libre.UA ВІКІ

🌐🔒️Вільне програмне забезпечення

Головна сторінка Ресурси Новини Спільноти

Автори: eldritchdata, just_bird та ChatGPT (переклад)

Моделювання загроз Tor

ПРИМІТКА РЕДАКТОРА (eldritchdata): Це публікація, розміщена деяким Анонімом, який розкриває свої думки та враження від мережі Tor. Це не оригінальна публікація, і не усі концепції, про які тут згадує Анонім, є оригінальними, але це чудова розбірка про Tor та його використання, безпеку, конфіденційність та моделювання загроз.

TorThreatModel

>Чи анонімний Tor? Як працює його анонімність?
>[ідіот] попався при використанні Tor, це небезпечно!
>Tor фінансується урядом. Фінансування повинно означати, що в ньому вбудовано засіки.
>Tor - не ідеальне рішення, тому не варто займатися захистом себе.

Тор працює за допомогою цибулевої маршрутизації, щоб проксіювати ваш трафік через три (або більше) добровольні вузли, з одним рівнем шифрування для кожного вузла, який використовується у з'єднанні. Кожне з'єднання використовує набір вузлів (коло), яке випадково обирається користувачем. Це робиться так, щоб кожен проксі знаходив тільки адресу машини, яка відправила йому пакет, і адресу машини, якій він пересилає пакет.

Речі, які не робить Tor:

Змушувати користувачів діяти як ретранслятори за замовчуванням/обов'язково/заохоченням.
Використовувати фіктивний трафік під час цибулевої маршрутизації (Однак Є фіктивний трафік між клієнтом та вузлом-сторожем, щоб запобігти визначенню клієнтів як використовуючих служби цибулі).
Штучно викликати значну затримку.
Змішувати пакети, щоб вони виходили у різному порядку та/або зберігалися разом.

Речі, які робить Tor:

Додає кожному пакету в мережі 512 байтів. Єдиний раз, коли пакет менший за це, - коли він виходить з мережі. Зауважте, що, оскільки трафік служб цибулі ніколи не включає виходи, трафік залишається з підбитими до кінця кінців.
Робить все можливе, щоб захистити від "аналізу трафіку", в якому противники намагаються визначити, які частини мережі їм потрібно атакувати, щоб деанонімізувати ціль.

Також слід зауважити, що Tor:

Має централізовану систему довіреності каталогів (список маршрутизаторів). (З іншого боку, це дійсно надійно запобігає атакам Сібіла)
Не створений для захисту від атак підтвердження.

Очевидно, метою Tor у впровадженні мережі цибулевої маршрутизації з низькою затримкою є блискавична швидкість разом з збереженням конфіденційності та анонімності користувача проти більшості противників. Він відмінно це робить, і, як кажуть у NSA, "[Tor -] король високозахищеної, мережі низької затримки анонімності. Немає претендентів на трон у очікуванні".

Як вас можуть деанонімізувати при використанні Tor як звичайного користувача (не ретранслятора)?

Є різні методи, але найважливіші серед них наступні:

Атаки з таймінгом / атаки підтвердження
Атаки на трафік, що виходить з мережі (техніки MITM)
Витік протокольних даних (метадані браузера, p2p, такі як bittorrent, тощо)

Операційна безпека легка, якщо у вас є базовий рівень інтелекту, і для веб-перегляду варто уникати використання чогось, крім браузера Tor, щоб не витікати метадані. Ідеальною буде мінімізація кількості мережевих підключень та обсягу трафіку.

Найпотужніший метод у руках глобальних противників - це Атака Підтвердження. Такі спостерігачі, як NSA та її спільні шпигунські агентства, прагнуть реєструвати якомога більше байтів, які проходять через основний шпилькинг Інтернету, і вони роблять це в основному, законно змушуючи постачальників послуг Інтернету та Інтернет-компанії це робити, намагаючись взламувати корпорації, якщо вони не можуть отримати журнали законно. Використовуючи ці журнали, вони можуть спробувати спостерігати, де трафік увійшов в мережу, і де схожі шаблони трафіку вийшли з мережі, та таким чином спробувати підтвердити підозру, що дві сутності спілкуються одна з одною.

На виконання цієї техніки потрібно декілька інтервалів часу з різних причин. По-перше, розумійте характер того, що потрібно для проведення атаки підтвердження:

Противник повинен бути в змозі моніторити як трафік клієнт... вузол-сторож, так і вихідний трафік вузол... сервер.
Якщо противник може моніторити трафік N вузлів з M загальної кількості вузлів, ймовірність того, що вони зможуть здійснити атаку підтвердження на довільне коло, становить (N/M)^2. Контролюйте/моніторуйте 50% вузлів, і ви можете намагатися атакувати найбільше 25% кола.

Припускаючи, що противник опинився в позиції, щоб розпочати атаку підтвердження, існує кілька проблем, які їх стримують:

Обсяг трафіку. Багато користувачів одночасно надсилають пакети в мережу та з мережі з багатьма різними та схожими шаблонами, що створює великий набір анонімності.
Затримка. В Tor немає багато затримки, але під час цієї затримки є більше часу для інших клієнтів/вузлів відправляти пакети, що збільшує обсяг трафіку та загальний набір анонімності.
Підготовка трафіку. Всі пакети, що входять в мережу та відправляються між вузлами, підготовлені до 512 байтів і не розрізняються.
Вузли-сторожі. Якби не було вузлів-сторожів або якби вони швидко мінялися, то після проходження достатньої кількості кола майже впевнено (~100%) було б обрано зловмисний вхідний вузол, тому Tor обирає сторожа для використання протягом 2-3 місяців. Емпіричні дані про це можна знайти тут - https://blog.torproject.org/improving-tors-anonymity-changing-guard-parameters
Служби цибулі. При їх використанні ви створюєте нове коло, і ваш трафік проходить через шість ретрансляторів (два кола користувачів, які спілкуються між собою), і ваш трафік не виходить з мережі Tor. Це робить деанонімізацію користувачів служб цибулі дуже складною та малоймовірною. Тут більше ризикує сама служба цибулі, якщо противник знає їх адресу .onion, оскільки вони тривалий час існують, противники можуть спробувати взламати сервер та намагатися намірено переповнити його трафіком для створення шаблонів для атак підтвердження.

Зазначивши це, буде набагато важче вас прослідкувати, якщо ваша діяльність - це підключення IRC, а не потокове відео чи завантаження 10 ГБ файлу.

Підсумовуючи: Ніколи не буде можливим деанонімізувати всіх користувачів Tor усім часом. Напевно, є випадки, коли могутня сила світових розвідувальних агентств зможе поєднати різні методи атак з таймінгом, вразливості браузера та клієнта, порушення операційної безпеки та старомодний соціальний інженерінг для підозри і підтвердження зв'язків між користувачами Tor та їх співрозмовниками. Однак краще не розглядати Tor як чудовий засіб для онлайн-анонімності, скомпонувати його використання з різними іншими інструментами та техніками, і розуміти, що використання мереж з низькою затримкою, таких як Tor, для ухилення від глобальних противників, подібне до вибивання гвинта ключем замість молотка - ви можете це зробити, якщо захочете, але це не оптимальний спосіб.

А все ж, чому б не використовувати його? Ви захищаєте свою конфіденційність, різко зменшуючи вплив урядів та корпорацій на людську поведінку, і можете бути анонімними, якщо прикладете певні зусилля, особливо якщо дотримуватися комунікації всередині мережі. Немає причин не використовувати Tor - досконалість - це ворог доброго.

Коротко кажучи, вам потрібна маршрутизація з великою затримкою https://en.wikipedia.org/wiki/Mix_network, якщо ви хочете, щоб система легко протистояла глобальному пасивному противнику, але Tor - це не що інше, як найкраще. Конфіденційність - це не вимикач на увімкнено/вимкнено, а спектр складнощів. Анонімність визначається набором людей, від яких ви не відрізняєтеся.

Джерела

Tor Threat Modeling: https://eldritchdata.neocities.org/CGFTPU/TorThreatModeling