Исследователи из Массачусетского технологического института (MIT) и Катарского института компьютерных исследований (QCRI) выяснили, что для деанонимизации пользователей Tor необязательно расшифровывать пересылаемые ими данные, а достаточно отслеживать объем передаваемой ими информации, пишет TJ.

В ходе работы студенты MIT и QCRI установили, что определять сервисы, которые пытаются скрыть свое местоположение в сети Tor, а также списки таких сервисов, просматриваемых определенным пользователем, можно с точностью в 88%. Хотя этот метод не позволяет достоверно определить личности пользователей, его можно применять для составления списка интересов конкретного пользователя или определения его сферы деятельности.

Как сообщают исследователи, принцип деанонимизации заключается в анализе количества пакетов, содержащих данные, которыми обмениваются участники сети Tor. При отправке любого запроса в Tor он проходит по цепочке: сначала запрос несколько раз шифруется, потом попадает на сервер-защитник (guard), а затем проходит по нескольким узлам, на каждом из которых «снимается» один уровень шифрования. На последнем сервере в цепочке происходит перенаправление запроса на конечный сайт.

Если пользователи Tor обращаются к сервисам, которые пытаются скрыть свое местоположение, существует еще два типа серверов: входные точки и точки рандеву. Первые выбираются самим автором скрытого сервиса, а вторые становятся ими случайным образом — это сделано для того, чтобы ни один из узлов сети Tor не нес единоличную ответственность за какой-либо скрытый сервис. При этом сервер, становящийся точкой рандеву, не знает, для какого сайта он передает сообщения.

В ходе исследования студенты наблюдали за количеством передающихся через серверы-защитники пакетов информации. В итоге они научились с практически абсолютной точностью определять тип передаваемого трафика. Это позволяло выяснить, посылает ли компьютер запрос к обычной веб-странице, ко входной точке или к точке рандеву. Понять, что запрос идет от владельца скрытого сервиса, исследователи смогли с точностью 88%.

В качестве защиты от такого рода деанонимизации исследователи предложили уравнять количество отправляемых пакетов. В свою очередь, представители Tor Project сообщили, что планируют рассмотреть включение некоторых из предложенных исследователями методов защиты в будущие версии своего браузера.

Отметим, что исследование студентов MIT и QCRI стало не первым. Так, в ноябре прошлого года ученые из Института информационных технологий в Дели обнаружили, что идентифицировать 81% пользователей сети Tor можно с помощью инструмента NetFlow от компании Cisco.

По данным исследования, проведенного под руководством профессора Института информационных технологий в Дели Самбудды Чакраварти, 81% пользователей сети Tor могут быть идентифицированы с помощью инструмента NetFlow от компании Cisco.

«Для достижения приемлемого качества обслуживания, Tor-системы пытаются сохранить такие характеристики, как задержки между пакетами. Следовательно, мощный противник может осуществлять атаки анализа трафика, определяя шаблоны трафика в различных точках сети, связывая между собой несвязанные сетевые соединения», — цитирует профессора SecurityLab.

Несмотря на то, что мониторинг сетей на уровне пакетов в таких масштабах в настоящее время является довольно сложной задачей, для осуществления атак анализа трафика злоумышленники потенциально могут использовать менее точные, но легкодоступные инструменты, например, NetFlow от компании Cisco.

Способ анализа трафика, описанный Чакраварти, базируется на создании и мониторинге изменений пользовательского трафика на стороне сервера и исследовании выходных данных путем статистической корреляции. По словам профессора, в лабораторных условиях ученым удалось достигнуть стопроцентной деанонимизации пользователей Tor, за пределами лаборатории это число составило 81,4%.

Один из создателей Tor Роджер Дингледин признал результаты исследования индийских ученых, однако отметил, что подобные атаки не являются чем-то новым. Дингледин посоветовал не впадать в панику, поскольку отчет Чакраварти не открыл ничего нового.

Tor представляет собой систему прокси-серверов, позволяющую устанавливать анонимное сетевое соединение, защищенное от прослушивания. Система Tor была создана в лаборатории Военно-морских сил США по федеральному заказу. В 2002 году эту разработку решили рассекретить, а исходные тексты были переданы независимым разработчикам, которые создали клиент-серверное приложение и опубликовали исходный код под свободной лицензией, чтобы все желающие могли проверить его на отсутствие багов.