r   e   k   l   a   m   a
r   e   k   l   a   m   a

Publiczna zbiórka na ulepszenie Tora. Ataki korelacyjne niezbyt groźne, ale lepiej dmuchać na zimne

Strona główna AktualnościOPROGRAMOWANIE

Kilka dni temu serwis The Stack przypomniał pracę z 2013 roku, poświęconą atakom korelacyjnym na sieć Tor, pozwalającym rzekomo na zdemaskowanie 81% użytkowników korzystających z niej użytkowników. Czas publikacji był nieprzypadkowy: ostatnie sukcesy organów ścigania w walce z czarnorynkowymi serwisami działającymi jako ukryte usługi Tora pozwalał sądzić, że anonimowość w Torze to fikcja. Jak sytuacja wygląda faktycznie? Deweloperzy Tora jednoznacznie na to odpowiedzieć nie potrafią, jednak dają do zrozumienia, że za dobrze nie jest – i trzeba będzie teraz w Tora włożyć sporo pieniędzy, by należycie chronił anonimowość swoich użytkowników.

Poświęcona analizie ruchu sieciowego Tora praca badaczy z Nowego Jorku i Rzymu nie jest niczym nowym. O możliwości wykorzystania ataków korelacyjnych wiedziano niemalże od początku istnienia cebulowego routera. Wynika to z samej architektury sieci, mającej w założeniu zapewnić możliwość korzystania z usług internetowych w czasie niemal rzeczywistym, bez losowo dodawanych opóźnień.

Ataki korelacyjne wymagają od napastnika kontroli ruchu sieciowego na kilku węzłach sieci, w optymalnych warunkach węzła wejściowego, wyjściowego i serwera docelowego. Wbrew pozorom uzyskanie może nie optymalnych, ale wystarczających warunków do takiego ataku nie jest trudne – przejęcie kontroli nad pojedynczym systemem autonomicznym ma pozwolić na monitorowanie ponad 39% losowo generowanych obwodów Tora. Sam monitoring pakietów TCP/IP jest jednak operacją wymagającą ogromnych zasobów mocy obliczeniowej, niedostępnych nawet największym, instytucjonalnym przeciwnikom. Autorzy przytaczanej przez The Stack pracy wpadli jednak na ciekawy pomysł, który pozwolił na zredukowanie tych wymogów o kilka rzędów wielkości.

r   e   k   l   a   m   a

Zamiast analizować zawartość każdego pakietu, zdecydowano się wykorzystać logi NetFlow, protokołu Cisco wykorzystywanego do gromadzenia metadanych trasowanych pakietów. Można z nich dowiedzieć się kiedy pakiety zostały wysłane, z których adresów IP, których portów i jakiej były wielkości.

Sam atak angażował kilku użytkowników z kilku lokalizacji w USA i Europie, którzy łączyli się z jednym z bardziej popularnych węzłów wejściowych Tora. Uczestnicy eksperymentu łączyli się następnie przez Tora z przygotowanym wcześniej serwerem, udostępniającym plik dużych rozmiarów. W trakcie trwającego przynajmniej 6 minut pobierania pliku serwer dynamicznie zmieniał przepustowość łącza między 30 Kb/s a 2 Mb/s, zgodnie z wyznaczonym wcześniej wzorcem.

Zapisane w logach NetFlow wzorce ruchu po stronie serwera i stronie węzła wejściowego sieci zostały następnie statystycznie porównane. Okazało się, że spośród tysiąca użytkowników, którzy nie pobrali pliku testowego, współczynnik korelacji logów wyniósł 0,17, podczas gdy u tych, którzy plik pobrali, współczynniki korelacji wyniósł 0,83. Symulowany atak powtórzono wielokrotnie, z różnymi lokalizacjami i różnymi wzorcami zmian przepustowości. Niemal w każdym wypadku można było wyróżnić „winnych” pobrania pliku spośród tych, którzy tego nie zrobili.

Po dokładniejszym przeczytaniu artykułu, który wywołał tyle paniki, możemy się przekonać jednak, że cytowane przez media „81%” nie ma większego znaczenia – dotyczy odsetka sukcesów w kontrolowanych, wręcz laboratoryjnych warunkach. W rzeczywistości zdemaskowanie użytkownika Tora wymaga nie tylko kontrolowania węzłów i serwera docelowego, ale też nakłonienia go do pobrania dużego pliku, dla którego można by było modulować szybkość transferu. Nawet jednak spełnienie tych wszystkich warunków generuje spory odsetek fałszywych alarmów.

A co z bezpieczeństwem darknetowych serwerów?

Jeśli nawet to nie ataki korelacyjne pomogły FBI i jego europejskim partnerom w operacji Onymous, dzięki której zlikwidowano dziesiątki serwerów ukrytych w Torze, to kwestia bezpieczeństwa całej sieci wciąż spędza sen z powiek jej deweloperom. Już w zeszłym roku ostrzegano, że ukryte usługi Tora (czyli serwisy działające pod adresami z końcówką .onion) są kiepsko zabezpieczone, nikt też nimi się specjalnie nie zajmuje. Trapią je takie problemy jak bezpieczeństwo skalowania do większych rozmiarów, nikła odporność na ataki DDoS, czy też zależność od relatywnie słabych kryptosystemów. Nie ma pieniędzy, by to zmienić – środki należące do fundacji idą przede wszystkim na ulepszanie ochrony anonimowości tych, którzy korzystają z Tora do przeglądania normalnego Internetu.

Dyrektor wykonawczy Tora Andrew Lewman rozważa uruchomienie kampanii crowdfoundingowej, która pozwoliłaby pozyskać środki niezbędne na opłacenie pracy programistów i kryptografów, którzy zajmą się wyłącznie ukrytymi usługami. Potrzeba ulepszeń jest pilna – żyjemy przecież w czasach, gdy nawet Facebook udostępnia swój serwis jako ukrytą usługę .onion. Po raz kolejny okazuje się, że Tor jest niczym szybko ewoluująca hydra: skuteczne ścięcie kilku jego „głów” sprawia, że na ich miejsce wyrasta kilkanaście nowych, znacznie odporniejszych na ataki.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.