Сегодня поговорим о том какие бывают атаки, направленные на деанонимизацию пользователей Tor Hidden Service, а в следующих статьях, некоторые рассмотрим на практике.
Сразу оговорюсь, что рассматривать атаки мы будем, в первую очередь, с точки зрения человека с ограниченными ресурсами, хотя будут упомянуты и атаки которые под силу преимущественно спецслужбам.
Возможные атаки на Скрытые Сервисы Tor, направленные на деанонимизацию сервера и пользователей:
- Тайминг-атаки
- Атаки пересечения и подтверждения
- Атака по сторонним каналам
- Глобальное пассивное наблюдение
- Атаки социальной инженерии
- Получение не авторизованного доступа
Тайминг-атаки
Когда клиент анонимно отправляет данные получателю, поток пакетов разделяется на отрезки фиксированного размера. Затем, с помощью заранее установленных сессионных ключей, отрезки оборачиваются в шифрованные слои – для каждого Tor-relay свой слой. Это делается таким образом, что когда Tor-сервер разворачивает свой слой он узнает только узел-предшественник и следующий узел цепи. Входящие в узел Tor-пакеты выстраиваются в очередь, далее обрабатываются и отправляются в режиме «round-robin fashion». Плюс, в Tor предусмотрена служба directory service с помощью которой Tor-клиент может получить список всех релеев сети, так же ничего не мешает Tor-клиенту установить соединение со всеми Tor-серверами.
Основная идея тайминг-атак заключается в манипуляциях с временем задержек пакетов, что в итоге позволяет получить информацию обо всех Tor-реллеях.
Атаки пересечения и подтверждения.
Суть атаки заключается в прослушивании Entry-ноды и прослушивания Exit-ноды. Тоесть на первом узле мы узнаем какой ip-адрес подлючился к сети Tor, а на втором (выходном узле), мы
подтверждаем к какому ресурсу получает доступ этот же ip-адрес. Тем самым мы полностью деанонимизируем пользователя.
Атака по сторонним каналам.
Так как не хочется делать длиннопост, немного процитирую Википедию.
Атака по сторонним (или побочным) каналам (англ. side-channel attack) — класс атак, направленный на уязвимости в практической реализации криптосистемы. В отличие от теоретического криптоанализа, атака по сторонним каналам использует информацию о физических процессах в устройстве, которые не рассматриваются в теоретическом описании криптографического алгоритма.
Классификацию обычно делят по следующим признакам:
Контроль над вычислительным процессом.
В зависимости от степени воздействия на вычислительный процесс атаки можно разделить на:
- Пассивные — атакующий получает необходимую информацию без заметного влияния на систему; система при этом продолжает функционировать как прежде.
- Активные — атакующий реализует некоторое воздействие на систему, в результате которого изменяется её поведение; такое изменение может быть и неопределимым для атакуемой системы, но криптоаналитик в состоянии определить и использовать эту информацию.
Способ доступа к системе
В зависимости от уровня доступа к аппаратному модулю можно выделить три класса атак:
- Агрессивные (англ. invasive) — вскрытие системы криптоаналитиком и получение прямого доступа к внутренним компонентам.
- Полуагрессивные (англ. semi-invasive) — воздействие на внутренние компоненты происходит без непосредственного контакта с устройством: например с помощью лазерного луча.
- Неагрессивные (англ. non-invasive) — без воздействия на исследуемую систему; используется только внешне доступная информация: например время вычисления или потребляемая энергия.
Так же, к атаке по сторонним каналам относят Тайминг-атаки.
Следует заметить, что устройства обычно оборудуются защитными механизмами, защищающими от проникновения (агрессивных атак). Неагрессивные же атаки заметить и предотвратить практически невозможно. Неагрессивные атаки также более выгодны с экономической точки зрения: масштабные атаки почти не требуют увеличения стоимости оборудования.
Глобальное пассивное наблюдение.
Система, способная наблюдать за трафиком в любой точке интернета, при этом обладая возможностью одновременно контролировать множество необходимых ей точек (все узлы анонимной сети). Только такая система даёт полную гарантию раскрытия анонимности пользователя анонимной сети путём только пассивного наблюдения. Поэтому её ещё называют глобальным пассивным наблюдателем (Global Passive Adversary — GPA).
Атаки социальной инженерии
Никто и ничто не мешает, ни спецслужбам, ни взломщикам использовать этот метод, человеческий фактор и глупость были, есть и будут всегда! Не вижу смысла описывать это в теории, поговорим об этом на практике. Ходит слух, что администратора Шелкового Пути поймали как раз этим способом.
Получение не авторизованного доступа.
К сожалению, а может и к счастью, как ни странно, многие веб-разработчики халатно относятся к безопасности своих, приложений, может быть, когда-нибудь приведу статистику с точными числами, по моим наблюдениям, уязвимых сайтов в Tor больше чем в Clear Net.
Вывод:
Как видите, у Tor'a, довольно много уязвимостей, и некоторые, довольно легко реализуемы на практике, и почти все реализуемы спецслужбами. Тема довольно сложная, поэтому требуется много времени для написания практических статей. Статьи буду писать по отдельности, на один метод 1-2 статьи.
