23:30
15/11/2014

Opublikowana niedawno praca naukowców na temat deanonimizacji użytkowników sieci Tor poprzez analizę korelacji ruchu przy użyciu informacji z NetFlowa wzbudziła żywą dyskusję. Badacze informują o 80% skuteczności w identyfikacji tożsamości osoby “kryjącej” się za Torem …ale należy pamiętać, że można to osiągnąć jedynie przy spełnieniu kilku — nie zawsze łatwych do spełnienia — warunków.

Deanonimizacja Tora przez Netflow

Deanonimizacja Tora przez Netflow

Na czym polega atak?

Sam raport znajdziecie tutaj. Praca autorstwa zespołu Sambuddho Chakravarty z Uniwersytetu Columbia opiera się na korelacji ruchu wchodzącego i wychodzącego z sieci Tor (tzw. traffic confirmation attack), gdzie atakujący ma kontrolę nad n węzłami w sieci i zbiera informacje na temat połączeń, które przez nie przechodzą (tu właśnie przydaje się wspomniany protokół NetFlow, który — w skrócie — służy do analizy i opisu ruchu sieciowego).

Warto jednak zauważyć, że metoda korelacji tego typu nie jest nowa, a wysoka skuteczność ataku (81,4%) dotyczy nie skuteczności metody w całej sieci Tor, a w środowisku eksperymentalnym badaczy (co jasno i uczciwie podkreślają w swoim opracowaniu).

Co musi zrobić atakujący?

Atakujący musi kontrolować zarówno serwer, z którym łączy się ofiara, jak i tzw. węzeł wejściowy, przez który z siecią Tor łączy się ofiara. Już samo to dość mocno ogranicza ataki w realnym świecie… Z kolei koniecznej do identyfikacji korelacji dokonuje się poprzez wstrzykiwanie pewnego wzorca w połączenia Torowe (np. dzięki dołączaniu dodatkowych plików HTML lub wprowadzaniu celowych opóźnień w transmisji poprzez modulacje jej prędkości w czasie) od serwera do węzła wyjściowego. Następnie wzorca tego szuka się w danych zebranych przez NetFlow na kontrolowanych węzłach wejściowych, które jako jedyne znają prawdziwy adres IP łączącej się z siecią Tor ofiary. Na tej podstawie z n łączących się do danego węzła wejściowego klientów można wyłuskać tego jednego, któremu celowo modyfikowano dane “od serwera”.

Inne, ciekawe warianty ataku zostały opisane na HN.

Odpowiedź projektu Tor

Zespół Tora już odniósł się do doniesień badaczy; zauważając, że sieć Tora nie jest w stanie chronić przed atakującymi, którzy jednocześnie widzą ruch wejściowy i wyjściowy do sieci Tor dla danego połączenia (tzw. atak end-to-end correlation) — zawsze bowiem można wtedy łatwo określić, czy wejście pasuje do wyjścia.

Dodatkowo, należy zwrócić uwagę na wysokość false positive w metodzie opracowanej przez zespół Sambuddho, a jest to aż 6%. To oznacza, że w próbce zebranych 100 000 danych na temat połączeń, do badanego połączenia pasować będzie aż 6 000 z nich… A im więcej ruchu w sieci Tor tym więcej potencjalnych pasujących połączeń (jest to tzw. błąd zaniedbywania miarodajności).

Na koniec warto wspomnieć o tym, że pojawiające się w internecie rady, aby używać VPN-ów w połączeniu z klientem Tora, nie są zbyt celne w tej sytuacji. Połączenia VPN-owe zachowają zmodyfikowaną charakterystykę ruchu i nie wpłyną znacznie na możliwości identyfikacji klienta Tora.

Krótko mówiąc, nie osoby korzystające z Tora nie powinny wpadać w panikę. Wymagania konieczne do przeprowadzenia ataku oraz jego dość wysoki współczynnik false positive nie czynią z niego idealnego narzędzia w rękach służb do deanonimizacji “wywrotowców”.

Przeczytaj także:

17 komentarzy

Dodaj komentarz
  1. […] Aktualizacja 23:00 igH opisał temat głębiej tutaj. […]

    • igH opisal – gdzie? Link?

    • To jest pingback, link jest w miejscu normalnie zajmowanym przez nick.

  2. ja zamiast tora wolę używać antycenzora bo szybciej działa

  3. Artykuł fajny, proponuję go jeszcze przejrzeć i poprawić rzeczy typu “Krótko mówiąc, __nie__ osoby korzystające z Tora nie powinny wpadać w panikę”

  4. “Wymagania konieczne do przeprowadzenia ataku”
    – serwer z publicznym IPkiem z dużym plikiem
    – kilka fast entry nodów

  5. Wystarczy że Cisco ma backdoora (producenta, lub zainstalowanego podczas przesyłki sprzętu lub zwykłego w firmware)i sobie mogą kontrolować, prawdopodobnie służby bigbrothera mają od dawna takie możliwoóści

  6. Rozwiązaniem może być filtrujący zapytania proxy-firewall z ponowną anonimizacją (działający w TOR):

    1. Filtruje przepuszczając tylko poprawne zapytania (do poprawnych urli/plików, bez wielkich POSTów i GETów jeśli nie są używane np. powyżej jakiegoś limitu np. 2mb),
    2a. limitując ruch np. 1req/sek od usera w stronę http://www.onion/page.php
    2b. limit np. globalnie 100req/sek od usera w stronę http://www.onion

    Żeby było wredniej i kompletnie spłaszczyć traffic pattern:
    3a. limit wyjściowy z proxy-firewalla do odpowiedniej liczby (zależnej od potrzeb) np. 100req/sek od proxy-firewalla w stronę http://www.onion/FILE (HIT FILE limit)
    3b. limit wyjściowy z proxy-firewalla do odpowiedniej liczby (zależnej od potrzeb) np. 1000req/sek od proxy-firewalla w stronę http://www.onion (GLOBAL limit)

    Taki prosty cloudflare. I wtedy nawet zmasowany atak bardzo wielu userów ujawniłby tylko proxy-firewall którego zastępstwo można uruchomić w 15 min na byle czym byle gdzie.

  7. A co jakby założyć własny node TORa i go używać? Nawet nie musi być wyjściowy…

    • Bagiety z dostawą do domu.

  8. Używanie vpna me sens o tyle że w logach mojego isp nie widać od razu że siedzę na torze a vpnie czyli “w pracy” ;)

    • Skąd ty się urwałeś? Właśnie używając VPNa przez wielkiego brata jesteś brany pod uwagę jako przestępca, którego tylko trzeba teraz będzie złapać za rękę.

  9. “Krótko mówiąc, nie osoby korzystające z Tora nie powinny wpadać w panikę. Wymagania konieczne do przeprowadzenia ataku oraz jego dość wysoki współczynnik false positive nie czynią z niego idealnego narzędzia w rękach służb do deanonimizacji “wywrotowców”.”

    W niektórych krajach służby ścigające “wywrotowców” raczej mają w głębokim poważaniu to czy w grupie 100 złapanych osób znajdzie się 6 niewinnych.

  10. – do administracji – Prezes NIK podjął decyzję o przeprowadzeniu kontroli wydatkowania publicznych pieniędzy na system informatyczny PKW. Kontrolerzy Izby sprawdzą czy pracownicy Krajowego Biura Wyborczego budowali system informatyczny w sposób zgodny z prawem, rzetelny, celowy i gospodarny. NIK w czasie tej kontroli wykonania budżetu przez Krajowe Biuro Wyborcze skorzysta z wiedzy zewnętrznych ekspertów z zakresu informatyki. Kontrola rozpocznie się na początku stycznia 2015 roku – czytamy na stronie internetowej NIK.
    MNÓSTWO TUTAJ FACHOWCÓW, BĘDZIE POLE DO POPISU.

  11. “W niektórych krajach służby ścigające “wywrotowców” raczej mają w głębokim poważaniu to czy w grupie 100 złapanych osób znajdzie się 6 niewinnych.”

    Dokładnie. Tor jest tak bezpieczny jak doopa. Samo wejście na entry-node powoduje podejrzenia ;))

    W sieci nie istnieje coś takiego jak anonimowość i bezpieczeństwo. 20 lat temu może, ale nie teraz, niech nikt głodnych kawałków ludziom nie wciska.

  12. Dobrze, ze w tytule tego artykulu jest cytuje “i nie taki skuteczny”, a tutaj jest cos, na ten temat – https://www.nikcub.com/posts/onymous-part1/

  13. Superhacker: co to jest entry-node?

    I mam takie ogólne pytanie: po co wchodzić na Tora? Czy jest tam coś ciekawego, bo nie interesuje mnie “niemoralna pornografia”, przestępstwa, narkotyki, czy polityka/anarchia.

    Dowiedziałem się stosunkowo niedawno o Tor. Ponoć jest tam coś o ufo, ale jeśli mają to być takie fajki jak “rosyjska sekcja zwłok ufo” to nie widzę sensu tam czegokolwiek podobnego szukać…

    Będę wdzięczny za jakieś wyjaśnienie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.