Istraživači poboljšavaju anonimne napade za web stranice koje se kriju na Tor

Istraživači su razvili novu tehniku ​​koja bi mogla omogućiti napadačima određivanje visokog stupnja točnosti koje korisnici Tor web stranica imaju pristup i gdje su te web stranice hostirane.

Novi napad, koji se poboljšava na prethodni (MIT) i Qatar Computing Research Institute (QARR), koji su pronašli načine razlikovanja različitih vrsta veza u korisničkom šifriranom Torovom prometu.

Anonimnost Tor-a mreža je izgrađena kako bi sakrila od mrežnih snoopera koje web stranice ili drugi internetski resursi kojima korisnik pristupa. To čini umetanjem korisničkih zahtjeva u nekoliko slojeva enkripcije i usmjeravanjem ih preko više računala koja pokreću Tor softver.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Svako od tih računala poznato kao čvorovi ili releji, odstraniti jedan sloj enkripcije, prije nego što proslijedite zahtjev na sljedeći čvor. Na taj način konačni čvor, koji se naziva izlazni relej, zna odredište zahtjeva, ali ne i izvorni izvor, dok je prvi čvor poznat kao ulazni čuvar zna izvorni izvor, ali ne i konačno odredište. dugo je poznato da ako napadač kontrolira ulazni stražar i izlazni relej koji se koristi za Tor vezu ili krug, mogao je koristiti tehnike prometne korelacije kako bi deanonymirao korisnika. Međutim, to je teško jer se Torovi relej odabiru nasumično za svaku vezu tako da napadač mora kontrolirati vrlo veliki broj ulaznih stražara i izlaznog releja kako bi imali dobre izglede za uspjeh.

U prošlosti su istraživači također predložio je još jedan tip napada poznat kao web otisak prsta koji zahtijeva samo kontrolu ulaza. Pretpostavka je da napadači mogu napraviti popis web stranica koje žele pratiti, a zatim postaviti Torov klijenta i pristupiti tim web stranicama putem ulaza čuvara koji kontroliraju kako bi promatrali razlike u uzorcima prometa i koristili ih za izgradnju takozvanih otisaka prstiju .

Ti otisci mogu se kasnije koristiti s određenim stupnjem uspjeha kako bi se utvrdilo jesu li drugi korisnici koji prolaze kroz isti stražar za ulazak pristupaju jednoj od promatranih web stranica.

Ova tehnika ima značajne nedostatke. Na primjer, web-lokacije imaju oglase i skripte treće strane koje se često mijenjaju tako da otisci prstiju brzo postanu nepouzdani. Također postoji mnogo pozadinske buke u prometu potječe od klijenta Tor i teško je izolirati samo one krugove koji su zanimljivi za analizu.

Nova tehnika koju su razvili istraživači MIT i QCRI rješava drugi problem, odnosi se na skrivene usluge - web stranice koje su dostupne samo unutar Tor mreže, a ne na većem Internetu.

Skrivene usluge su popularne kod političkih aktivista koji su pod prijetnjom nadzora u nekim zemljama i koji žele raditi netaktirajuće online zajednice, ali i kriminalaca koji su ih koristili za postavljanje trgovačkih mjesta za ilegalne proizvode ili web stranice koje ugrožavaju nezakonite pornografske sadržaje.

Ove web stranice su, naravno, ciljevi represivnih vlada ili agencija za provedbu zakona koji imaju interes za poznavanje tko ih posjeti.

Uz novu tehniku ​​otiskivanja prstena istraživača, napadač koji kontrolira ulazni stražar može odrediti 99 posto točnosti ako Tor krug prolazak kroz njega koristi se za sastanak skrivenom uslugom ili se koristi za opće pregledavanje interneta. Istraživači također tvrde da je ciljanje skrivenih usluga tehnikama otisaka prstiju na webu lakše nego opće internetske web stranice, jer njihov sadržaj se ne mijenja prečesto.

"U našem napadu pokazujemo da u području skrivenih usluga nemamo ta ograničenja koja postoje u prethodnim napadima", rekao je Mashael AlSabah, pomoćnik profesora informatike na Katarskom sveučilištu i jedan od istraživačkih autora, putem e. "To čini prethodne napade otisaka prstiju na webu ozbiljnije u konkretnom slučaju skrivenih usluga."

Istraživači su prikupili otiske prstiju za 50 skrivenih usluga i utvrdili da mogu odrediti 88% točnosti kada je Torov klijent koji koristi njihov ulazni stražar bio u posjetu jedan od njih. Također su primijenili istu tehniku ​​sa sličnom brzinom uspjeha kako bi se anonimizirale skrivene usluge kada su računala koja ih je ugostila koristila njihov ulazni stražar.

Skrivene usluge pokreću se na računalima koja su sami Torovi pa se moraju povezati s mrežom preko ulaza stražara. No ulazni čuvari za ta računala ne bi trebali moći reći koje skrivene usluge funkcioniraju na njima, jer cijela točka skrivenih usluga je sakriti IP adrese računala koja ih smještaju. Umjesto toga, korisnici Tor povezuju se na skrivenu usluge kroz čvorove koji služe kao rendezvous bodovi i odabrani su prema posebnom algoritmu.

Napadači mogu povećati svoje šanse za uspjeh stvarajući više uličnih stražara. Tor klijent obično odabire tri ulazne straže i koristi ih u prosjeku za 45 dana. Svaki put kada se uspostavlja nova veza, odabire se jedno od tri ulazna čuvara.

Što više ulaznih čuvara pod njihovom kontrolom, to bi više šansi napadači imali za identifikaciju korisnika koji posjećuju otiske prstiju ili ne anonimiziraju određene skrivene usluge. > U svom radu, koji će biti predstavljen na 24. USENIX Security Symposiumu sljedećeg mjeseca, istraživači također predlažu izmjene u Tor mreži koja bi prema njihovu mišljenju učinila preokrenuti otisak prstiju mnogo teže.

"Poznati je problem koji skriveni uslužni sklopovi vidljivi su, ali taj je napad vrlo teško izvršiti ", rekao je Torov projekt u e-poštom. "Protumjere opisane u radu zanimljive su jer autori tvrde da bi implementacija nekih od njih neutralizirala napad i bolje obranila od napada skrivenih servisnih otisaka prstiju općenito. To još treba dokazati. "

Nekoliko razvojnih programera i istraživača privatnosti će sudjelovati u USENIX-u i zainteresirani su za pregled objavljenih istraživanja. "Potičemo istraživanje vršnjačkih stručnjaka u oba napada i obrane mreže Tor."