02.01.2015 | 16:50

avatar

Adam Haertle

80% wizyt w sieci Tor dotyczy pornografii dziecięcej – albo i nie

Wyniki ciekawego eksperymentu pokazują, że 4/5 wszystkich zapytań o lokalizację ukrytych usług w sieci Tor dotyczyło adresów zawierających pornografię dziecięcą. Przed przejściem do  wniosków warto jednak spojrzeć co i w jaki sposób badano.

W trakcie konferencji 31C3 brytyjski naukowiec Gareth Owen pokazał ciekawe wyniki analizy popularności ukrytych usług w sieci Tor. Przeanalizujmy jego badanie oraz osiągnięte rezultaty.

Pół roku i 40 węzłów

Jak spisać wszystkie adresy ukrytych usług w sieci Tor? Jest to z założenia niemożliwe. Dopóki ktoś nie opublikuje świadomie adresu swojego serwera z końcówką .onion, to adres ten pozostaje znany tylko kilku wybranym węzłom sieci. Problem ten spróbował rozwiązać Gareth Owen, który wraz ze swoimi studentami przez sześć miesięcy prowadził 40 węzłów sieci Tor.

Nie będziemy wnikać w szczegóły działania sieci Tor na poziomie protokołu (na nagraniu prezentacji poniżej Gareth je dość przejrzyście przedstawia), ale wystarczy wspomnieć, że każdy węzeł sieci Tor ma szansę stać się punktem posiadającym informację o konkretnej ukrytej usłudze. Oczywiście nie będzie to informacja o jej lokalizacji, a jedynie o jej adresie oraz węźle, gdzie można się z nią skontaktować. Dzięki takiej architekturze osoba, która kontroluje węzeł sieci, może zapisywać, o jakich ukrytych usługach danego dnia jej węzeł wie oraz ile otrzymał zapytań na temat możliwości połączenia z konkretnym węzłem. Dane zbierane przez dłuższy czas można poddać analizie – i jej wyniki przedstawił kilka dni temu Gareth.

Statystyki ukrytych usług

Zespół kontrolował 40 węzłów przez 6 miesięcy. Ze względu na rotację informacji o ukrytych usługach przez ten czas mógł zebrać informację o sporej części adresów .onion. Oczywiście nie ma żadnej gwarancji, że natrafił na wszystkie – jest jednak dość prawdopodobne, że wszystkie bardziej popularne i stabilne napotkał co najmniej raz. W trakcie trwania eksperymentu zaobserwowano jednoczesną obecność około 45 tysięcy ukrytych usług. Jako że adresy te pojawiają się i znikają, to ich całkowita liczba zaobserwowana w trakcie eksperymentu jest większa i wynosi około 80 tysięcy.

Ilość ukrytych usług

Ilość ukrytych usług

Ciekawa jest informacja o stabilności adresów. Duża część z nich była zaobserwowana przez zespół badaczy tylko raz, a większość poniżej 10 razy. Oznacza to, że spora część adresów .onion pojawia się na krótką chwilę, by następnie dokonać żywota.

Wiek ukrytych usług

Wiek ukrytych usług

Ciekawie wygląda także porównanie danych zebranych w tym badaniu z danymi z innego badania z roku 2013, kiedy to naukowcom udało się wykorzystać lukę w protokole by wyliczyć istniejące ukryte usługi. Porównanie obu zebranych zestawów danych wskazuje, że w stosunku do badania sprzed ponad roku ok. 5000 adresów dalej istnieje, 45 000 zniknęło a 60 000 się pojawiło.

Jaki rodzaj usług dominuje

Okazuje się, że zdecydowanie najczęściej w sieci Tor poszukiwane są adresy kontrolerów botnetów. Usługi te zajmują 40 pierwszych miejsc na liście najpopularniejszych adresów. Naukowcy natrafili na adresy serwerów C&C siedmiu różnych botnetów, w tym również botnetu Skynet, którego twórca przeprowadził nawet AMA na Reddicie i miał swoje konto Twittera. Co prawda został już zatrzymany (co w tym kontekście nie było zaskoczeniem) a botnet wyłączony, jednak zainfekowane maszyny nadal szukają swojego centrum sterowania.

Kontrolery botnetów

Kontrolery botnetów

Po odfiltrowaniu kontrolerów botnetów naukowcy pobrali zawartość pozostałych adresów by określić ich charakter. Aby uniknąć łamania przepisów pobierali jedynie treści tekstowe. W ten sposób przeprowadzili klasyfikację rodzajów usług wskazującą, że najliczniejsze są serwisy oferujące narkotyki, na drugim miejscu znajdują się różne platformy handlowe a na trzecim strony poświęcone oszustwom. Okazało się jednak, że strony oferujące narkotyki odpowiadają jedynie za ok. 5 % wszystkich zapytań.

Rodzaj ukrytych usług

Rodzaj ukrytych usług

Gdzie ta pornografia

Pornografia dziecięca, ukryta pod hasłem „abuse”, pod względem ilościowym znajdowała się pod koniec klasyfikacji ukrytych usług. Kiedy jednak spojrzeć na ilość zapytań, jakie odnotowały poszczególne usługi, okazuje się, że aż 83% zapytań o konkretne adresy .onion dotyczyło właśnie usług zawierających pornografię dziecięcą.

Popularność ukrytych usług

Popularność ukrytych usług

Na tej podstawie Wired napisał, że 80% wizyt w Torze związanych jest z pedofilią. Problem jednak polega na tym, że tego tak naprawdę nie wiemy. Spójrzmy zatem na możliwe scenariusze oraz kontekst pozyskanych danych.

Po pierwsze widzimy jedynie zapytania o ukryte usługi, +/- odpowiednik zapytań do serwera DNS. Nie oznacza to ani liczby wizyt, ani liczby gości. Klient Tora – jeśli go nie restartujemy – musi tylko raz zapytać o daną usługę w ramach jednej sesji. Nie wiemy zatem, ile było wizyt, nie wiemy, jaka była przepustowość ruchu, nie wiemy nawet, czy byli to użytkownicy czy jakieś boty.

Nie jest tajemnicą, że niejedna jednostka policji czy też organizacji powołanych do walki z pornografią dziecięcą regularnie skanuje serwisy pedofilskie w poszukiwaniu nowych treści i śladów mogących prowadzić do zatrzymania sprawców. Część widocznych zapytań powinna zatem pochodzić z takich właśnie automatów. Możliwe także, że zarejestrowane dane to np. efekt próby ataku DDoS na ukrytą usługę. Nie sposób tego wykluczyć.

Jak słusznie zauważają przedstawiciele Tor Project, jedynie ok. 1,5% ruchu w sieci Tor to ruch do ukrytych usług. W 98,5% przypadków sieć Tor wykorzystywana jest do odwiedzania witryn lub innych usług w „normalnym” internecie. Oznacza to, że w najgorszym razie 80% z 1,5% to ruch związany z pornografią dziecięcą.

Warto także zauważyć, że klasyfikacja witryn zaobserwowanych w trakcie eksperymentu następowała pod jego koniec. Oznacza to, że witryny, które pojawiły się na jego początku a następnie zniknęły z sieci nie zostały sklasyfikowane. Skutkiem tego jest bez wątpienia nadreprezentacja w klasyfikacji witryn o największej stabilności działania. Również wizyty przez bramki typu Tor2Web nie mogły być ujęte w opublikowanych wynikach.

To, że Internet is for porn nie ulega żadnej wątpliwości. Czy jednak Tor is for child porn? To badanie nie przedstawia jednoznacznych dowodów na potwierdzenie tej tezy.

Powrót

Komentarze

  • avatar
    2015.01.02 17:13 Paweł

    Lepiej wyłącznie adsensy na tej stronie ;)

    Odpowiedz
    • avatar
      2015.01.02 17:45 Duży Pies

      Użyj dodatku Ghostery https://addons.mozilla.org/pl/firefox/addon/ghostery/ na FF i nie marudź.

      Odpowiedz
      • avatar
        2015.01.02 18:36 steppe

        Na Chromium też jest :)

        Odpowiedz
        • avatar
          2015.01.02 18:47 Duży Pies

          Wiem że jest.
          Zapisałeś się na ProtonMail, jak Ci sugerowałem w komentarzu pod dyskusją o Torze? Trzeba trochę poczekać na konto, ale warto. Jestem nim zachwycony. Genialna poczta email NSA-proof ;)
          Pozdrawiam

          Odpowiedz
          • avatar
            2015.01.02 19:41 steppe

            Kolego DP (dziwnie by mi się pisało „Duży Psie” :) ),
            chyba przeoczyłem Twój komentarz. Poszukam pod wiadomościami.
            Mam trudności ze śledzeniem swoich komentarzy na Z3S i podobnych portalach. Z kolei fejs mnie wnerwia i wolę komentować tutaj :)
            Nie za bardzo mam ciśnienie, żeby szukać poczty odpornej na NSA. Tylu moich bliższych i dalszych krewnych używa znanych NSA usług, że i tak już nie mam się z czym chować :) Jest po prostu za późno i chyba wiedzą o mnie więcej niż ja sam.
            W samoobronie pozostaje udawać głupiego, ale to miewa fatalne skutki w pracy, więc lepiej się nie poświęcać aż tak bardzo :)

      • avatar
        2015.01.02 18:59 DOgi

        Jak za pomocą tego dodatku ktoś, miałby wyłączyć wszystkim adsense na tej stronie?
        Chyba nie zrozumiałeś sensu wypowiedzi Pawła.

        Odpowiedz
        • avatar
          2015.01.02 19:09 Duży Pies

          A dlaczego ktoś miałby prawo wyłączać wszystkim adsense na stronie Adama?
          To jego strona, chłop ustawia sobie na niej co chce. Jak się komuś nie podoba, to Fuck Off, niech se założy własny serwis. Mnie się te dodatki też nie podobają, ale ja nie marudzę i je po prostu blokuję. Tak trudno to zrozumieć?

          Odpowiedz
          • avatar
            2015.01.02 20:35 DOgi

            Wiesz jak działa reklama kontekstowa? ( ͡° ͜ʖ ͡°)

        • avatar
          2015.01.02 21:34 Marszal

          Kiedyś miał antyweb, albo speeder problem, jeden art już nie pamietam o czym, kilka podejrzanych zdan i zdjecie i poszedł ban :D Poźniej gorzkie żale heheh

          Odpowiedz
        • avatar
          2015.01.02 21:47 666

          on się tobą bawi, zrozum to, a ty jak durny odpisujesz mu, to diabeł a nie pies

          Odpowiedz
  • avatar
    2015.01.02 17:49 mgnienie

    Mnie ciekawi na jakiej zasadzie działały wyszukiwarki stron torowych. Może na podobnej zasadzie jak badacze to robili? A może działały w zwykłym necie i przenosiły wyniki do ukrytej usługi?

    Pamietam, że na Torowisku był dział z pedoporno i cieszył się tam największą popularnością :D

    Odpowiedz
    • avatar
      2015.01.02 19:19 Adam

      Na zasadzie zwykłego robota – crawlera śledzącego linki. Nie trafi tam gdzie go ktoś nie pośle.

      Odpowiedz
      • avatar
        2015.01.02 20:10 mgnienie

        Dopiero zatrybiłem jak już wysłałem koment ;3

        To teraz już mamy metodę, która może być wydajniejszą od zwykłego bota łażącego po linkach. Na pewno więcej byśmy mieli wyników tych mało podlinkowanych i znanych tylko wtajemniczonym.

        Odpowiedz
  • avatar
    2015.01.02 18:21 łuuu

    a reszta narkotyków :D

    Odpowiedz
  • avatar
    2015.01.02 18:32 Marszal

    Kiedy jest Defcon ? Maja coś powiedzieć o drugiej częsci audytu truecrypta
    https://twitter.com/Joshua1909/status/537500918409723904

    Odpowiedz
  • avatar
    2015.01.02 18:36 steppe

    Czasem zastanawiałem się, czy nie pobawić się w wystawianiem jakiejś usługi w Torze. Ciekawa rzecz, ale od razu pojawiało się pytanie: „po co?” Jakie byłyby zalety dla zwyczajnych treści i materiałów? Ochrona przed DoS? Jakaś tam anonimowość?
    W pewnym sensie taka strona pozbawia się części odbiorców – tych, którzy nie sięgają do Tora.
    Być może rzeczywiście nielegalność jest głównym argumentem za skorzystaniem z Tora i stąd takie przodowanie w statystykach.

    Macie jakiś pomysł na normalny serwis dostępny przez Tora (oprócz poczty itp.)?

    Odpowiedz
    • avatar
      2015.01.02 18:54 Duży Pies

      Nadejdą czasy że rządowe fiskalizmy wezmą się za kryptowaluty, nie przepuszczą takiej tłustej daniny która im właśnie ucieka sprzed nosa. Myślę że w przeciągu najbliższych 3-5 lat się wezmą. Wtedy będzie można w Torze założyć jakiś serwis z kryptowalutami. To chyba dobry pomysł?

      Odpowiedz
      • avatar
        2015.01.02 19:42 steppe

        No ale to jest chowanie się przed władzą, a ja pytałem o zwykłą działalność :)

        Odpowiedz
        • avatar
          2015.01.02 19:52 Duży Pies

          Ale będziesz miał spory ruch na stronie i dobrze zarobisz;)
          .
          No chyba że dogadasz się z którąś z 3-literowych służb;)
          I założysz – nieoficjalnie dla nich, a oficjalnie dla motłochu – serwis będący w istocie honeypotem. Ja gdybym miał inwigilować, zrobiłbym projekt obliczony na lata, a nie na miesiące. Taki perfidny i perwersyjny honeypot. Niech się ludziska schodzą, rozmawiają, zostawiają jak najwięcej informacji – zbierałbym to wszystko, gromadził, przetwarzał i analizował w gronie analityków. Bezcenna i prawie darmowa wiedza.
          A teraz pomyślcie o naszym Adamie i Z3S:)

          Odpowiedz
          • avatar
            2015.01.02 20:14 steppe

            „No chyba że dogadasz się z którąś z 3-literowych służb;)”

            Taaa, na przykład z MPO…

            W sumie Z3S to też trzy znaki…

    • avatar
      2015.01.03 23:27 x

      1. Badania z zakresu nauk społecznych dotyczące zjawisk karanych (np. stosunek do pornografii dziecięcej). Samo badanie nie jest nieetyczne, a fakt że badani nie zostaną zidentyfikowani nawet przez NSA zwiększa wiarygodność odpowiedzi.

      2. Gry symulujące świat przedstawiony w którym dzieją się zjawiska uważane za nieetyczne. Rozgrywając taką grę kanałami nieszyfrowanymi nie można uzyskać całkowitego rozgraniczenia świata gry od świata rzeczywistego. Gracz odgrywający postać popełniającą myślozbrodnię (postać nawołującą do rasizmu, olewającą copyright….) popełnia ją też w świecie rzeczywistym. Pradziwa policja może naruszyć równowagę świata przedstawionego, a wtedy gra przestaje być wiarygodnym modelem rzeczywistości.

      Odpowiedz
    • avatar
      2015.02.06 00:11 Pitek

      To samo pytanie sobie zadawałem i uruchomiłem forum w Tor. Chciałem przyciągnąć, albo „wyłowić” ludzi nieszablonowych i nieakceptowanych w „normalnym” świecie. Forum istniało przez rok, usunąłem je kiedy zaczęły się pojawiać wyłącznie wpisy dotyczące handlu używkami. Nazywało się „światowstręt”.

      Odpowiedz
  • avatar
    2015.01.02 20:44 Duży Pies

    @ DOgi
    Wiem, no i co? Dalej nie rozumiem narzekania. Staje ci gdy sobie tak popiszesz?

    Odpowiedz
    • avatar
      2015.01.02 21:59 Adam

      Przestańcie z tymi osobistymi wycieczkami albo będę kasował. Ostatnie ostrzeżenie.

      Odpowiedz
  • avatar
    2015.01.07 14:51 Maciek bez zespołu

    Pozostałe 20% to zapytania dotyczące czyszczenia CC,PP,BA.

    Odpowiedz
  • avatar
    2016.11.19 19:45 runbunny666

    Prawda jest taka, że póki nie zacząłem korzystać z TOR nie wiedziałem, że na świecie jest aż tylu peddofili. Tak to parafrazując mistrza Lema.

    Odpowiedz

Zostaw odpowiedź do Maciek bez zespołu

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

80% wizyt w sieci Tor dotyczy pornografii dziecięcej – albo i nie

Komentarze