Zaskakujących anomalii w sieci TOR ciąg dalszy

dodał 1 września 2013 o 11:50 w kategorii Prywatność  z tagami:
Zaskakujących anomalii w sieci TOR ciąg dalszy

Kilka dni temu próbowaliśmy wytłumaczyć, czemu liczba użytkowników sieci TOR wzrosła dwukrotnie w ciągu tygodnia. Co ciekawe, wzrost trwa dalej i przekroczył już 300% – nie rośnie jednak równo w każdym kraju. Odkryliśmy w danych ciekawe anomalie.

Nasza dotychczasowa analiza wskazywała, że najbardziej prawdopodobnym powodem tak gwałtownego wzrostu liczby użytkowników sieci TOR jest botnet, który zaczął wykorzystywać tę technologię do komunikacji z centrum sterowania. Teorie o nagłym ataku cenzury, aferze PRISM czy popularności PirateBrowsera nie znajdowały potwierdzenia w faktach.  Trzeba także podkreślić, że wzrosła liczba klientów sieci, a nie węzłów wejściowych, wyjściowych czy pośrednich – zatem raczej nie jest to atak mający na celu deanonimizację użytkowników. Co mówią nam najnowsze dane?

Pobraliśmy z sieci kompletny zestaw danych dotyczących liczby użytkowników sieci TOR w rozbiciu na kraje. Jako że nagły wzrost zaczął się dnia 19 sierpnia, wzięliśmy pod uwagę dane od 18 do 28 sierpnia (nowsze nie są jeszcze dostępne). W tym okresie liczba użytkowników sieci wzrosła z ok. 500,000 do ponad 1,7 mln! Obecna liczba pobrań PirateBrowsera wynosi ok. 550 tysięcy, więc skala wzrostu jest kolejnym powodem, dla którego trudno uznać przeglądarkę The Pirate Bay za jedyną przyczynę.

Sytuacja w Polsce również rozwija się dynamicznie. Z poziomu ok. 7 tysięcy użytkowników doszliśmy już do 53 tysięcy, co oznacza wzrost o 750%. Jeśli jednak spojrzymy na 10 krajów o największym procentowym wzroście od 18 do 28 sierpnia, to będzie to ciekawa lista:

Kraj 2013-08-18 2013-08-28  zmiana
Wietnam 999 30937 3097%
Albania 117 3545 3030%
Bośnia i Hercegowina 128 3631 2837%
Serbia 452 9477 2097%
Macedonia 105 2078 1979%
Kolumbia 1112 19563 1759%
Tajlandia 1556 26362 1694%
Wenezuela 1076 16711 1553%
Filipiny 1041 15212 1461%
Grecja 1024 14731 1439%

Widać, że dominują na niej Bałkany, którym towarzyszą Azja i Ameryka Południowa. Postanowiliśmy zatem przyjrzeć się dokładniej Europie. Przeanalizowaliśmy dane dla wszystkich europejskich krajów i stworzyliśmy animowaną mapę, na której po kolei czerwonym kolorem zaznaczane są kolejne kraje według malejącego wzrostu liczby użytkowników sieci TOR (im któryś kraj dłużej zielony, tym wzrost mniejszy).

Wzrost liczby użytkowników sieci TOR

Wzrost liczby użytkowników sieci TOR

Jak więc widzicie, największe wzrosty odnotowano na Bałkanach, potem w Europie Środkowo – Wschodniej, a dopiero na koniec pojawiają się kraje bogatej Europy Zachodniej. Gdyby nie Rosja, Ukraina i Mołdawia, można by powiedzieć, że kolejność odpowiada z grubsza poziomowi zamożności poszczególnych krajów.

Jeśli spojrzymy na listę wszystkich krajów świata posortowaną według tego samego kryterium, to pierwsze zamożne państwa pojawiają się w okolicach pozycji 46-50 (Japonia, Hong Kong, ZEA). Wcześniej mamy całą Amerykę Południową oraz Karaiby, spory kawałek Azji, północną Afrykę oraz biedniejsze kraje Europy.

Ciekawa jest też lista krajów, w których zanotowano najmniejsze wzrosty:

Kraj 2013-08-18 2013-08-28  zmiana
Izrael 7139 6231 87%
Iran 10898 9850 90%
Bangladesz 1032 1043 101%
Mołdawia 6100 6329 104%
Syria 4012 4552 113%
Afganistan 205 249 121%
Arabia Saudyjska 7183 8892 124%
Sudan 222 285 128%
Benin 295 391 133%
Uzbekistan 221 298 135%

Co może być powodem takiego rozkładu danych? Niestety brak na tę chwilę solidnego wytłumaczenia. Można by się spodziewać, że ruch tak dużego botnetu zostanie szybko zauważony. Choć pojawiają się doniesienia o wzroście skanowań luk w serwisach WWW pochodzących z sieci TOR, to jednak ich skala jest niewielka. Jedną z nowych teorii jest także dodanie paczki TOR do popularnego pirackiego oprogramowania – jednak brak jakichkolwiek dowodów, wspierających te tezę. Czekamy zatem na rozwój sytuacji.