Студенты MIT научились частично деанонимизировать пользователей Tor Статьи редакции

Исследователи из Массачусетского технологического института (MIT) и Катарского института компьютерных исследований (QCRI) выяснили, что для деанонимизации пользователей Tor необязательно расшифровывать пересылаемые ими данные, а достаточно отслеживать, какой объём информации передаётся. Об этом сообщает издание MIT News.

По данным студентов, являющихся авторами исследования, существует возможность с 88-процентной точностью определять сервисы, которые пытаются скрыть своё местоположение в сети Tor, а также списки таких сервисов, просматриваемых определённым пользователем.

Личности самих пользователей такой метод напрямую раскрывать не позволяет, однако он может служить этому косвенно. Например, зная список посещённых человеком сайтов, легче определить его род деятельности или сферу интересов.

Принцип деанонимизации заключается в анализе количества пакетов, содержащих данные, которыми обмениваются участники сети Tor. При отправке любого запроса в Tor он проходит по цепочке, называемой «луковой маршрутизацией»: сначала запрос несколько раз шифруется, потом попадает на сервер-защитник («guard», первый компьютер в сети), проходит по нескольким узлам, на каждом из которых «снимается» один уровень шифрования, а на последнем сервере («exit») происходит перенаправление запроса на конечный сайт.

В случае коммуникации пользователей с сервисами, пытающиеся скрыть своё местоположения (hidden services), существует ещё два типа серверов: входные точки и точки рандеву. Первые выбираются самим автором скрытого сервиса, а вторые становятся ими случайным образом — это сделано для того, чтобы ни один из узлов сети Tor не нёс единоличную ответственность за какой-либо скрытый сервис. Сервер, становящийся точкой рандеву, не знает, для какого сайта он передаёт сообщения.

Однако наблюдая за количеством передающихся через серверы-защитники пакетов информации, студенты MIT и QCRI научились с 99-процентной точностью определять тип трафика. Это позволяло выяснить, посылает ли компьютер запрос к обычной веб-странице, ко входной точке или к точке рандеву, и с 88-процентной точностью понять, что запрос идёт от владельца скрытого сервиса.

Для защиты от такого рода деанонимизации исследователи предложили уравнять количество отправляемых пакетов. Таким образом в ряде случаев часть передаваемой информации должна стать лишней, что увеличит нагрузку на сеть Tor.

По словам представителей Tor Project, они планируют рассмотреть включение некоторых из предложенных исследователями методов защиты в будущие версии своего браузера. Однако они выразили сомнение, что такие меры могут помочь полностью избежать отслеживание участников цепочки.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0441\u043b\u0435\u0436\u043a\u0430_\u0437\u0430_\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438","\u0441\u043b\u0435\u0436\u043a\u0430","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0430\u043d\u043e\u043d\u0438\u043c\u0430\u0439\u0437\u0435\u0440\u044b","tor_project","tor_browser","tor","qcri","mit"], "comments": 33, "likes": 23, "favorites": 16, "is_advertisement": false, "subsite_label": "flood", "id": 55847, "is_wide": true, "is_ugc": true, "date": "Sat, 01 Aug 2015 15:46:15 +0300", "is_special": false }
0
33 комментария
Популярные
По порядку
Написать комментарий...
Коллективный кофе

Чувствуете разницу? В MIT приоткрыли Тор, чтобы сделать его лучше и более анонимным. У нас бы постарались использовать эти результаты для большей деанонимизации

19
Студенческий завод

Так и вижу: "Студенты МГУ научились частично деанонимизировать пользователей Tor. Открытием заинтересовалсась прокуратура, дальнейшие изыскания научная группа будет проводить при условии секретности и полной подотчетности правоохранительным органам."

6
Кредитный Макс

Гхм. А вот по вашему у анб такого нет? Наверняка и используют.

3
Коллективный кофе

Подозреваю, что если бы кто-то из научных групп решил заниматься вопросом анонимности Тора, они бы делали это через специальные гранты силовиков, следовательно, огласки и рекомендаций бы не было

1
Преступный кот

и тем более то что они сделали вообще не легко замутить

0
Властный звук

А ещё можно логи сверять на серверах и клиентах. В чём открытие то? Всегда было известно что это слабое место. Но бродкаст данных всем участникам технически невозможен пока.

3
Бессмысленный Паша

Чего? Какие логи на каких серверах и клиентах?

1
Властный звук

У провайдеров можно записывать кто когда соединение установил а потом сравнивать

0
Бессмысленный Паша

Установил соединение с кем блин? Когда ты ходишь через тор, то у тебя входной сервер это не тот сервер, к которому ты в итоге идешь. Ты идешь на Яндекс.ру, но провайдер будет видеть входной сервер цепочки, который вообще не яндекс, а какой-нибудь частный комп в Гватемале. О чем ты вообще?))

0
Властный звук

Что ты сейчас за ерунду написал? Какой ещё яндекс? Если утрировать то можно заметить связь между тем когда ты раз в неделю врубаешь тор и в то же время на какомто форуме торчков появляются сообщения от пользователя под ником NickTheLammer.

3
Бессмысленный Паша

Ты вообще понимаешь логику событий? Если кто-то на том форуме начинает флудить или вбрасывать продажу наркотиков, то прокуратура пойдет С КОНЦА цепочки. Они еще не знают кто это и к какому провайдеру он принадлежит, чтобы что-то там мониторить и логи читать. Они идут на форум и что там видят? Зарубежный айпи, который по цепочке уходит неизвестно куда.

0
Властный звук

Так и в статье тоже не с того конца цепочки идут. Ё! Ты сейчас что доказываешь?

0
Бессмысленный Паша

Да ну? С конца? "Однако наблюдая за количеством передающихся через серверы-защитники пакетов информации, студенты MIT и QCRI научились с 99-процентной точностью определять тип трафика."

Они мониторили саму сеть, а не с конца шли.

0
Властный звук

Они определяли тип трафика который жертва слежки создаёт

1
Промышленный мангал

Я вот тоже не понял.

Вроде они научились определять, что узел - точка рандеву, а значит трафик на onion-сайт.

А на какой сайт и от кого - хз

Так?

Надо первоисточник почитать..

0
Промышленный мангал

Проглядел источник.

Насколько я понял:

- уязвимость действует ТОЛЬКО в случае, если МистерХ владеет первым узелом TOR, с которым связался ваш комп из всей цепочки тор-узлов (этот узел выбирается случайно)

- МистерХ может по объёму пакетов информации определить сайт, куда вы лезете с точностью 88%

=======

Как я предполагаю, это относится только к популярным сайтам.

Всякие fb, vk, silkroad2 и т.д.

И то, что они определили - это они НАДЕЮТСЯ, что определили верно (по статье можно подумать, что в 88% случаев они ЗНАЮТ, куда вы полезли а в 12 не знают, но это не верно)

Вопрос к знатокам:

Как часто тор меняет маршрут, а главное - точку входа в тор-маршрут?

3
Бессмысленный Паша

После каждой смены личности. Ее можно менять вручную хоть раз в минуту.

0
Промышленный мангал

А авторотация есть?

0
Бессмысленный Паша

Слушай, вроде нет, потому что при смене личности он весь браузер ресетит и вкладки закрывает

0
Промышленный мангал

Это не значит, что её нет.

0
Бессмысленный Паша

Поэтому я и сказал "вроде".

0
Промышленный мангал

"Кроме того, через заданный интервал времени (около 10 минут) происходит периодическая смена цепочки (изменение маршрута следования пакетов)"

отсюда (так себе источник http://ezolife.info/?p=3215)

1
Правовой Слава

Говард, чё за дела?!

2
Смутный Мурод

Гарвард, чё за де дала?!

0
Обширный кавалер

Отключаетесь от сети
@
Соединяете все свои компьютеры в локальную сеть
@
Ищите в своей локальной сети хоть цп, хоть наркотики и оружие.

1
Порядочный холод

Гениально

0
Доступный инструмент

Делаем фиксированный размер пакет и вуаля. Правда, и без того тормознутый тор станет ещё тормознутее.

0
Промышленный мангал

Если маршрут не меняется - это ничего не изменит.
размер макета и так фиксирован (упрощённо говоря), называется MTU
https://ru.wikipedia.org/wiki/Maximum_transmission_unit

0
Предметный Гоша

Всё ПО договорится зафиксировать каким-то образом свои пакеты? ))

0
Тюремный Артем

О какой тормознутости вы говорите? Tor же буквально летает, я изредка даже аниме стриминг в onion смотрю. Скорость больше 10 мегабит.

0
Поперечный Макс

Ребят, а кстати как проводить весь траф через тор не на виртуальной машине и стоит ли оно того вообще?

0
Общественный кот

Зачем?

0
Порядочный холод

Тем временем, наши студенты ничему не научились.

0
Читать все 33 комментария
null