Группа исследователей из университетов США, Италии и Индии опубликовали доклад с описанием техники атаки, позволяющей с достаточной высокой вероятностью сопоставить запросы пользователей до и после прохождения цепочки анонимизации в сети Tor. В частности, исследователи в 81.4% случаев смогли правильно сопоставить исходный запрос и запрос после анонимизации (выяснить реальный IP), использовав только предоставляемые маршрутизаторами (через Netflow) метаданные о потоках пакетов, при условии, что пользователь обратился к сайту, подконтрольному атакующему. Для успешного сопоставления, съём данных о трафике должен осуществляться в двух точках - на пути между пользователем и входящим узлом Tor и между выходящим узлом Tor и целевым сайтом.
Суть метода состоит в отдаче пользователю с подконтрольного атакующими сайта контента, приводящего к определённым всплескам трафика, которые можно сопоставить с изменением параметров потока пакетов (число пакетов, размер и распределение поступления пакетов во времени), получаемых через Netflow. Так как Tor минимально влияет на флуктуации трафика, особенности изменения параметров трафика, выявленные на отрезке между сайтом и точкой выхода Tor, коррелируют с параметрами, получаемыми на отрезке между пользователем и точкой входа Tor, что можно использовать как признак для осуществления деанонимизации. В качестве метода для защиты от указанного вида атак предлагается добавлять дополнительные задержки для нарушения однородности трафика.
По мнению разработчиков Tor, атаки, основанные на корреляции потоков данных, не новы, но, как правило, ограничиваются теорией, так как при текущем числе узлов Tor требуют огромной работы для реализации на практике. По своему дизайну Tor пытается защитить трафик от анализа, но не рассчитан на защиту от атак по определению корреляции трафика до и после входа в Tor. Предложенный исследователями тип атаки приводит к ложным срабатываниям примерно в 19% случаев (12.2% ложных отрицательных результатов и 6.4% ложных положительны результатов), что слишком много для уверенного определения и не позволяет рассматривать атаку как эффективную. При том, что значение в 81.4% попаданий получено не на реальной сети, а в условиях синтетического эксперимента. Кроме того, для успешного проведения атаки и охвата большей части узлов Tor необходимо наличие контроля над тысячами маршрутизаторов в разных частях света.
|