Взломщики раскрыли анонимность пользователей Tor

  • 31 июля 2014
Компьютер Правообладатель иллюстрации Reuters

Разработчики программного обеспечения, используемого для доступа к анонимной сети Tor, сообщили, что в результате атаки на сеть, возможно, стало известно, кто пользовался ею в течение пяти месяцев.

Проект Tor рассказал, что целью атаки на сеть было раскрытие сетевых адресов людей, которые поддерживают скрытые сайты или их посещают.

По сообщению в блоге проекта, 4 июля атака была, по всей видимости, остановлена.

Сеть Tor позволяет пользователям посещать страницы анонимно и создавать сайты, содержание которых поисковые машины не показывают.

Проект считает, что взлом сети осуществили двое исследователей, которые в начале июля заявили, что им удалось обнаружить "фундаментальные дефекты" в структуре сети и благодаря этому отследить пользователей.

Эксперты по вопросам интернет-безопасности Александр Волынкин и Майкл Маккорд планировали на следующей неделе выступить на конференции Black Hat в Лас-Вегасе. Но их презентация была отменена по настоятельной просьбе юристов университета Карнеги-Меллон, где они работают.

Некоторые подсказки

"Мы несколько месяцев пытались получить информацию у исследователей, которые собирались выступить на конференции, и в итоге нам удалось добиться от них некоторых подсказок..., после чего мы начали искать следы атак", - написал один из разработчиков сети Роджер Динглдайн.

Правообладатель иллюстрации Getty
Image caption Сеть Tor позволяет пользователям посещать страницы анонимно и создавать сайты, содержание которых поисковые сайты "не видят"

"В последнее время они не отвечали на наши электронные письма, поэтому мы не можем сказать точно, но, похоже, ответ на вопрос [совершили они это или нет] будет положительным. Надеюсь, именно они осуществили атаку, потому что иначе получится, что это сделал кто-то еще", - добавил он.

Пресс-секретарь университета Карнеги-Меллон отказался комментировать эту информацию.

Tor пытается скрыть местоположение и личность пользователя с помощью системы множественной переадресации, для чего используются серверы и компьютеры принимающих участие в проекте людей.

На каждом этапе переадресации информация шифруется, что обеспечивает защиту от механизмов анализа трафика.

Звенья цепи

Посещаемый интернет сайт в результате полагает, что его просматривают с компьютера, который оказывается последним звеном в цепи. Компьютер пользователя он не видит.

Анонимной сетью пользуются военные, полицейские и журналисты, которые могут таким образом общаться со своими информаторами, а также с теми, кто не хочет раскрывать активность своего интернет-браузера.

Но сеть также связывают и с преступной деятельностью, включая распространение наркотиков и детской порнографии. Подобные сайты не показываются в поисковиках, и обнаружить их, не зная адреса, невозможно.

По сообщению проекта Tor, взлом произошел по следующей схеме: злоумышленник берет под контроль первое звено цепи, через которое приходит запрос, и последнее звено, через которое запрос уходит. В итоге личность пользователя сети удается определить по первому звену.

Если сопоставить объем информации и затраченное время "на входе" и "на выходе", становится возможным определить личность пользователя благодаря сохраняющемуся на первом узле адресу сетевого протокола пользователя (IP).

По мнению проекта, взломщик воспользовался этим, чтобы вычислить посетителей скрытого сайта, когда к отправляемым назад с сайта данным добавлялся специальный сигнал с закодированным названием сайта.

В случайном порядке

Из-за случайной последовательности системы переадресации взломщику не удалось проследить каждое обращение к скрытому сайту.

Tor попытался обезопасить себя от подобной неприятности, создавая не один, а несколько входных звеньев. Программа затем выбирает "вход" в случайном порядке. Поэтому, даже, если кто-то получает контроль над одним "входом" и "выходом" , они смогут увидеть лишь часть трафика пользователя, что усложняет процесс идентификации.

По мнению Tor, взломщик справился с этим посредством метода "Sybil attack".

Его суть заключается в том, что к Tor подключились 115 серверов, которые стали входными звеньями для трафика. В итоге на эти серверы пришлось 6% входящей информации.

Этого было недостаточно, чтобы отследить все соединения, но достаточно, чтобы узнать, какие скрытые сайты посещали некоторые пользователи.

"Нам неизвестно, какое количество информации сохранилось у взломщиков. Использовавшийся ими метод атаки мог дать возможность другим людям идентифицировать посетителей скрытых сайтов", - предупредил Динглдайн.

Спецслужбы некоторых стран, в том числе Германии, России и Великобритании пытались найти методы идентификации пользователей Tor.

Новости по теме