала зарегистриться на трекере, потом скачать торрент, потом уже качать сам файл
– если лег сервер или его закрыли (за примером далеко ходить не надо) – все, нету больше торрента
– каждый админ трекера изобретает свои правила, рейтинги, бонусы – кто на что горазд
– поиск по всем трекерам сразу возможен только внешними средствами, если вообще возможен
Вообщем не вижу ни одного плюса у торрентов по сравнению с ed2k сетью.
[/offtopic]
Так vpn в цепочке является "дополнительным" звеном, и постоянный ip сервера vpn не уменьшает анонимность. Но я думаю проблема может оказаться в другом – до нашего сервера vpn цепочки не будут перестраиваться, если принудительно не рвать соединение с vpn каждые 15мин (afaik если по цепочки установлено соединение и идут данные она не рвется).
А gjxtve так? Если есть vpn – с него пойдет ВЕСЬ трафик (tcp, udp, icmp), а до vpn трафи идет через тор по tcp.
А жаль. В этой сети читерят чуть менее, чем все. Зачем честно раздавать, если забанить не могут?
Благодаря чему выдача поиска софта заполнена троянами чуть менее, чем полностью. Нынче в некоторые трояны встроен kad клиент, который в ответ на все поисковые запросы отдает ссылки на зараженные файлы. Это выгодный бизнес для ботнетчиков и большая проблема для любителей качать софт.
Вы только забыли сказать, что файлы постоянно раздаются на полной скорости, но качаются в час по чайной ложке. Это лечится установкой читерской сборки емула, из-за чего сеть ed2k падает еще глубже в жопу.
Главный плюс торрентов, ради которого можно терпеть все перечисленные вами неудобства – это скорость скачивания. То, что с торрентов качается час, с ed2k можно лить неделю. К тому-же благодаря правилам торрент треккеров мы можем получить некоторое представление о раздаче до ее скачивания, здесь отсутствует проблема фейков и поголовной троянизации.
Вашу точку зрения я понял, но ее не разделяю – у нас разные взгляды на приоритеты в жизни. Это как свободная страна против страны с "суверенной демократией" :( Грустно это.
Lf gjnjve, что это поведение by default, но никто не запрещает настроить маршруты как сам хочешь, если, конечно, речь не идёт о винде.
Главный минус торрента в том, что это ложа. Если вы не член ложи (не имеете
градусрейтинг), качаться будет неделю. Пробовал качать с торрентов, где рейтингов нет, типа thepiratebay – то же самое. Практика показывает, что за час обычно можно найти сайт, откуда всё сливаетя нахаляву в пределах получаса, что даёт невиданный прирост скачивания по сравнению с днями, нужными на торрент. /Имхо.А демократия может быть только суверенной (если вообще может быть). Или власть какого народа вы имеете ввиду под этим словом?
[/offtop]