Деанонимизация пользователей TOR в GCHQ
На сайте Spiegel Online опубликован (PDF) занятный документ британского Центра правительственной связи (GCHQ – это спецслужба, занимающаяся, в том числе, радиоэлектронной разведкой). Документ, – конечно, полученный от Сноудена, – описывает технологию, которую рекомендуют применять для деанонимизации пользователей сети TOR. Технология, впрочем, известная, основанная на корреляции параметров трафика на входном и выходном узлах сети. Конкретно – используются временные параметры.
Напомню, что TOR, для анонимизации, использует цепочку из узлов, пересылающих зашифрованный трафик. С цепочкой всегда связаны входной (“начальный”) и выходной (“оконечный”) узлы. Внутри сети TOR пользовательский трафик зашифрован, “вложенным” шифрованием. Известно, что параллельный анализ трафика, наблюдаемого на входном и выходном узлах (то есть, трафика, входящего в TOR и выходящего из этой сети), позволяет деанонимизировать источник трафика. Деанонимизация здесь сводится к определению внешнего IP-адреса пользовательского узла. Трафик можно собирать либо специальными средствами мониторинга, либо при помощи собственного выходного узла. Важно заметить, что выходной трафик не обязательно собирать непосредственно на выходном узле. Можно записывать TOR-трафик (который несложно выделить) непосредственно на сетях провайдеров, у которых размещаются посещаемые веб-сайты.
Собственно, методика известная (я, например, писал о ней в осеннем выпуске журнала “Доменные имена“), применяемая на практике, и не только в Великобритании, что подтверждает новая публикация “секретных документов” (датированных, кстати, 2011 годом). Более продвинутый вариант этой технологии деанонимизации TOR использует для построения сигнатур дополнительные параметры записываемого трафика. Между прочим, деанонимизацию можно проводить постфактум, используя ранее записанные сигнатуры. Весь трафик сохранять не требуется: как обычно, само использование TOR автоматически поднимает нужные флаги, выделяя интересующий поток из общего массива данных, идущих через узел мониторинга.
Адрес записки: https://dxdt.ru/2014/12/31/7210/
Похожие записки:
- Очередная атака на предикторы в схемах оптимизации CPU
- Десятилетие DNSSEC в российских доменах
- Шифр "Кузнечик" на ассемблере arm64/AArch64 со 128-битными инструкциями
- Модули DH в приложении Telegram и исходный код
- Статья о технологии Encrypted Client Hello
- Вывод полей ECH на tls13.1d.pw
- DNSSEC и особенности развития технологий
- Пресертификаты в Certificate Transparency
- CVE-2024-3661 (TunnelVision) и "уязвимость" всех VPN
- RCE через ssh-agent
- IP-адреса и октеты
1 комментарий от читателей
1 <t> // 15th January 2015, 23:29 // Читатель jno написал:
VPS “там” + VPN (ssh-туннель) = более-менее
чтобы вход и выход в разных юрисдикциях были.
не для международного терроризма, конечно, а так – в “гражданских целях”