Исследователи смогли частично деанонимизировать пользователей Tor

3 августа 2015 года

Исследователи из Массачусетского технологического института (MIT) и Катарского института компьютерных исследований (QCRI) выяснили, что для деанонимизации пользователей Tor необязательно расшифровывать пересылаемые ими данные, а достаточно отслеживать объем передаваемой ими информации, пишет TJ(недоступная ссылка).

В ходе работы студенты MIT и QCRI установили, что определять сервисы, которые пытаются скрыть свое местоположение в сети Tor, а также списки таких сервисов, просматриваемых определенным пользователем, можно с точностью в 88%. Хотя этот метод не позволяет достоверно определить личности пользователей, его можно применять для составления списка интересов конкретного пользователя или определения его сферы деятельности.

Как сообщают исследователи, принцип деанонимизации заключается в анализе количества пакетов, содержащих данные, которыми обмениваются участники сети Tor. При отправке любого запроса в Tor он проходит по цепочке: сначала запрос несколько раз шифруется, потом попадает на сервер-защитник (guard), а затем проходит по нескольким узлам, на каждом из которых "снимается" один уровень шифрования. На последнем сервере в цепочке происходит перенаправление запроса на конечный сайт.

Если пользователи Tor обращаются к сервисам, которые пытаются скрыть свое местоположение, существует еще два типа серверов: входные точки и точки рандеву. Первые выбираются самим автором скрытого сервиса, а вторые становятся ими случайным образом - это сделано для того, чтобы ни один из узлов сети Tor не нес единоличную ответственность за какой-либо скрытый сервис. При этом сервер, становящийся точкой рандеву, не знает, для какого сайта он передает сообщения.

В ходе исследования студенты наблюдали за количеством передающихся через серверы-защитники пакетов информации. В итоге они научились с практически абсолютной точностью определять тип передаваемого трафика. Это позволяло выяснить, посылает ли компьютер запрос к обычной веб-странице, ко входной точке или к точке рандеву. Понять, что запрос идет от владельца скрытого сервиса, исследователи смогли с точностью 88%.

В качестве защиты от такого рода деанонимизации исследователи предложили уравнять количество отправляемых пакетов. В свою очередь, представители Tor Project сообщили, что планируют рассмотреть включение некоторых из предложенных исследователями методов защиты в будущие версии своего браузера.

Отметим, что исследование студентов MIT и QCRI стало не первым. Так, в ноябре прошлого года ученые из Института информационных технологий в Дели обнаружили, что идентифицировать 81% пользователей сети Tor можно с помощью инструмента NetFlow от компании Cisco.

Tor представляет собой систему прокси-серверов, позволяющую устанавливать анонимное сетевое соединение, защищенное от прослушивания. Система Tor была создана в лаборатории Военно-морских сил США по федеральному заказу. В 2002 году эту разработку решили рассекретить, а исходные тексты были переданы независимым разработчикам, которые создали клиент-серверное приложение и опубликовали исходный код под свободной лицензией, чтобы все желающие могли проверить его на отсутствие багов.