Anonymity Network Tor behöver en justering för att skydda användare från övervakning

När rapporter publicerade tidigare den här månaden avslöjade att den amerikanska nationella säkerhetsbyrån kunde vända på skydden av Internetanonymitetsverktyget mål , många aktivister och andra som förlitar sig på verktyget hade liten anledning till panik. Trots den alarmistiska tonen i vissa rubriker, förlitade sig teknikerna som avslöjades på attackerande programvara som webbläsare snarare än Tor själv. Efter att ha granskat de läckta NSA-dokumenten, förklarade Tor-projektet att det inte finns någon indikation på att de kan bryta mot Tor-protokollet.





Trots det försöker Tor-projektet utveckla kritiska justeringar av hur dess verktyg fungerar för att stärka det mot potentiella kompromisser. Forskare vid U.S. Naval Research Laboratory har upptäckt att Tors design är mer sårbar än tidigare insett för en sorts attack som NSA eller statliga myndigheter i andra länder kan göra för att deanonymisera människor som använder Tor.

Tor hindrar personer som använder Internet från att lämna många av de vanliga spåren som kan göra det möjligt för en regering eller ISP att veta vilka webbplatser eller andra tjänster de ansluter till. Användare av verktyget sträcker sig från personer som försöker undvika företags brandväggar till aktivister, dissidenter, kriminella och amerikanska regeringsanställda med mer sofistikerade motståndare att undvika.

När människor installerar Tor-klientmjukvaran tar deras utgående och inkommande trafik en indirekt väg runt Internet och hoppar genom ett nätverk av relädatorer som drivs av volontärer runt om i världen. Datapaket som hoppar genom det nätverket är krypterade så att reläer bara känner till sin föregående och nästa destination (se Avvikande görs säkrare). Detta innebär att även om ett relä äventyras bör användarnas identitet och detaljer om deras surfning inte avslöjas.



Ny forskning visar dock hur en statlig myndighet skulle kunna räkna ut den sanna källan och destinationen för Tor-trafiken relativt lätt. Aaron Johnson från U.S. Naval Research Laboratory och kollegor fann att nätverket är sårbart för en typ av attack som kallas trafikanalys.

Denna typ av attack innebär att man observerar internettrafikdata som går in och ut ur Tor-nätverket och letar efter mönster som avslöjar de internettjänster som en specifik internetanslutning, och förmodligen dess ägare, använder Tor för att komma åt. Johnson och kollegor visade att metoden kunde vara mycket effektiv för en organisation som både bidrog med reläer till Tor-nätverket och kunde övervaka en del internettrafik via internetleverantörer.

Vår analys visar att 80 procent av alla typer av användare kan deanonymiseras av en relativt måttlig Tor-relä-motståndare inom sex månader, skriver forskarna i en papper på sina fynd. Dessa resultat är något dystra för den nuvarande säkerheten i Tor-nätverket. Johnsons och hans kollegors arbete kommer att presenteras på ACM-konferens om dator- och kommunikationssäkerhet i Berlin nästa månad.



berättade Johnson MIT Technology Review att personer som använder Tor-nätverket för att skydda mot motståndare med låg effekt som företagsbrandväggar sannolikt inte kommer att påverkas av problemet. Men han tycker att människor som använder Tor för att undvika de nationella myndigheternas uppmärksamhet har anledning att vara orolig. Det finns många rimliga fall där någon skulle vara i stånd att kontrollera en ISP, säger Johnson.

Johnson säger att Tors arbetssätt måste justeras för att mildra problemet som hans forskning har avslöjat. Den känslan delas av Roger Dingledine, en av Tors ursprungliga utvecklare och projektets nuvarande chef (se TR35: Roger Dingledine).

Det framgår tydligt av den här artikeln att det *finns* realistiska scenarier där Tor-användare löper stor risk från att en motståndare tittar på den närliggande internetinfrastrukturen, skrev Dingledine i en blogginlägg förra veckan . Han noterar att någon som använder Tor för att besöka en tjänst som är värd i samma land - han ger exemplet Syrien - skulle vara särskilt utsatt. I den situationen skulle trafikkorrelation vara lätt, eftersom myndigheterna skulle kunna övervaka internetinfrastrukturen som betjänar både Tor-användaren och tjänsten han eller hon ansluter till.



Dingledine överväger ändringar i Tor-protokollet som kan hjälpa. I den nuvarande designen väljer Tor-klienten tre ingångspunkter till Tor-nätverket och använder dem i 30 dagar innan den väljer en ny uppsättning. Men varje gång nya vakter väljs ut löper klienten risken att välja en som en angripare med hjälp av trafikanalys kan övervaka eller kontrollera. Att ställa in Tor-klienten att välja färre vakter och att byta dem mer sällan skulle göra trafikkorrelationsattacker mindre effektiva. Men mer forskning behövs innan en sådan förändring kan göras av Tors design.

Huruvida NSA eller något annat lands nationella säkerhetsbyrå aktivt försöker använda trafikanalys mot Tor är oklart. Denna månads rapporter, baserade på dokument som läckt ut av Edward Snowden, sa inte om NSA gjorde det. Men a 2012 presentation markerade som baserat på material från 2007, släppt av Väktare, och a 2006 NSA:s forskningsrapport på Tor, släppt av Washington Post nämnde sådana tekniker.

Den blonde Stevens , en forskare vid Max Planck Institute for Software Systems i Kaiserslautern, Tyskland, gissar att NSA och motsvarande byråer vid det här laget sannolikt skulle kunna använda trafikkorrelation om de skulle vilja. Sedan 2006 har den akademiska världen arbetat mycket med trafikanalys och har utvecklat attacker som är mycket mer sofistikerade än de som beskrivs i denna rapport. Le Blond kallar potentialen för attacker som de som beskrivs av Johnson en stor fråga.

Le Blond arbetar med designen av en alternativt anonymitetsnätverk som heter Aqua , utformad för att skydda mot trafikkorrelation. Trafik som går in i och ut ur ett Aqua-nätverk är gjord för att vara omöjlig att särskilja genom en blandning av noggrann timing och blanda in en del falsk trafik. Aquas design har dock ännu inte implementerats i användbar programvara och kan än så länge bara skydda fildelning snarare än alla typer av internetanvändning.

Faktum är att, trots sina brister, är Tor i princip det enda praktiska verktyget som är tillgängligt för människor som behöver eller vill anonymisera sin internettrafik, säger David choffnes , en biträdande professor vid Northeastern University som hjälpte till att designa Aqua. Landskapet just nu för integritetssystem är dåligt eftersom det är otroligt svårt att lägga ut ett system som fungerar, och det finns en storleksordning mer arbete som tittar på hur man attackerar dessa system än att bygga nya.

Dölj