id: Гость   вход   регистрация
текущее время 23:42 01/04/2020
Владелец: ressa (создано 19/11/2014 23:15), редакция от 19/11/2014 23:20 (автор: SATtva) Печать
Категории: софт, анонимность, приватность, политика, tor, атаки
https://www.pgpru.com/Новости/2014/НовыйВидТеоретическойАтакиПоДеанонимизацииВTor
создать
просмотр
редакции
ссылки

19.11 // Новый вид теоретической атаки по деанонимизации в Tor


Группа исследователей из университетов США, Италии и Индии опубликовал доклад с описанием техники атаки, позволяющей с достаточной высокой вероятностью сопоставить запросы пользователей до и после прохождения цепочки анонимизации в сети Tor. В частности, исследователи в 81.4% случаев смогли правильно сопоставить исходный запрос и запрос после анонимизации (выяснить реальный IP), использовав только предоставляемые маршрутизаторами (через Netflow) метаданные о потоках пакетов, при условии, что пользователь обратился к сайту, подконтрольному атакующему. Для успешного сопоставления, съём данных о трафике должен осуществляться в двух точках – на пути между пользователем и входящим узлом Tor и между выходящим узлом Tor и целевым сайтом.


Суть метода состоит в отдаче пользователю с подконтрольного атакующими сайта контента, приводящего к определённым всплескам трафика, которые можно сопоставить с изменением параметров потока пакетов (число пакетов, размер и распределение поступления пакетов во времени), получаемых через Netflow. Так как Tor минимально влияет на флуктуации трафика, особенности изменения параметров трафика, выявленные на отрезке между сайтом и точкой выхода Tor, коррелируют с параметрами, получаемыми на отрезке между пользователем и точкой входа Tor, что можно использовать как признак для осуществления деанонимизации. В качестве метода для защиты от указанного вида атак предлагается добавлять дополнительные задержки для нарушения однородности трафика.


По мнению разработчиков Tor, атаки, основанные на корреляции потоков данных, не новы, но, как правило, ограничиваются теорией, так как при текущем числе узлов Tor требуют огромной работы для реализации на практике. По своему дизайну Tor пытается защитить трафик от анализа, но не рассчитан на защиту от атак по определению корреляции трафика до и после входа в Tor. Предложенный исследователями тип атаки приводит к ложным срабатываниям примерно в 19% случаев (12.2% ложных отрицательных результатов и 6.4% ложных положительны результатов), что слишком много для уверенного определения и не позволяет рассматривать атаку как эффективную. При том, что значение в 81.4% попаданий получено не на реальной сети, а в условиях синтетического эксперимента. Кроме того, для успешного проведения атаки и охвата большей части узлов Tor необходимо наличие контроля над тысячами маршрутизаторов в разных частях света.


Источник: http://www.opennet.ru/opennews/art.shtml?num=41094


 
— SATtva (19/11/2014 23:23)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
Называть это "новым видом" атаки как-то совсем не с руки. Единственная новизна здесь (впрочем, тоже сомнительная) — использование самого широко распространённого инструмента.
— ressa (20/11/2014 00:29)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
SATtva, ну ты же знаешь, какой из меня ньюсмейкер – я копипащу новости с Опеннета, единственный ресурс, где инфу черпаю. Хотя знаю, что тут его и так все читают, но если от тебя и unknown еще замечаний не было – значит все ок. На счет разметки – часто с планшета делаю это, так что да, тут могут быть косяки.
— unknown (20/11/2014 09:56, исправлен 20/11/2014 10:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Не значит. Удаляется и критикуется только откровенный бред. Возможно, что для вынесения своего мнения до чтения оригинальной работы из новости я доберусь не скоро или вообще никогда.


Здесь есть масса таких тем, которые мне никак неинтересны и если там уровень бреда явно не зашкаливает, то я их подробно не читаю. Например, этот раздел. Понятия не имею, насколько (не)нужно то, что там написано. Мне лично — нет, для остальных — пусть будет, но я не даю оценки правильности написанного.

— unknown (26/11/2014 00:47)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
По поводу топика, наткнулся на второй абзац своего комента в другой теме.
— Гость (26/11/2014 16:12)   <#>

Ложь. А еще опасные темы про работу и закладки спецслужб.

Что значит характеристика "FUD" удаленного документа?
— SATtva (26/11/2014 16:17)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094

fixed


https://en.wikipedia.org/wiki/.....ncertainty_and_doubt
— Гость (26/11/2014 17:36)   <#>

https://en.wikipedia.org/wiki/Female_urination_device
— Гость (26/11/2014 20:07)   <#>

Ай-ай, как нехорошо коверкать чужие цитаты.

У меня были удалено сообщение 83469 (о закладках в графич.-аудио-видео-редакторах на выявление стего) в теме Стеганография с характеристикой FUD и еще, помню, сообщение 83301 (об ограничениях работы с базами данных, полная отслеживаемость запросов) в теме Ошибка в структуре российской хэш-функции Stribog... с комментарием от unknown, что мол нечего здесь обсуждать не имеющее отношение к теме.
(так, штатные профилировщики, профилируем, сличаем стили речи, не сачкуем)

Ну, было еще десяток-два удаленной чистой политоты, которую не беру в расчет.


Можно было сразу на русском
— unknown (27/11/2014 15:34, исправлен 27/11/2014 15:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Новость заслужила уже две официальных заметки в торблоге. Помимо не вполне официальных коментов ;)

— SATtva (28/11/2014 12:19)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094

И какие претензии к модератору в данном случае? Коммент был из разряда чайника Рассела, конструктива ноль, точно так же можно рассуждать, что все мы живём в Матрице. Когда сможете представить хотя бы какой-то тесткейс, подтверждающий Вашу гипотезу, тогда и поговорим.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3