Anonimiteit Network Tor moet worden aangepast om gebruikers te beschermen tegen bewaking

Toen eerder deze maand gepubliceerde rapporten onthulden dat de Amerikaanse National Security Agency de bescherming van de internetanonimiteitstool zou kunnen ongedaan maken doel , hadden veel activisten en anderen die op de tool vertrouwen weinig reden tot paniek. Ondanks de alarmerende toon van sommige krantenkoppen, waren de onthulde technieken gebaseerd op aanvallende software zoals webbrowsers in plaats van Tor zelf. Na het bekijken van de gelekte NSA-documenten, verklaarde het Tor-project dat er geen aanwijzingen zijn dat ze het Tor-protocol kunnen breken.





Toch probeert het Tor-project kritische aanpassingen te ontwikkelen aan de manier waarop zijn tool werkt om het te versterken tegen mogelijke compromissen. Onderzoekers van het U.S. Naval Research Laboratory hebben ontdekt dat het ontwerp van Tor kwetsbaarder is dan eerder werd gedacht voor een soort aanval die de NSA of overheidsinstanties in andere landen zouden kunnen opzetten om mensen die Tor gebruiken te deanonimiseren.

Tor voorkomt dat mensen die internet gebruiken veel van de gebruikelijke sporen achterlaten waardoor een overheid of ISP kan weten met welke websites of andere diensten ze verbinding maken. Gebruikers van de tool variëren van mensen die bedrijfsfirewalls proberen te ontwijken tot activisten, dissidenten, criminelen en Amerikaanse overheidsmedewerkers met meer geavanceerde tegenstanders om te vermijden.

Wanneer mensen de Tor-clientsoftware installeren, volgt hun uitgaande en inkomende verkeer een indirecte route over het internet, springend door een netwerk van relay-computers die door vrijwilligers over de hele wereld worden beheerd. Pakketten met gegevens die door dat netwerk springen, zijn gecodeerd, zodat relais alleen hun vorige en volgende bestemming weten (zie Dissent Made Safer). Dit betekent dat zelfs als een relais wordt gecompromitteerd, de identiteit van gebruikers en details van hun browsen niet mogen worden onthuld.



Nieuw onderzoek laat echter zien hoe een overheidsinstantie relatief gemakkelijk de ware bron en bestemming van Tor-verkeer kan achterhalen. Aaron Johnson van het U.S. Naval Research Laboratory en collega's ontdekten dat het netwerk kwetsbaar is voor een type aanval dat verkeersanalyse wordt genoemd.

Dit type aanval omvat het observeren van internetverkeersgegevens die het Tor-netwerk in- en uitgaan en zoeken naar patronen die de internetdiensten onthullen waartoe een specifieke internetverbinding, en vermoedelijk de eigenaar, Tor gebruikt om toegang te krijgen. Johnson en collega's toonden aan dat de methode zeer effectief zou kunnen zijn voor een organisatie die zowel relais aan het Tor-netwerk bijdroeg als wat internetverkeer via ISP's kon monitoren.

Uit onze analyse blijkt dat 80 procent van alle soorten gebruikers binnen zes maanden kan worden gedeanonimiseerd door een relatief gematigde Tor-relay-aanvaller, schrijven de onderzoekers in een papier op hun bevindingen. Deze resultaten zijn wat somber voor de huidige beveiliging van het Tor-netwerk. Het werk van Johnson en zijn collega's zal worden gepresenteerd op de ACM-conferentie over computer- en communicatiebeveiliging volgende maand in Berlijn.



Johnson vertelde MIT Technology Review dat mensen die het Tor-netwerk gebruiken om zich te beschermen tegen zwakke tegenstanders, zoals bedrijfsfirewalls, waarschijnlijk niet door het probleem worden getroffen. Maar hij denkt dat mensen die Tor gebruiken om de aandacht van nationale instanties te ontwijken, zich zorgen moeten maken. Er zijn veel plausibele gevallen waarin iemand een ISP zou kunnen controleren, zegt Johnson.

Johnson zegt dat de werking van Tor moet worden aangepast om het probleem te verminderen dat zijn onderzoek heeft blootgelegd. Dat gevoel wordt gedeeld door Roger Dingledine, een van de oorspronkelijke ontwikkelaars van Tor en de huidige directeur van het project (zie TR35: Roger Dingledine).

Het is duidelijk uit dit artikel dat er *bestaan* realistische scenario's waarin Tor-gebruikers een hoog risico lopen door een tegenstander die de nabijgelegen internetinfrastructuur bekijkt, schreef Dingledine in een blogpost vorige week . Hij merkt op dat iemand die Tor gebruikt om een ​​dienst te bezoeken die in hetzelfde land wordt gehost - hij geeft het voorbeeld van Syrië - bijzonder risico loopt. In die situatie zou verkeerscorrelatie gemakkelijk zijn, omdat autoriteiten de internetinfrastructuur kunnen controleren die zowel de Tor-gebruiker als de service waarmee hij of zij verbinding maakt, bedient.



Dingledine overweegt wijzigingen in het Tor-protocol die mogelijk kunnen helpen. In het huidige ontwerp selecteert de Tor-client drie toegangspunten tot het Tor-netwerk en gebruikt deze gedurende 30 dagen voordat hij een nieuwe set kiest. Maar elke keer dat er nieuwe bewakers worden geselecteerd, loopt de klant het risico er een te kiezen die een aanvaller met behulp van verkeersanalyse kan bewaken of controleren. Door de Tor-client in te stellen om minder bewakers te selecteren en deze minder vaak te vervangen, zouden verkeerscorrelatieaanvallen minder effectief worden. Maar er is meer onderzoek nodig voordat een dergelijke wijziging in het ontwerp van Tor kan worden aangebracht.

Of de NSA of de nationale veiligheidsdienst van een ander land actief probeert om verkeersanalyse tegen Tor te gebruiken, is onduidelijk. De rapporten van deze maand, gebaseerd op documenten die door Edward Snowden zijn gelekt, zeggen niet of de NSA dit deed. Maar een presentatie 2012 gemarkeerd als gebaseerd op materiaal uit 2007, uitgebracht door de Voogd, en een NSA-onderzoeksrapport 2006 op Tor, uitgebracht door de Washington Post noemde dergelijke technieken.

Stevens de blondine , een onderzoeker aan het Max Planck Instituut voor Softwaresystemen in Kaiserslautern, Duitsland, vermoedt dat de NSA en vergelijkbare instanties nu waarschijnlijk verkeerscorrelatie zouden kunnen gebruiken als ze dat zouden willen. Sinds 2006 heeft de academische gemeenschap veel werk verzet op het gebied van verkeersanalyse en heeft ze aanvallen ontwikkeld die veel geavanceerder zijn dan die welke in dit rapport worden beschreven. Le Blond noemt het potentieel voor aanvallen zoals die beschreven door Johnson een groot probleem.

Le Blond werkt aan het ontwerp van een alternatief anonimiteitsnetwerk genaamd Aqua , ontworpen om te beschermen tegen verkeerscorrelatie. Verkeer dat een Aqua-netwerk binnenkomt en verlaat, wordt zo gemaakt dat het niet te onderscheiden is door een combinatie van zorgvuldige timing en wat nepverkeer. Het ontwerp van Aqua moet echter nog worden geïmplementeerd in bruikbare software en kan tot nu toe alleen het delen van bestanden beschermen in plaats van alle soorten internetgebruik.

Ondanks zijn tekortkomingen blijft Tor in wezen de enige praktische tool die beschikbaar is voor mensen die hun internetverkeer willen of willen anonimiseren, zegt hij. David Coffnes , een assistent-professor aan de Northeastern University die hielp bij het ontwerpen van Aqua. Het landschap voor privacysystemen is op dit moment slecht omdat het ongelooflijk moeilijk is om een ​​systeem uit te brengen dat werkt, en er is een orde van grootte meer werk om deze systemen aan te vallen dan om nieuwe te bouwen.

zich verstoppen