Выявлена группа ретрансляторов Tor, используемых для деанонимизации Печать
30.07.14 18:44

Разработчики анонимной сети Tor опубликовали информацию о выявленной в начале июля атаке по деанонимизации трафика, для проведения которой использовалась группа подконтрольных атакующим ретрансляторов Tor (relay). Атака была направлена на отслеживание обращения к скрытым сервисам Tor. Не связанный со скрытыми сервисами трафик не был подвержен атаке.

Для проведения атаки подтверждения трафика (traffic confirmation attack), использовалась пометка запросов, осуществляемая через внесение изменений в заголовки пакетов протокола Tor, которые остаются неизменными на протяжении всей цепочки анонимизации. Данный вид атак позволяет выявить корреляцию между запросами, обработанными в начальной и конечной точках в цепочке Tor (определить, что запрос пришедший на начальную точку является тем же, что обработан на конечной точке), но для этого начальный и конечный узел Tor должны быть подконтрольны атакующим. В частности, первый узел в цепочке Tor знает IP пользователя, а последний знает IP-адрес запрошенного ресурса, что позволяет деанонимизировать запрос, но вероятность, что один запрос пользователя пройдёт через начальный и конечный узлы атакующего очень мала.

Участвующие в атаке ретрансляторы были присоединены к сети Tor 30 января 2014 года и заблокированы 4 июля, в этот промежуток существовал риск раскрытия сведений о пользователях, работающих со скрытыми сервисами. Пока не ясно какие именно категории скрытых сервисов и пользователей были охвачены атакой, насколько она была успешной и остаются ли ещё подконтрольные атакующим узлы. Известно, что атакующие выявляли пользователей, запрашивающих дескрипторов скрытых сервисов, но скорее всего они использовали данную информацию в общем виде и не могли сопоставить эти запросы с трафиком уровня приложений, т.е. не могли отследить какие именно страницы и скрытые сервисы открывает пользователь, но знали о факте совершения таких действий (например, таких пользователей можно было поставить на контроль для дальнейшего анализа).

В результате атаки также были осуществлены попытки получения информации о том кто публикует дескрипторы скрытых сервисов, что могло быть использовано для выявления их местоположения. Теоретически атака могла быть использована и для выявления связи между пользователем и точкой назначения запроса в условиях нормальной цепочки анонимизации Tor, но не найдено никаких подтверждений о наличии у атакующих контроля над какими-либо выходными узлами, что делает такую атаку маловероятной.

Администраторам ретрансляторов рекомендуется обновить программное обеспечение Tor до версий 0.2.4.23 или 0.2.5.6-alpha, в которых устранена используемая атакующими уязвимость в протоколе. В общем виде проблема подтверждения трафика остаётся открытой, например, могут использоваться такие неточные эвристические методы как сопоставление времени, объёма и других характеристик трафика. В случае описываемой атаки, в качестве индикатора запроса узлы атакующих подставляли через ячейку "relay early" специально сформированную фиктивный список ретрансляторов, через который было закодировано имя скрытого сервиса.

Дополнительно можно отметить публикацию проектом Tor финансового отчёта за 2013 год, показывающего как были получены и потрачены средства проекта. Интересно, что в 2013 году более 1.8 млн долларов было пожертвовано проекту подконтрольными правительству США фондами SRI International, Internews Network и National Science Foundation. В 2012 году этими же фондами было пожертвовано примерно 1.2 млн долларов.

  1. Главная ссылка к новости (https://blog.torproject.org/blog/tor-sec...)
  2. OpenNews: МВД РФ объявило конкурс на исследование возможности взлома сети Tor
  3. OpenNews: Жертва скрытого сервиса Tor подала иск против разработчиков анонимной сети Tor
  4. OpenNews: АНБ ведёт особое наблюдение за посетителями сайтов Tor, Tails и Linux Journal
  5. OpenNews: Tor заблокировал около 600 узлов, подверженных уязвимости Heartbleed
  6. OpenNews: Опубликованы материалы о методах АНБ по получению контроля за пользователями Tor
Тип: Проблемы безопасности
Ключевые слова: tor, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Онвоним, 22:25, 30/07/2014 [ответить] [смотреть все]    [к модератору] +8 +/
Paзpaботчикaм I2P cтoит взять вo внимaниe эту нoвоcть.
 
  2.7, Xasd, 02:10, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору] –2 +/
> Paзpaботчикaм I2P cтoит взять вo внимaниe эту нoвоcть.

этот уровень для i2p слишком серъёзный.

разработчики i2p не могут разобраться даже с банальным (детским) видом уязвимостей CSRF\Clickjacking , а вы им тут про криптографию рассказываете и модификацию зашифрованного запроса.

:-)

так-что не надейтесь

 
  3.27, vi, 09:22, 31/07/2014 [^] [ответить] [смотреть все]    [к модератору] +/
>> Paзpaботчикaм I2P cтoит взять вo внимaниe эту нoвоcть.
> этот уровень для i2p слишком серъёзный.
> разработчики i2p не могут разобраться даже с банальным (детским) видом уязвимостей CSRF\Clickjacking
> , а вы им тут про криптографию рассказываете и модификацию зашифрованного
> запроса.
> :-)
> так-что не надейтесь

Правильно. Ата их, ата ;)
А может, Вы сегодня слишком категоричный ;)

 
1.2, anonymous, 22:56, 30/07/2014 [ответить] [смотреть все]     [к модератору]  –8 +/
Сыр для свободолюбивых мышей ... весь текст скрыт [показать]
 
  2.14, Аноним, 07:37, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –1 +/
 
1.3, Аноним, 23:00, 30/07/2014 [ответить] [смотреть все]     [к модератору]  –5 +/
Я так понимаю, можно говорить о том, что работа сети скомпрометирована или я оши... весь текст скрыт [показать]
 
  2.21, Аноним, 07:59, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +2 +/
Тор by design не обеспечивает 100 нерушимую анонимность, особенно для требовате... весь текст скрыт [показать] [показать ветку]
 
1.4, vi, 23:19, 30/07/2014 [ответить] [смотреть все]    [к модератору]  –2 +/ Я вообще не понимаю как можно диагностировать "абсолютную" анархию?
 
  2.5, re, 23:54, 30/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –6 +/
 
2.15, Аноним, 07:38, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –1 +/ 
  3.28, vi, 09:35, 31/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
>> Я вообще не понимаю как можно диагностировать "абсолютную" анархию?
> Фокус в том что в Tor оно не абсолютное ни разу. Да
> и в I2P.

Слово абсолютное было в кавычках (но это и так понятно).
Вот другой вопрос более интересный. Если из Tor убрать exit nodes то как оно в сравнении с i2p? Только чур не трогать Java! Только алгоритмы. И только для защищенных коммуникаций.

 
  4.42, arisu, 15:16, 31/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> Если из Tor убрать exit nodes то как оно в сравнении с i2p?

в теории I2P секурней, хоть и медленней. на практике — авторы I2P всё ещё ждут статей от независимых исследователей.

правда, тот факт, что ты I2P-нода, пока ещё не так сложно задетектить. само по себе это не значит ничего, конечно, кроме того, что ты через себя гоняешь I2P-трафик.

«подставные» же I2P-ноды сети только помогают. если, конечно, используемые криптоалгоритмы действительно такие надёжные, как принято считать.

 
1.8, Аноним, 03:44, 31/07/2014 [ответить] [смотреть все]     [к модератору]  +/
Наше правительство тоже вон выделит почти 4 миллиона наших денег на поддержку эт... весь текст скрыт [показать]
 
  2.9, Аноним, 04:31, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –4 +/
Если ты свои деньги кому-то отдал, они уже не твои, если только иное не оговорен... весь текст скрыт [показать] [показать ветку]
 
  3.19, Аноним, 07:49, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +2 +/
Такой удобный подгон решений под ответ Если ты все так поддерживаешь - где т... весь текст скрыт [показать]
 
  4.34, vi, 10:38, 31/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
>> К тому же, может эти 4 миллиона из тех денег, что поступили
>> от меня и остальных кто это поддерживает, а "твои" пошли на
>> что-то, что поддерживаешь ты.
> Такой удобный подгон решений под ответ :). Если ты все так поддерживаешь
> - где твои паспортные данные, для начала? Почему в вашем сообщении
> написано про какого-то "анонима"?

Когда средства "собирают", паспортные данные на лицо. Когда "расходуют", то же вроде бы, страна знает своих героев. Так, где же деньги, Зин?

 
1.10, Классический Анонимус, 04:52, 31/07/2014 [ответить] [смотреть все]    [к модератору]  +2 +/ Господа, как раз на днях собираюсь сделать у себя выходной узел tor. Кто-нибудь в курсе, насколько это геморно? В плане - не будут потом каждые 3 дня приходить люди в сером с битами для лапты и спрашивать, а зачем это ты сайт ФСБ ломаешь или ещё что.
 
  2.11, Anonim, 06:37, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  –2 +/
Будут. Поэтому запускай его на цивилизованной земле. Типа немецкой
 
  3.13, Аноним, 07:24, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –2 +/
к тебе приходили А к одному немцу пришли Лучше входной запустить, тогда анб ... весь текст скрыт [показать]
 
  4.16, Аноним, 07:39, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
Ну вот к немцам пусть и приходят наздоровье, поэтому будем у них сервера покупат... весь текст скрыт [показать]
 
3.18, Аноним, 07:44, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
В 2006 году спецслужбы Германии осуществили захват шести компьютеров, работавших... весь текст скрыт [показать]
 
  4.20, Аноним, 07:50, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
Правильно - покупаешь сервер на Васю Пупкина ух ты, а чо, так можно, да и ... весь текст скрыт [показать]
 
  5.33, Аноним, 10:28, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
А без покупаешь ... весь текст скрыт [показать]
 
1.12, Zenitur, 07:23, 31/07/2014 [ответить] [смотреть все]    [к модератору]  +/ Ретранслятор Tor - это когда жмёшь "Настройки" и у тебя спрашивают прокси-сервер и "если ваш интернет цензурируется, введите один или несколько адресов ретрансляторов Tor"?
 
  2.17, Аноним, 07:40, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +2 +/
Смотрите, дети, это - питекантроп Он нашел микроволновку Если нажимаешь эту к... весь текст скрыт [показать] [показать ветку]
 
  3.25, Аноним, 08:57, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Я про другое Тут выше не могут понять, скомпроментирована ли сеть или нет Если... весь текст скрыт [показать]
 
1.22, Аноним, 08:19, 31/07/2014 [ответить] [смотреть все]     [к модератору]  –2 +/
Как вообще можно создать анонимную сеть, доверяя третьей стороне И вообще, анон... весь текст скрыт [показать]
 
  2.24, Аноним, 08:47, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
 
  3.29, Аноним, 09:48, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
С некоторыми оговорками и земля плоская Если я посылаю пакет и жду ответа,... весь текст скрыт [показать]
 
  4.35, 1, 12:48, 31/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
если задействовать почти бесконечное число посредников, то вероятность узнать адрес отправителя стремится к нулю.
 
  5.36, Аноним, 13:17, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
И вероятность доставки пакета тоже... весь текст скрыт [показать]
 
1.23, knike, 08:42, 31/07/2014 [ответить] [смотреть все]    [к модератору]  +1 +/ Теперь мы все умрем?
  1.26, Фанатик, 09:14, 31/07/2014 [ответить] [смотреть все]    [к модератору]  +/ Тут удивительно только то что обнаружили. То что спецслужбы могут и будут ставить ноды tor было сразу понятно.
 
  2.30, vi, 10:04, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Во первых спецслужбам теперь придется ставить больше exit nodes правильно, а т... весь текст скрыт [показать] [показать ветку]
 
  3.37, Аноним, 13:26, 31/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Выше же писали, что отбиль желание запускать exit nodes у нормальных людей крайн... весь текст скрыт [показать]
 
  4.38, vi, 14:44, 31/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
>> Во первых: спецслужбам теперь придется ставить больше exit nodes (правильно, а то
> Выше же писали, что отбиль желание запускать exit nodes у нормальных людей
> крайне просто. Т о их количество сократится настолько, что сотня тысяч
> подставных нод будут отбирать 70% трафика. И это совсем не дорого
> для правительств. Платит за все известно кто.
> Кстати, вспомнинается инфа о том, что фсб обяжет(уже обязяло?) всех провайдеров разместить
> за свой счет следящие и фильтрующие интернет сервера в своих же
> сетях. А иначе лицензию заберем. Просто и со вкусом.

У кого то, наверняка, даже лицензия на отстрел имеется?
И не отбирают же?

 
1.31, Sluggard, 10:04, 31/07/2014 [ответить] [смотреть все]    [к модератору]  +1 +/ Не очень понятно, зачем было присоединять все атакующие ретрансляторы в один день? Это же дополнительный повод для подозрений, чем если б их постепенно внедряли в сеть.
 
  2.43, dq0s4y71, 15:19, 31/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/
Как бабло пришло, так они и присоединили ;)
 
1.32, хрюкотающий зелюк, 10:07, 31/07/2014 [ответить] [смотреть все]    [к модератору]  +/ Ай да МВД ;)
 
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40303