Опубликованы материалы о методах АНБ по получению контроля за пользователями Tor

5 октября 2013 года

В новой порции преданных огласке документов, переданных СМИ Эдвардом Сноуденом, раскрыты сведения о попытках проведения Агентством Национальной Безопасности США (АНБ) атак по деанонимизации деятельности пользователей сети Tor. Имея возможность выделять запросы, отправленные пользователями Tor, в общем объёме трафика, АНБ построило сеть из точек внедрения вредоносного ПО, нацеленную на поражение клиентского ПО пользователя Tor, в том числе развиваемого проектом Tor специализированного браузера Tor Browser.

В рамках проекта Quantam, АНБ удалось разместить серию своих серверов контроля трафика в сетях ряда крупных магистральных провайдеров. При выявлении обращения через сеть Tor к сайтам, представляющим интерес для спецслужб, трафик перебрасывается с подконтрольных АНБ транзитных узлов на специальные серверы FoxAcid, предназначенные для проведения атаки на системы пользователей. Атака осуществляется путём применения эффекта гонки (race condition), через генерацию сервером Quantam фиктивного ответа с редиректом на сервер FoxAcid, который за счёт того, что оборудование АНБ находится ближе к клиенту, приходит раньше реального ответа сервера, к которому обращается пользователь. После успешного переброса на сервер FoxAcid, пользователю от имени сервера FoxAcid отображается страница с вредоносным ПО.

Уязвимости эксплуатируются в том числе и в Tor Browser, основанном на Firefox, что позволяет получить контроль за машиной пользователя Tor. Для пользователей Tor не использующих Tor Browser упоминается техника отслеживания активности пользователя через установку и контроль за Cookie, которые при использовании одного и того же браузера при работе через Tor и без Tor не меняются. Сама сеть Tor не была скомпрометирована, контроль за трафиком производился за счёт внедрения троянского ПО на систему клиента.

Более того, в документе указано, что АНБ никогда не обладало возможностью деанонимизации всех пользователей сети Tor. Лишь в отдельных случаях ручной труд аналитиков мог раскрыть отдельных пользователей Tor, но деанонимизации на лету добиться не удалось. В качестве целей также отмечается получение контроля за шлюзами Tor, но на момент подготовки документа АНБ имело контроль лишь за несколькими шлюзами из тысяч.

Отдельно можно отметить успешное проведение спецслужбами США операции по аресту владельца и закрытию магазина Silk Road, торгующего наркотиками и работающего только в форме скрытого сервиса Tor (Hidden Services позволяют создавать анонимные серверные приложения, принимающие соединения по TCP, но не имеющие конкретного адреса и месторасположения - адрес сервера скрывается по аналогии с тем, как скрываются IP-адреса пользвоателей сети Tor). Примечательно, что разоблачение стало возможным благодаря беспечности преступника, допустившего ряд публикаций, которые позволили вычислить его, а также использованию на сервере небезопасного и не надёжного ПО (доступ к серверу был получен через взлом серверного ПО, к которому предоставляется доступ через скрытый сервис Tor). Безопасность сети Tor и её средства по обеспечению анонимности остались незыблемы.