29.08.2013 | 22:08

Adam Haertle

Ilość użytkowników sieci TOR z Polski wzrosła pięciokrotnie w ciągu tygodnia

Globalna liczba użytkowników sieci TOR wzrosła w zeszłym tygodniu ponad dwukrotnie, a w samej Polsce pięciokrotnie. Czy należy ten wzrost przypisywać aferze PRISM? Wypuszczeniu PirateBrowsera? Czy to nowy botnet? Sprawdzamy hipotezy.

Sieć TOR od 4 lat zbiera różne statystyki, w tym liczby unikalnych użytkowników łączących się bezpośrednio. Od czasu do czasu widać w nich ciekawe anomalie. Tydzień temu zaczął się nagły wzrost, który wzbudził zainteresowanie wielu osób. Zaobserwowano również zauważalny wzrost obciążenia sieci. Pojawiło się sporo teorii, które próbują ten fenomen wytłumaczyć. Spróbujemy się im po kolei przyjrzeć.

tor-users-2013

Czy to skutek afery PRISM?

Serwis Sekurak jako pierwszą z możliwych teorii przedstawia wpływ ostatnich rewelacji, które zawdzięczamy Edwardowi Snowdenowi. Sekurak pisze „Po upublicznieniu informacji o programach takich jak PRISM i XKeyscore, liczba użytkowników Tora zaczęła gwałtownie rosnąć.” Czy ta teoria znajduje pokrycie w danych? Informacje o programie PRISM ujrzały światło dzienne 6 czerwca. Spójrzmy zatem na powyższy wykres, lecz ograniczony jedynie do ostatnich 12 tygodni.

tor-users-2013-06

Widać na nim wyraźnie, że ogłoszenie afery PRISM wcale nie wpłynęło na poziom zainteresowania siecią TOR – a przynajmniej nie przełożyło się na liczbę jej użytkowników. Wzrost liczby użytkowników nie był stopniowy, a nastąpił gwałtownie i to wiele tygodni później. Teoria ta zatem wydaje się mocno naciągana.

Czy to efekt wypuszczenia PirateBrowsera?

Serwis The Pirate Bay wypuścił swoją wersję przeglądarki, która ma pomóc użytkownikom ominąć ograniczenia w dostępie do serwisów www narzucane przez rządy różnych krajów. Pakiet funkcjonuje pod nazwą PirateBrowser i składa się z klienta sieci TOR, przeglądarki Firefox Portable oraz dodatku foxyproxy. PirateBrowser tym rożni się od Tor Browser Bundle, że o ile TBB cały ruch użytkownika przepuszcza przez sieć TOR, to PirateBrowser robi tak tylko w przypadku blokowanych stron. Dzięki temu podczas odwiedzania dopuszczonych stron, użytkownik może cieszyć się prędkością zwykłego internetu, a jednocześnie ma dostęp do witryn, do których nie chce go dopuścić jego rząd. Czy przeglądarka ta mogła przyczynić się do tak dużego wzrostu liczby użytkowników?

tor-users-2013-08

Raczej nie jest to zbyt prawdopodobne, ponieważ przeglądarka została wypuszczona 10 sierpnia, podczas kiedy gwałtowny skok liczby użytkowników występuje ponad tydzień później.

Poszerzenie cenzury w Rosji?

Kilka dni temu Rosja zdecydowała się rozszerzyć przepisy, dotychczas zezwalające na blokowanie stron zawierających treści pedofilskie, również na strony łamiące prawa autorskie. Rosyjski urząd, zarządzający listą blokowanych stron, ogłosił, że wkrótce znajdą się na niej największe rosyjskie trackery torrentów. Czy ta decyzja mogła wpłynąć na ilość użytkowników sieci TOR? Na szczęście dostępne są statystyki użycia w rozbiciu na poszczególne kraje. Spójrzmy zatem na dane z Rosji.

tor-users-2013-08ru

Na wykresie widać, że choć Rosja zanotowała znaczący wzrost liczby użytkowników sieci TOR, to jest on proporcjonalny do danych dotyczących całej sieci i bez wątpienia Rosja nie odpowiada za globalną zmianę, a jedynie również jej doświadczyła.

Atak lub nieudany eksperyment?

Nagły wzrost popularności sieci TOR prawdopodobnie nie miał miejsca – ilość wyszukiwań frazy TOR w Google w ciągu ostatniego miesiąca nie uległa widocznym zmianom. Być może jest to więc bliżej niesprecyzowany atak na sieć TOR lub nieudany eksperyment naukowy? Może ktoś próbuje wysycić pewne połączenia, by zmusić jej użytkowników do korzystania z innych węzłów sieci? Jest także prawdopodobne, że za pojawienie się ok. 600 tysięcy nowych użytkowników może odpowiadać automat, testujący parametry sieci, który ktoś uruchomił celowo lub przez pomyłkę wystartował 1000 razy instancji więcej, niż planował. Jak na razie jednak nikt nie przyznał się do takiego działania.

A może jednak botnet

Teoria mówiąca, że za wzrostem stoi aktualizacja sposobu komunikacji dużego botnetu, znajduje poparcie w kilku sensownych argumentach. Po pierwsze, wzrost jest nagły i dotyczy dużej liczby komputerów. 600 tysięcy nowych klientów w ciągu kilku dni odpowiada charakterystyce rozprzestrzeniania się aktualizacji botnetu. Również statystyki poszczególnych krajów przemawiają za tą teorią. W Indiach ilość użytkowników wzrosła z ok. 7,000 do 35,000. W Brazylii – z 15,000 do 90,000. W Meksyku – z 5,000 do 35,000. W Malezji – z 1,000 do 8,000. Co łączy te kraje? Według badaczy komputery ich obywateli są najbardziej podatne na ryzyko infekcji botnetem.

tor-users-2013-08pl

Co ciekawe, również w Polsce zaobserwowano bardzo znaczący wzrost – z ok. 7,000 do ok. 37,000. Z kolei fakt istnienia botnetów, korzystających z sieci TOR, jest już dość dobrze udokumentowany – znanych jest co najmniej kilka takich przypadków.

Historia sieci TOR zna już podobne anomalie – ostatnie dwa miały miejsce w grudniu 2011 i styczniu 2012, kiedy to ilość użytkowników wahała się między 400,000 a 800,00. Zobaczymy, jak fala wzrostów skończy się tym razem. Która teoria wydaje się Wam najbardziej prawdopodobna?

Powrót

Komentarze

  • 2013.08.29 22:35 Poncki

    Jeśli C&C nie jest w .onion, to powinno być widoczne przy sniffowaniu exit-node… ;-)

    Odpowiedz
  • 2013.08.29 22:55 wolvverine

    Jeśli to botnet, to pytanie jaki i czy na przykład zwiększy on liczbę exit node-ów.

    Odpowiedz
    • 2013.08.30 03:41 Martin

      Niech zrobią botnet seedujący topowe torrenty przez lata :) Dbający automatycznie o ich stałą dostępność :)

      Odpowiedz
    • 2013.08.30 06:45 tvi

      Oczywiście że nie. Może ale nie musi. I raczej nie będzie bo jest to podyktowane logiką biznesową.

      Odpowiedz
  • 2013.08.30 00:20 Marecki

    Wzrost o 700k userów w ciągu tygodnia? Jeżeli to botnet to mega potężny, ale wydaje mi się że najbardziej prawdopodobny tu jest błąd zliczania :P

    Odpowiedz
  • 2013.08.30 12:01 Ihotep

    Botnety które są dostępne do kupienia, oferujące C&C w TOR, tworzą z botów następne węzły, aby oprócz samego działania wspomagały całą sieć

    Odpowiedz
  • 2013.08.30 18:42 1g84

    All your TOR exit nodes powered by the NSA.

    Odpowiedz
  • 2013.08.31 08:25 Semir

    Tak, to jest botnet.
    Można kupić 1k botów za 325$
    Został zmieniony sposób zarządzania, stąd ten ruch ,

    Odpowiedz
  • 2013.08.31 09:09 hoek

    Według mnie to PirateBrowser. Przecież w dzień wypuszczenia przeglądarki skok nie byłby od razu widoczny. Logiczne jest, że przez około tydzień ludzie czytali o tym i powolutku pobierali i zaczynali korzystać.

    Odpowiedz
  • 2013.08.31 13:40 fdsa

    A gdybym hipotetycznie chciał uruchomić exit node sieci Tor na osobnym ip to jaki będzie przewidywany procent drażliwych treści przez niego przechodzących? Aktywistów uciekających przed cenzurą jest 90% a pedo-złodziejo-pelikanów 10%? Czy odwrotnie?

    Odpowiedz
    • 2013.08.31 21:11 fig0f4g0

      Takie dane to od służb. Ch*** same podsłuchują to pewnie mogli by coś powiedzieć na temat statystyk…

      Odpowiedz
  • 2013.09.01 10:09 delo

    A może przyszło odgórne zarządzenie, że policjanci, którzy nie chcą patrolować ulic i stadionów muszą uczyć się komputera i patrolować Tora?

    Odpowiedz
  • 2013.09.01 18:59 Koń

    Gdzie dostanę jakąś biblioteke do integracji tych uslug? chetnie bym dodal siec tor do swojego programu.

    Moze powstala jakas biblioteka a wy nic o niej nie wiecie?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ilość użytkowników sieci TOR z Polski wzrosła pięciokrotnie w ciągu tygodnia

Komentarze