Анонімні мережі і timing атаки: Маловитратна атака

Введення | Tor | Tarzan і MorphMix | Малозатратна атака | Малозатратна атака на Tarzan і Morphmix | Принципи побудови безпечних систем (висновок)

У цьому розділі ми розглянемо Малозатратну атаку (Low cost attack) 8 на Tor, описану в (Murdoch & Danezis 2005). Термін Малозатратна атака означає що для успіху нападнику достатньо мати можливість спостерігати тільки за частиною мережі, наприклад бути одним з Tor-вузлів. Мердоч і Данезіс показали вразливість Tor для деякого варіанту timing-атаки, що не виходить за рамки моделі загроз. Вони спростували твердження про те, що анонімність в Tor не може бути порушена без допомоги глобального пасивного спостерігача.

Основна ідея - використовувати здавалося б неминуче обмеження всіх анонімізуючих систем з малими затримками - час. Мета атаки визначити які саме вузли зараз використовуються для організації Tor-ланцюжків. У разі успіху, це сильно вдарить по анонімізуючих властивостях Tor. Автори підтверджують теоретичні викладки результатами реальних експериментів. А в кінці роблять висновок, що їх атаці схильні всі анонімізуючі мережі з малими затримками, в тому числі Tarzan і MorphMix.

Ідея атаки

Атака заснована на тому, що системи з малими затримками не можуть дозволити собі вносити в потік якісь затримки. Таким чином, тимчасові характеристики (timing патерн) пакетів зберігаються на всьому протязі ланцюга. Атака стала можливою через те, що розробники Tor вважали неймовірною появу в мережі глобального пасивного спостерігача. Така ситуація не розглядалася і не входила в модель загроз. Однак, Малозатратна атака виявила помилковість суджень розробників і показала, що Tor все ще вразливий перед деякими варіантами timing-атак.

Дійсно, нападник не бачить всіх зв'язків в мережі. Але ні що не заважає йому виступити в якості одного з вузлів Tor і заміряти затримки між собою і всіма іншими вузлами. За допомогою знання цих затримок можна побічно оцінити обсяг трафіку який передає кожен вузол в кожен момент часу. Далі, знаючи картину розподілу обсягу трафіку від часу для всіх улов мережі, можна, використовуючи техніку (Danezis 2004), будувати досить хороші здогадки про те які вузли передають трафік з однаковими характеристиками. Іншими словами виявити анонімізуючі ланцюжки.

Архітектура Tor сприяє атаці. Tor-вузол виділяє кожному з'єднанню окремий буфер, обробка буферів йде в режимі round robin fashion *. Якщо у буфері немає потоку - він ігнорується, починається обробка наступного буфера. Зазначимо, що з міркувань продуктивності змішування було видалено. Таким чином,

  • коли встановлюється нове з "єднання;
  • або вилучає існуюче з "єднання;
  • або коли змінюється трафік у поточному з "єднанні

змінюється навантаження (обсяг трафіку) на Tor-вузол. Це відображається на швидкості відповідей іншим вузлам які вже мають або тільки хочуть встановити з'єднання з поточним. З цих самих причин змінюється навантаження і на інших Tor-вузлах. Виходить, що зміна навантаження трафіку на Tor-вузлі відображається на навантаженні з'єднаних з ним вузлів. Отже, вузли в одному ланцюжку будуть мати схожі картини розподілу навантаження від часу. Зазначимо, зміна навантаження трафіку може виникати не тільки вищеописаним чином, але і через внутрішні причини Tor-вузла, наприклад навантаження на CPU - такі затримки не враховуються і можуть знизити ефективність атаки.

Учасники атаки

Для успішної атаки, нападнику достатньо бути одним з клієнтів мережі Tor. Такий вузол називається шкідливим (corrupt node) або зондом (probe node).

Модель атаки

Основні етапи атаки:

  • Шкідливий Tor-вузол встановлює з'єднання з іншими Tor-вузлами для вимірювання затримок цих зв'язків.
  • Шкідливий Tor-вузол протягом деякого часу спостерігає за затримками у всіх цих з'єднаннях.
  • Заміри затримок використовуються для оцінки обсягів трафіків, що передаються кожним Tor- вузлом (навантажень трафіку на Tor-вузли), з якими шкідливий вузол має з'єднання.
  • На основі знання обсягів трафіків, виводяться патерни трафіків.
  • Коли нападник знає патерни трафіків усіх вузлів, він може виконати атаку (Danezis 2004, Levine et al. 2004).

Атака буде ще більш ефективною якщо нападник контролює сервер до якого підключається користувач Tor. Так як в цьому випадку не потрібно виявляти патерн трафіку - нападник сам може видозмінювати трафік так, щоб його легко було виявити. Мета атаки: виявити шлях між клієнтським вузлом жертви і захопленим сервером. Це знизить анонімізуючу здатність системи до рівня звичайної proxy. У підсумку, автори роблять висновок, що атака буде ефективна для всіх анонімізуючих систем систем з малими затримками, включаючи Tarzan і MorphMix.

У наступному розділі ми перевіримо цю заяву і покажемо що вона вірна тільки при виконанні деяких умов. На малюнку 5 показана модель атаки, а в таблиці 6 наведено її алгоритм.

Малюнок 4. Модель маловитратної timing-атаки на Tor.

Малюнок 5. Алгоритм маловитратної атаки.

Примітка перекладачів

8 «Маловитратна атака» в даній контексті ім'я власне.

* що таке round robin fashion див. у введенні.

COM_SPPAGEBUILDER_NO_ITEMS_FOUND