08.07.2014 | 10:27

Adam Haertle

Anonimowość Tora prawdopodobnie złamana. Co dalej?

Sieć Tor od wielu lat uznawana jest za najbezpieczniejszy sposób anonimowego przeglądania sieci oraz udostępniania w niej treści. Dwóch badaczy twierdzi, że udało im się opracować metodę identyfikacji jej użytkowników oraz serwerów.

Od momentu powstania sieć Tor była celem różnorakich ataków, czasem także skutecznych, jednak nie było wśród nich znanych przypadków masowej, skutecznej deanonimizacji użytkowników i ukrytych w niej serwerów. Według badaczy, którzy zapowiedzieli swoją prezentację na konferencji Black Hat, mamy do czynienia z pierwszym takim przypadkiem.

Zapowiedź wystąpienia

Black Hat to jedna z najważniejszych konferencji bezpieczeństwa na świecie. Przyjmowane na nią wystąpienia z reguły wnoszą coś nowego i ciekawego do badań nad bezpieczeństwem. To tam dowiadujemy się o nowych atakach, błędach i metodach obrony przed zagrożeniami. Tym razem na liście zapowiedzianych prezentacji pojawił się temat, który może zaniepokoić wielu internautów.

Nie musisz być NSA by złamać Tora – deanonimizowanie użytkowników małym kosztem to tytuł prezentacji  Alexandera Volynkina oraz  Michaela McCorda. Według opisu treści wystąpienia autorom udało się odkryć adresy IP użytkowników sieci oraz poznać lokalizację wielu ukrytych serwerów. Oddajmy głos im samym:

W naszym wystąpieniu pokażemy, jak rozproszona natura, połączona z nowo odkrytymi wadami na etapie projektowania oraz wdrażania sieci Tor może zostać wykorzystana do złamania jej anonimowości. Odkryliśmy, że zdeterminowany atakujący, dysponujący kilkoma serwerami dużej mocy i kilkoma gigabitowymi połączeniami może w ciągu kilku miesięcy odkryć tożsamość setek tysięcy klientów sieci Tor oraz tysięcy ukrytych serwerów. Całkowity koszt inwestycji? Niecałe 3000 dolarów. Podczas naszego wystąpienia szybko omówimy naturę, możliwość przeprowadzenia oraz ograniczenia możliwych ataków a następnie zaprezentujemy dziesiątki prawdziwych przykładów deanonimizacji, od wskazania odpowiedzialnych za zarządzanie botnetami, przez lokalizacje narkotykowych bazarów po użytkowników serwerów z pornografią dziecięcą. Zakończymy wnioskami na temat przyszłości bezpieczeństwa rozproszonych sieci anonimowych.

Konsekwencje

Jeśli zapowiedź prezentacji jest zgodna z prawdą (a organizatorzy konferencji nie mają w zwyczaju zapraszać oszołomów czy hochsztaplerów), to szykuje się wielki przewrót w świecie anonimowości oraz ogromna afera. Skoro naukowcy mogli złamać anonimowość Tora, to czy zrobił to już ktoś przed nimi? Czy to odkrycie jest wyjaśnieniem niedawnych wpadek Silk Road czy Freedom Hostingu?

Na odpowiedź na te pytania przyjdzie nam czekać do 7 sierpnia, chyba że wcześniej wycieknie treść prezentacji. Co ciekawe, obaj badacze, należący do zespołu CERT uniwersytetu Carnegie Mellon, mimo wcześniejszych obietnic do tej pory nie przedstawili swojego odkrycia zespołowi Tor Project. Odpowiedzialni za działanie sieci Tor o możliwym ataku dowiedzieli się dopiero z publikacji programu konferencji. Jest to działanie wbrew przyjętym zasadom dotyczącym odpowiedzialnego ujawniania błędów i stanowiło to duże zaskoczenie dla społeczności skupionej wokół Tor Project-  nie mówiąc już o atakach na prawdziwych użytkowników.

Komentarz do zapowiedzi prezentacji

Komentarz do zapowiedzi prezentacji

Jak zakończy się cała afera? Na pewno będzie jeszcze niejedna okazja, by o tym napisać.

Dziękujemy anonimowym użytkownikom, którzy podesłali linki do tego tematu.

Powrót

Komentarze

  • 2014.07.08 11:10 Kuba

    Chwyt marketingowy. Nic wiecej.

    Odpowiedz
    • 2014.07.17 10:15 Breneka

      Chwyt marketingowy? Czyj? W jakim celu?

      Odpowiedz
  • 2014.07.08 11:34 bre

    W jakim kontekście jest użyte słowo „natura”? Ciekawe czy to będzie coś co mi wpadło kiedyś do głowy jako pierwszy pomysł na deanonimizację serwerów czyli nawalanie pakietami z grubej rury i patrzenie po routerach gdzie trafia ruch

    Odpowiedz
    • 2014.07.08 14:33 mpan

      Ciekawi mnie, czy atak jest możliwy na dowolnego użytkownika, czy tylko takiego, który np. korzysta z naszego serwisu. Jeśli to drugie, to też miałem kiedyś pomysł, który również pasowałby do opisu: pchać pakiety pod adresy-kandydatów, gdy ktoś korzysta z naszego serwisu. Jeśli trafimy na właściwy adres, to da się to zauważyć po jakości połączenia z naszym serwisem, z którego ofiara korzysta. Analogicznie w przypadku serwerów, tylko łatwiej, bo to my możemy nawiązywać połączenia.

      Jeśli faktycznie to zostanie przedstawione, to będę sobie pluł w brodę, że – uznając to za nierealne banialuki – nigdy nie wpadłem na pomysł publikacji ;).

      Odpowiedz
      • 2014.07.14 21:25 sojuz151

        wydaje mi się że w sieci tor rożne pakiety idą różnymi drogami więc dojdą z rożnym opóźnieniem. Poza tym tor ma mała przepustowość oraz korzysta z niego bardzo dużo osób.

        Odpowiedz
  • 2014.07.08 12:05 janusz

    Najwyżej ludzie przejdą na I2P lub FreeNet :)

    Odpowiedz
  • 2014.07.08 12:48 xxx

    s/Jak zakończy się cała fera?/Jak zakończy się cała sfera?/gc

    Odpowiedz
    • 2014.07.08 13:14 Adam

      Dzięki, poprawione.

      Odpowiedz
  • 2014.07.08 13:33 marsjaninzmarsa

    Niezła petarda…

    BTW: WordPress ma wbudowane coś takiego jak oEmbed, wystarczy wrzucić link do twitta w pustej linii i wyświetli ładnie ostylowane twittnięcie – wygodniejsze i lepiej działające (a przede wszystkim dające łatwą możliwość retwittu czy odpowiedzi) od wstawiania screenshota…

    Odpowiedz
    • 2014.07.08 13:37 X

      W tym wypadku jest jak w Doxing’u
      Lepiej mieć screena jako dowód, niż link który mogą zmienić usunąć.

      Odpowiedz
    • 2014.07.08 16:00 Adam

      Ma. Ale brakowało grafiki do artykułu, a link na Facebooku bez grafiki jest bardzo biedny ;)

      Odpowiedz
      • 2014.07.08 20:19 Kwpolska

        to może chociaż podlinkować obrazek do twitta?

        Odpowiedz
  • 2014.07.08 19:34 Karol Wojtyła

    Wydaje mi się to grubymi nićmi szyte, tymbardziej, że sieć się rozrosła w ostatnich latach i ataki korelacyjna stają się coraz trudniejsze.

    Odpowiedz
    • 2014.07.08 21:12 Adam

      Rozrosła? No może troszeczkę, ale dalej statystyka jest po stronie atakujących. 1000 węzłów wyjściowych, nieco ponad 5 tysięcy wszystkich, wystarczy pewnie ze 100 żeby mieć sporą szansę dostarczenia wszystkich 3.

      Odpowiedz
  • 2014.07.08 22:15 Horacy

    Tylko czekać na jakiś botnet który przy okazji z zombiaka będzie robił węzeł Tora. AFAIR takie akcje już się zdarzały…

    Odpowiedz
  • 2014.07.10 08:36 George

    Ciekawi mnie czy ta metoda pozwala na wykrycie użytkowników wstecz (np użytkownika ostatnio zalogowanego w serwisie rok temu) czy tylko w czasie rzeczywistym.

    Odpowiedz
  • 2014.07.17 22:32 Admin

    Pwnikiem okaże się, że możliwe, przy spełnieniu fafnastu warunków i trzymaniu się lewą ręką z prawe ucho. Czyli „algorytm da się złamać nie w 2^160 prób a tylko 2^145, więc wykryliśmy poważne zagrożenie”.

    Odpowiedz
  • 2014.07.21 09:26 Michał

    Chciałem sprawdzić kiedy będzie to wystąpienie i okazuje się, że nie ma go już na stronie Black Hat. Wiecie coś na ten temat?

    Odpowiedz
    • 2014.07.21 10:32 Adam

      Wystąpienie jest dalej w harmonogramie (7 sierpnia o 14:15 lokalnego czasu), zniknęło tylko streszczenie.

      Odpowiedz

Zostaw odpowiedź do Breneka

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Anonimowość Tora prawdopodobnie złamana. Co dalej?

Komentarze