27.01 // CS-BuFLO: модель защиты от профилирования шифрованного трафика
Осуществление атак профилирования шифрованного трафика по характерным отпечаткам посещаемых сайтов явлется достаточно эффективной методикой, позволяющей раскрывать посещаемые пользователем ресурсы через шифрованные соединения, такие как VPN, SSH, HTTPS-proxy, IPSec, Tor и др. Хотя эта методика критикуется за хорошие показатели в искусственной лабораторной модели «закрытого мира» — когда противнику известен круг ресурсов, которые посещает пользователь и надо лишь подтвердить эту гипотезу, она обладает некоторой эфективностью и в модели открытого мира.
Исследователи Xiang Cai, Rishab Nithyanand, Rob Johnson (Университет Стони Брук, США) сделали обзор различных методик сбора отпечатков веб-сайтов в шифрованном веб-трафике и сравнили методы защиты от них. Как они отмечают, внедрённая в Tor-браузер система рэндомизированных мультипоточных соединений недостаточно эффективна. Ими была рассмотрена, улучшена и представлена, как наиболее эффективная, модель защиты Дайера, которая прошла незамеченной для разработчиков сети Tor.
Dyer показал, что дополнение пакетов, разделение одного пакета на множество разных пакетов, добавление пустых пакетов — само по себе малоэффективно. Также малоэффективным является дополнение, работающее на уровне отдельных пакетов, включающее дполнение до MTU, до степени двойки, случайное дополнение и т.д. Райт и др. вместо этого пытались предложить морфинг трафика — имитацию его распределения под другой тип посещаемого ресурса.
Предложенная Дайером доказуемо-стойкая модель называется BuFLO (буферизующий обфускатор фиксированного размера). Он привёл теоретические доказательства её стойкости и вычислил, что она должна свести эффективность атак фингерпринтинга до 5% и привести к четырёхкратному перерасходу трафика. Однако, реализовать эту модель Дайеру не удалось. Она обладает рядом недостатков: неточно скрывает размер посещаемого сайта, имеет большой перерасход для малых сайтов, плохо работает внутри TCP, сильно расходует пропускную способность при посещении медленных сайтов, создаёт большие задержки при посещении быстрых сайтов, требует подстройки под каждое сетевое соединение, имеет утечки отпечатков по скорости отправки пакетов. Помимо этого, в модели не был решён ряд практических вопросов, связанных с отработкой окончания сессии связи с сайтом.
Исследователи предложили устойчивую к перегрузкам модель: Congestion-Sensitive BuFLO и показали, что она может быть более практичной. К ней были также разработаны специальные модели дополнений (CPSP и CTSP). Ими была создана экспериментальная реализация для SSH-туннелированного шифрованного трафика, на которой им удалось показать сравнительно приемлемые хаактеристики связи и перерасход трафика лишь в 2.3 — 2.8 раза. Модель снижает эффективность атак на отпечатки в моделях Панченко и др. При этом, CS-BuFLO работает, если хотя бы одна из сторон поддерживает такой режим пакетов в TCP-потоке.
Как можно предположить на основании работы, данная модель не защитит от атак профилирования отпечатков шифрованного трафика полностью, но в разных сравнительных оценках, при применении совместно с сетью Tor, приведёт к снижению пропускной способности от трёх до шести раз.
Источник: ArXiv.org: Cryptography and Security
комментариев: 9796 документов: 488 редакций: 5664
Ну иследователи наверно не додумались, да. Стали изобретать навороченные модели, где и выравнивание пакетов по очень хитрому алгоритму и подстройка скорости соединения и пр. Даже не стал приводить описание этой модели. Честно говоря, не доконца и осилил. Она сложнее, чем всё, что у нас обсуждалось на форуме.
В итоге, взяли, посчитали, даже частично реализовали и получили, что при диких перерасходах — довольно скромный результат. И нащупали некие границы оптимизации.
Скорее всего, так и есть. Tor защищает от массового сбора информации, но не от прицельной слежки.
Разве терроризм или наркоторговля — это какие-то существенные преступления, ради которых они будут напрягаться? Ну разве что для видимости, для выбивания денег из бюджета и демонстрации значимости своей работы публике и властям.
А вот, что они используют в шпионаже, может и отсутствовать в демках-презенташках Сноудена и пр., которые носят больше поверхностно-ознакомительный характер, по ним, похоже, учат начинающих сотрудников. Подробности, скорее всего, описаны в более серьёзных документах, которые он мог и не стащить.
Наконец, не известно, есть ли у АНБ неразглашаемые программы сотрудничества в виде анонимного слива в ФБР сведений, которые могут помогать следствию, но не могут быть разглашены, а тем более использованы как доказательства в суде.
комментариев: 1079 документов: 58 редакций: 59
Что даст прицельная слежка, если у меня exit-node стоит на удаленном сервере, а коннекчусь к ней через Tor, который стоит на другом удаленном сервере? Ну и пусть снифают трафф себе на здоровье.. Вопрос мой общего характера, т.к. я понимаю, что от компрометации никакой сервер не защищен, и хостер может слить инфу, бекдоры АНБшные поставить и тд – это понятное дело. Но как они прицельной слежкой именно посредством Tor смогут что-то узнать?
комментариев: 9796 документов: 488 редакций: 5664
В обычном интернете, теоретически можно выцеплять информацию в форме «всё обо всём и обо всех», хотя даже в таком тривиальном случае это далеко от практики.
На пользователей Tor'а в целом массово нельзя собрать данные в полном объёме. Только обрывочные, только если заморочиться кем-то конкретным или группой лиц и это потребует затрат ресурсов.
Ну вот, группе аналитиков придёться собрать такие сведения, что возможно подозреваемый пользуется такой схемой. Это передадут группе специалистов-теоретиков, которым будет поручено разработать прицельную атаку под это дело. Чтобы вывели формулы, различители и алгоритмы, как цепочка через предпочитаемые ноды будет выделяться в отличие от случайного выбора, какие там (анти)корреляции. Затем они посоветуются с группой программеров, те напишут код, может ещё эксплойтами обвесят и т.д.
Т.е., это в большинстве случаев затратно даже для высокоприоритетных целей. Зато, это работа на перспективу — вдруг какой-то метод окажется возможным развернуть хотя бы чуть более автоматизировано и массово. Скорее всего, у ФБР таких возможностей нет, только у разведслужб. Здесь затраты не столько финансовые, сколько людские, интеллектуальные, организационные. В рамках обычных дел или каких-то массовых гонений — это мало кому надо.
комментариев: 1079 документов: 58 редакций: 59
Да наверняка есть, судя по частичным утечкам типа тех, что по вашей же ссылке:
Оригинал:
Очередная «история успеха». ☺
Поскольку Tor весьма полезен для "оранжевых революций", он должен быть вне подозрений у широкой публики.
Несмотря на свою очевидную уязвимость к сивилловым атакам.
Поциент, успокойтесь. Шестой флот уже рядом.
По ссылке:
На Континенте флот бесполезен.
комментариев: 9796 документов: 488 редакций: 5664
[offtop]
Отправленный на «олимпийское» дежурство корабль ВМС США сел на мель в Турции.
[/offtop]