ДЕАНОНИМИЗАЦИЯ ПОЛЬЗОВАТЕЛЕЙ Tor Project
Команда исследователей из Принстонского университета, Карлштадского университета и Королевского технологического института (Kungliga Tekniska högskolan, KTH) продемонстрировала новую технику деанонимизации пользователей Tor, предполагающую анализ DNS-трафика из выходных узлов Tor. Метод получил название DefecTor.
По словам соавтора исследования Филлипа Уинтера (Phillip Winter), использование Tor не гарантирует полную анонимность.
Система имеет ряд ограничений, чем могут воспользоваться злоумышленники с возможностью отслеживания входящего и исходящего сетевого трафика.
Как выяснили эксперты, ряд выходных узлов использует общедоступные DNS-серверы
Google, через которые проходит порядка 40% DNS-запросов, исходящих из сети Tor. По словам специалистов, Google также может отслеживать некоторый входящий сетевой трафик Tor, например, через сервис Google Fiber или сторожевые узлы, которые периодически размещаются в облаке Google.
Схема определения реального IP -
адреса пользователей Tor
Ученые разработали инструмент, получивший название DDPTR (DNS Delegation Path Traceroute), определяющий путь делегирования для доменного имени. Затем программа выполняет трассировку маршрута UDP ко всем промежуточным DNS-серверами. Далее результаты сравниваются с данными трассировки TCP к web-серверу, использующему FQDN.
При помощи новой техники исследователям удалось проследить маршрут DNS-трафика и идентифицировать значительное количество посетителей непопулярных сайтов.
Исследователи пишут, что для реализации такой атаки наблюдающая
сторона должна иметь возможность следить за трафиком в глобальных
масштабах. К примеру, DNS resolver’ы Goolge обрабатывают около 40%
DNS-запросов исходящих из
Tor. И хотя пока Google не проявляется
интереса к деанонимизации или саботированию Tor-трафика, в теории
подобное возможно. Такие возможности есть и у компаний OVH и OpenDNS,
хотя с масштабами Google им не сравниться.
Также исследователи утверждают, что на данный момент DefecTor нельзя назвать прямой угрозой
сети Tor, ведь компании подобные
Google и так способны мониторить значительную
часть интернета.
GOOGLE: ЗЛОВЕЩАЯ ЧЕРТА
Тем не менее, исследователи рекомендуют операторам
Tor relay не
пользоваться публичными DNS резолверами (вроде тех, что предоставляют Google и
Open DNS), вместо этого полагаясь на проверенные решения или вообще поднимать
резолверы самостоятельно.
Более подробная информация о DefecTor доступна в виде отчета
исследователей озаглавленным «Влияние
DNS на анонимность Tor». Источник:
Securitylab.ru - https://www.securitylab.ru/news/483992.php
Опубликовано:
16.10.2016
|