Деанонімізація при одночасному використанні торентів та Tor

Французські дослідники встановили, що сумісне використання клієнтів BitTorrent та Tor'у може призвести до розкриття IP-адреси користувача.

Нагадаю, що при використанні анонімізатора Tor анонімність досягається завдяки тому, що трафік проходить через ланцюжок з кількох проксі-вузлів (зазвичай трьох та більше), при цьому на кожному вузлі застосовується асиметричне шифрування всього трафіку. Таким чином перший вузол ланцюжка знає IP-адресу користувача, але не знає адресу призначення. Останній вузол ланцюжка, на якому тільки й видно незашифрований трафік, знає адресу призначення, але не знає IP-адресу відправника. (Більш докладно про Tor розповідав meako тут, тут і тут.) Tor працює лише з TCP-пакетами, але не з UDP.

Як же заважають цьому торенти? Справа в тому, що в протоколі BitTorrent'у трафік буває кількох видів:
  • трафік між клієнтом та трекером, його зазвичай і пропускають через Tor для досягнення анонімності;
  • з'єднання між клієнтами, через які власне й закачується контент, його зазвичай пускають в обхід Tor'у для більшої продуктивнюсті;
  • UDP-трафік для пошуку нових джерел контенту методом DHT (Distributed Hash Table). Цей трафік не проходить через Tor, бо Tor не працює з UDP.
Якщо ці види трафіку пройдуть через вузол, що є кінцевим вузлом ланцюжка Tor'у, і водночас вузлом BitTorrent, то на цьому вузлі можна зіставити Tor і не-Tor трафік і, знаючи IP-адресу незашифрованого трафіку, встановити IP-адресу користувача Tor. Для досягнення цієї мети дослідники зареєструвались як вихідні (кінцеві) вузли Tor'у, а далі застосовували два методи.

У першому при звертанні користувача до трекера для пошуку клієнтів з потрібним йому контентом "хакери" повертали у відповідь підробний список клієнтів, вставивши у нього себе. Після цього користувач ініціював пряме TCP-з'єднання з цим хакерським вузлом, таким чином хакери одержуювали його IP-адресу та дізнавалися, що це й є IP-адреса відповідного Tor-потоку. Для відсікання тих, хто й контент качає через Tor, використовується доступний публічно список вихідних вузлів Tor.

Другий метод базується на статистичному аналізі DHT-запитів. Справа в тому, що в них вказується порт, на якому клієнт приймає з'єднання, і це виявляється достатнім ідентифікатором, що дає змогу зіставити UDP-запити з Tor-потоком запитів до трекера.

Далі ще гірше. Справа в тому, що з метою ефективності різні запити через Tor мультиплексуються і відправляються в одному потоці. Таким чином, встановивши IP-адресу користувача торенту з його запитів до трекера, "хакери" отримують можливість відстежувати його інші, не пов'язані з торентом, запити. Наприклад, HTTP-запити з браузера. Автори називають це "bad apple attack", від англійського виразу, що означає "паршива вівця псує все стадо".

Дослідники, що відкрили цей спосіб атаки, з етичних міркувань не зберігали зібрані IP-адреси, а використовували їх тільки "на льоту" для статистичного аналізу користувачів Tor'у. Наприклад, вони склали хмарки тегів для завантажень з різних регіонів. Ось що завантажують у Сполучених Штатах:
USA downloads
Японії:
Japan downloads
та Германії:
German downloads
Нагадую, що в деяких відсталих країнах розповсюдження порнографії є нелегальним :)

Чи можна щось порекомендувати? Здавалося б, треба весь торент-трафік пускати через Tor, а DHT заборонити, але насправді в більшості випадків це зайве, хіба що ви має реальні причини перейматися своєю анонімністю. Гадаю, що для користувачів Enetri це не актуально, але знати про обмеження розповсюджених технологій не завадить.

коментарі:

UaHummer 26.03.2011 18:33
ну хто б сумнівався...особливо японці радують))))
Мирослав 26.03.2011 19:59
блін таке враження, що інтернетом одні збоченці користуються, особливо японці.
MFX 26.03.2011 21:43
Секс-меншини не погано допомагали розвиватись інтернету у восьмидесяті.

додати коментар: