Sieć Tor od wielu lat uznawana jest za najbezpieczniejszy sposób anonimowego przeglądania sieci oraz udostępniania w niej treści. Dwóch badaczy twierdzi, że udało im się opracować metodę identyfikacji jej użytkowników oraz serwerów.
Od momentu powstania sieć Tor była celem różnorakich ataków, czasem także skutecznych, jednak nie było wśród nich znanych przypadków masowej, skutecznej deanonimizacji użytkowników i ukrytych w niej serwerów. Według badaczy, którzy zapowiedzieli swoją prezentację na konferencji Black Hat, mamy do czynienia z pierwszym takim przypadkiem.
Zapowiedź wystąpienia
Black Hat to jedna z najważniejszych konferencji bezpieczeństwa na świecie. Przyjmowane na nią wystąpienia z reguły wnoszą coś nowego i ciekawego do badań nad bezpieczeństwem. To tam dowiadujemy się o nowych atakach, błędach i metodach obrony przed zagrożeniami. Tym razem na liście zapowiedzianych prezentacji pojawił się temat, który może zaniepokoić wielu internautów.
Nie musisz być NSA by złamać Tora – deanonimizowanie użytkowników małym kosztem to tytuł prezentacji Alexandera Volynkina oraz Michaela McCorda. Według opisu treści wystąpienia autorom udało się odkryć adresy IP użytkowników sieci oraz poznać lokalizację wielu ukrytych serwerów. Oddajmy głos im samym:
Konsekwencje
Jeśli zapowiedź prezentacji jest zgodna z prawdą (a organizatorzy konferencji nie mają w zwyczaju zapraszać oszołomów czy hochsztaplerów), to szykuje się wielki przewrót w świecie anonimowości oraz ogromna afera. Skoro naukowcy mogli złamać anonimowość Tora, to czy zrobił to już ktoś przed nimi? Czy to odkrycie jest wyjaśnieniem niedawnych wpadek Silk Road czy Freedom Hostingu?
Na odpowiedź na te pytania przyjdzie nam czekać do 7 sierpnia, chyba że wcześniej wycieknie treść prezentacji. Co ciekawe, obaj badacze, należący do zespołu CERT uniwersytetu Carnegie Mellon, mimo wcześniejszych obietnic do tej pory nie przedstawili swojego odkrycia zespołowi Tor Project. Odpowiedzialni za działanie sieci Tor o możliwym ataku dowiedzieli się dopiero z publikacji programu konferencji. Jest to działanie wbrew przyjętym zasadom dotyczącym odpowiedzialnego ujawniania błędów i stanowiło to duże zaskoczenie dla społeczności skupionej wokół Tor Project- nie mówiąc już o atakach na prawdziwych użytkowników.
Jak zakończy się cała afera? Na pewno będzie jeszcze niejedna okazja, by o tym napisać.
Dziękujemy anonimowym użytkownikom, którzy podesłali linki do tego tematu.
Komentarze
Chwyt marketingowy. Nic wiecej.
Chwyt marketingowy? Czyj? W jakim celu?
W jakim kontekście jest użyte słowo „natura”? Ciekawe czy to będzie coś co mi wpadło kiedyś do głowy jako pierwszy pomysł na deanonimizację serwerów czyli nawalanie pakietami z grubej rury i patrzenie po routerach gdzie trafia ruch
Ciekawi mnie, czy atak jest możliwy na dowolnego użytkownika, czy tylko takiego, który np. korzysta z naszego serwisu. Jeśli to drugie, to też miałem kiedyś pomysł, który również pasowałby do opisu: pchać pakiety pod adresy-kandydatów, gdy ktoś korzysta z naszego serwisu. Jeśli trafimy na właściwy adres, to da się to zauważyć po jakości połączenia z naszym serwisem, z którego ofiara korzysta. Analogicznie w przypadku serwerów, tylko łatwiej, bo to my możemy nawiązywać połączenia.
Jeśli faktycznie to zostanie przedstawione, to będę sobie pluł w brodę, że – uznając to za nierealne banialuki – nigdy nie wpadłem na pomysł publikacji ;).
wydaje mi się że w sieci tor rożne pakiety idą różnymi drogami więc dojdą z rożnym opóźnieniem. Poza tym tor ma mała przepustowość oraz korzysta z niego bardzo dużo osób.
Najwyżej ludzie przejdą na I2P lub FreeNet :)
s/Jak zakończy się cała fera?/Jak zakończy się cała sfera?/gc
Dzięki, poprawione.
Niezła petarda…
BTW: WordPress ma wbudowane coś takiego jak oEmbed, wystarczy wrzucić link do twitta w pustej linii i wyświetli ładnie ostylowane twittnięcie – wygodniejsze i lepiej działające (a przede wszystkim dające łatwą możliwość retwittu czy odpowiedzi) od wstawiania screenshota…
W tym wypadku jest jak w Doxing’u
Lepiej mieć screena jako dowód, niż link który mogą zmienić usunąć.
Ma. Ale brakowało grafiki do artykułu, a link na Facebooku bez grafiki jest bardzo biedny ;)
to może chociaż podlinkować obrazek do twitta?
Wydaje mi się to grubymi nićmi szyte, tymbardziej, że sieć się rozrosła w ostatnich latach i ataki korelacyjna stają się coraz trudniejsze.
Rozrosła? No może troszeczkę, ale dalej statystyka jest po stronie atakujących. 1000 węzłów wyjściowych, nieco ponad 5 tysięcy wszystkich, wystarczy pewnie ze 100 żeby mieć sporą szansę dostarczenia wszystkich 3.
Tylko czekać na jakiś botnet który przy okazji z zombiaka będzie robił węzeł Tora. AFAIR takie akcje już się zdarzały…
Ciekawi mnie czy ta metoda pozwala na wykrycie użytkowników wstecz (np użytkownika ostatnio zalogowanego w serwisie rok temu) czy tylko w czasie rzeczywistym.
Pwnikiem okaże się, że możliwe, przy spełnieniu fafnastu warunków i trzymaniu się lewą ręką z prawe ucho. Czyli „algorytm da się złamać nie w 2^160 prób a tylko 2^145, więc wykryliśmy poważne zagrożenie”.
Chciałem sprawdzić kiedy będzie to wystąpienie i okazuje się, że nie ma go już na stronie Black Hat. Wiecie coś na ten temat?
Wystąpienie jest dalej w harmonogramie (7 sierpnia o 14:15 lokalnego czasu), zniknęło tylko streszczenie.