Znamy szczegóły ataku deanonimizującego na sieć Tor

dodał 30 lipca 2014 o 14:03 w kategorii Krypto, Prywatność  z tagami:
Znamy szczegóły ataku deanonimizującego na sieć Tor

Na liście dyskusyjnej projektu Tor pojawił się opis ataku, prowadzonego w celu deanonimizacji użytkowników sieci od stycznia do lipca tego roku. Atak faktycznie mógł skutecznie ujawnić adresy IP osób, łączących się z konkretnymi zasobami.

Roger Dingledine, główny programista Tor, opublikował dzisiaj rano wyjaśnienie ataku, o którym głośno było od kilku tygodni. Jego efekty miały być opisane na konferencji Black Hat za kilka dni, jednak prezentacja została wycofana. Na czym polegał ten atak i kto mógł paść jego ofiarą?

Wystarczyło 115 serwerów i pomysł

30 stycznia 2014 w infrastrukturze sieci Tor pojawiło się ok. 115 nowych, szybkich serwerów, pochodzących z klas adresowych 50.7.0.0/16 oraz  204.45.0.0/16. Zarządzający siecią zwrócili na ten fakt uwagę, jednak postanowili nie interweniować, ponieważ uznali, że nawet dysponując kontrolą nad ok. 6% węzłów wejściowych sieci atakujący nie będzie mógł zagrozić anonimowości jej użytkowników. Niestety byli w błędzie.

Dnia 4 lipca administratorzy sieci odkryli, że serwery te prowadzą nowy, nieznany wcześniej atak. Atak polegał na sprytnym „oznaczaniu” ruchu sieciowego w jednym węźle i odczytywaniu „podpisu” w innym węźle w celu korelacji ruchu. Sam rodzaj ataku nie był niczym nowym – w ten sam sposób prowadzono większość wcześniejszych ataków, jednak metoda „oznaczania” była nowatorska.

Szczegóły ataku

Osoby zainteresowane szczegółami technicznymi odsyłamy do publikacji Rogera (wymagana znajomość działania sieci Tor na dość szczegółowym poziomie), a sami spróbujemy ją streścić. Serwery atakujących były na tyle szybkie i stabilnie działające, że szybko otrzymały od sieci „zezwolenie” na pełnienie dwóch ról – katalogów ukrytych usług oraz węzłów wejściowych. Brak dowodów na to, by pełniły rolę węzłów wyjściowych, co oznacza, że atak był skierowany wyłącznie na użytkowników łączących się z ukrytymi usługami (w domenie .onion).

Działanie sieci Tor (źródło: kau.se)

Działanie sieci Tor (źródło: kau.se)

Z reguły ataki polegające na oznaczaniu ruchu sieciowego próbowały wprowadzać znaczniki na poziomie węzłów wejściowych i odczytywać je na węzłach wyjściowych sieci. W tym wypadku strategia atakujących była inna. Zmodyfikowali oni węzły pełniące rolę katalogów ukrytych usług, by te, zapytane przez klienta, dostarczały informacje o punkcie docelowym w pakietach ze zmodyfikowanymi nagłówkami. Modyfikacje te były przesyłane przez sieć do komputera klienta i odczytywane po drodze przez węzeł wejściowy, który również znajdował się pod kontrolą atakujących. W ten sposób atakujący mogli potwierdzić, który klient sieci (znając jego publiczny adres IP) pytał o konkretną ukrytą usługę w sieci Tor.

Atakujący zastosowali ciekawą metodę oznaczania pakietów. Modyfikowali oni nagłówki sieci, przesyłając odpowiednią kombinację komunikatów sieciowych do klienta. Ta kombinacja (komórki „relay” oraz „relay early”) zawierała zakodowaną nazwę ukrytej usługi, o którą klient pytał i była przekazywana do węzła wejściowego, który mógł ja odczytać i powiązać z adresem IP klienta.

Konsekwencje

Atak bez wątpienia mógł doprowadzić do ujawnienia, jakie ukryte strony w sieci Tor były przeglądane przez użytkowników w okresie od lutego do czerwca 2014 wraz z publicznymi adresami IP użytkowników. Co gorsza, takie informacje mogły być dostępne nie tylko dla badaczy, którzy prowadzili atak na żywej sieci, ale także dla każdego, kto podsłuchiwał i zapisywał ruch sieciowy węzłów wejściowych sieci Tor. Oznaczając ruch klientów atakujący mogli, nie zdając sobie z tego sprawy, ułatwić zadanie np. NSA, które może teraz spojrzeć do swoich przepastnych archiwów ruchu i odczytać zapisane tam informacje.

Węzły, podstawione przez atakujących, zostały usunięte z sieci natychmiast po wykryciu ich działania. Nowa wersja oprogramowania dla węzłów sieci zapobiega temu atakowi, jednak sieć nadal jest i będzie podatna na podobne rodzaje ataków. Sama jej architektura sprawia, że niemożliwym wydaje się całkowite wyeliminowanie podobnych ataków w przyszłości.

Otwarte pozostają pytania takie jak:

  • czy atakujący zamierzają opublikować ujawnione w trakcie ataku dane?
  • czy wykryte zostały już wszystkie złośliwe węzły sieci?
  • czy była to jedyna użyta metoda ataku, czy też wykorzystane były inne, na które nie trafili administratorzy?

Niestety autorzy ataku jak do tej pory bardzo niechętnie udzielają jakichkolwiek informacji na ten temat. Pozostaje nam zatem czekać na ich wyjaśnienia.

TL;DR Jeśli między lutym a czerwcem tego roku wchodziłeś na strony w domenie .onion, to ktoś gdzieś prawdopodobnie zapisał Twój prawdziwy adres IP wraz z adresami .onion, które odwiedziłeś. I tyle. Albo aż tyle.