Rosyjski wywiad próbował złamać sieć Tor. Wiemy o tym dzięki włamaniu
Rosyjski wywiad pracował nad wieloma tajnymi projektami z zakresu cyberbezpieczeństwa. Między innymi próbował złamać zabezpieczenia sieci Tor, zapewniającej anonimowość w sieci. Gdyby FSB odniosło sukces, mogłoby odkrywać adres IP, a więc i tożsamość użytkowników Tora.
W niedzielę dowiedzieliśmy się o ataku na serwery firmy pracującej dla rosyjskiego wywiadu. Cyberprzestępcy wykradli 7,5 terabajta danych, należących do firmy SyTech. Wśród nich znajduje się mnóstwo informacji o tajnych projektach, rozwijanych na potrzeby FSB.
Jak Rosjanie chcieli złamać Tor?
Jednym z tajnych zadań było obchodzenie mechanizmów anonimizacji w sieci Tor. SyTech pracował nad projektem Nautilus-S. Gdy użytkownik łączy się z siecią Tor, jego dostawca internetu widzi użycie protokołu, ale nie jest w stanie podejrzeć, jakie połączenia są nawiązywane. Władzom Rosji się to nie podoba.
W założeniach Nautilus-S miał być jednym z węzłów wyjściowych sieci Tor i przekazywać ruch do strony docelowej. Serwery Tora są prowadzone przez wolontariuszy i każdy może brać aktywny udział w budowaniu anonimowej sieci – nawet FSB. Prowadząc węzeł wyjściowy, FSB mogłoby obserwować, z jakimi stronami i usługami łączą się użytkownicy Tora.
Pozostaje jeszcze dowiedzieć się, skąd pochodzi to połączenie, co jest praktycznie niemożliwe. Może w tym jednak pomóc analiza behawioralna i połączenie tych danych z danymi od dostawców internetowych. Być może porównując aktywność na obu „końcach” trasy, uda się dojść, kto i kiedy korzysta z Tora.
Nie wiemy, do jakiego stopnia ta metoda była skuteczna. Rzecznik projektu Tor jest sceptyczny. By udało się odkryć czyjąś tożsamość, potrzeba mnóstwo szczęścia albo sporego klastra węzłów wyjściowych. Przede wszystkim połączenie musi „wyjść” przez węzeł FSB. SyTech może ewentualnie pomóc sobie metodą „man in the middle” i podmieniać strony docelowe.
Pomysł na taki atak raczej nie pojawił się w Rosji. SyTech prawdopodobnie bazuje na pracy naukowej z Uniwersytetu w Karlstad. Naukowcy opisali zastosowanie złośliwych węzłów wyjściowych w 2014 roku.
Nad czym jeszcze pracują Rosjanie?
Próba rozszyfrowania anonimowej sieci Tor to jeden z wielu projektów, które miały posłużyć rosyjskiemu wywiadowi w przestrzeni cyfrowej. Działający podobnie Nautilus (bez „S” na końcu) miał zbierać dane o użytkownikach z platform społecznościowych. Mentor zaś miał przeszukiwać pocztę największych rosyjskich firm.
SyTech starał się też znaleźć luki w protokole BitTorrent, używanym do bezpośredniej wymiany plików. Działania z tym związane były prowadzone w ramach projektu Reward.
Niedawno informowałam o planach Rosji, by zachować rosyjski ruch na rosyjskich łączach i jak najmniej danych przesyłać za granicę. Miały w tym pomóc projekty Hope i Tax-3, monitorujące i kierujące ruchem internetowym. W założeniach najważniejsze dane nie mogą trafić w ręce zagranicznych dostawców, muszą więc przechodzić wyłącznie przez rosyjskie serwery.
Dane z wycieku opisują też kilka projektów militarnych.