На фоне арестов и деанонимизации администраторов даркнет-ресурсов у пользователей Tor Browser появились вопросы касательно его безопасности. Ряд экспертов, связанных с разработкой браузера, постарались разъяснить ситуацию.
Основная волна беспокойства началась после того, как следственные органы Германии нашли способ раскрыть личность киберпреступников в Tor при помощи временного анализа. В частности, власти идентифицировали владельцев и одного активного пользователя крупнейшего даркнет-сайта с детской порнографией Boystown.
Метод временного анализа не использует уязвимости ПО, но при длительном мониторинге трафика позволяет отследить его до конкретного человека.
Команда Tor призналась, что не знает точной технологии деанонимизации. Однако разработчики предположили применение немецкими властями устаревшего мессенджера Ricochet, которым пользовался арестованный преступник.
«Помимо добавления ретрансляторов и расширения пропускной способности, команда сети Tor также недавно внедрила новые критически важные функции для улучшения механизмов защиты, скорости и производительности», — рассказал Cointelegraph директор по стратегическим коммуникациям Tor Павел Зонефф.
Однако генеральный директор компании MatterFi Михал Поспишальски отметил, что атаки с использованием временного анализа возможны всегда.
Хитрая лазейка
Издание Panorama изучило связанные с делом документы, но не раскрыло подробностей о работе временного анализа. Однако журналисты упомянули, что метод нацелен на «серверы входа», также известные как охранные ноды, службы мгновенных сообщений Ricochet.
«На основании ограниченной информации, которой располагает Tor Project, мы полагаем, что один пользователь давно закрытого приложения Ricochet был полностью деанонимизирован с помощью атаки Guard Discovery», — подчеркнул Зонефф.
При использовании Tor для просмотра веб-сайтов трафик проходит через три набора узлов: входные (охранные), промежуточные и выходные. Только охранная нода в этой схеме знает IP-адрес пользователя.
Для сервисов вроде Ricochet нет выходного узла, там соединение осуществляется через «точку рандеву» внутри самой сети Tor. Это означает, что трафик не «выходит» в интернет.
Схема подключения Ricochet. Данные: блог Tor.По предположению экспертов, при атаке на Ricochet правоохранители могли захватить несколько промежуточных узлов в сети Tor, увеличив шансы на отслеживание трафика.
«Это форма атаки Сивиллы», — заявил генеральный директор компании по восстановлению кошельков Brute Brother Ор Вайнбергер.
Он подчеркнул, что такая операция требует значительных ресурсов.
Для установки соединения с предполагаемым преступником власти, вероятно, отправляли множество запросов или пакетов на адрес пользователя в Ricochet, чтобы он в конечном итоге подключиться через вредоносный средний узел.
После установки соединения правоохранители не могут моментально определить IP-адрес цели, однако они способны провести временной анализ для сопоставления проходящего через узел трафика. Уже после идентификации силовые структуры запрашивают необходимые данные у интернет-провайдера.
Устаревший метод
С момента инцидента деанонимизации прошло почти три года. За это время команда Tor выпустила множество изменений, которые значительно усложнили проведение атак.
«Нередко у определенных клиентов есть собственный набор проблем или уязвимостей. Однако [их] всегда обнаруживают, и ответственные команды устраняют эксплойт так быстро, как только могут», — рассказала исполнительный директор Secret Foundation Лиза Лауд.
Старая версия Ricochet также фактически прекратила свое существование, обновившись до Ricochet-Refresh с улучшенной системой защиты Vanguard.
Вектор атаки Сивиллы использует случайную выборку средних узлов, поэтому новый механизм безопасности применяет набор случайных узлов для подключения, исключая возможность отслеживания подключения по времени.
Схема подключения Ricochet-Refresh. Данные: блог Tor.«На любую меру безопасности всегда принимаются контрмеры», — добавил Вайнбергер.
При этом он уточнил, что не существует полноценной защиты, поскольку ресурсы государств позволяют им тестировать новые методы.
Узлы в Германии
На текущий момент большая часть ретрансляторов Tor расположена в Германии.
Данные: Tor Metrics.По состоянию на 18 октября в стране находится 1852 из 8085 ретрансляторов . Кроме того, Германия лидирует в мире по весу консенсуса (36,7%), который учитывает другие факторы вроде пропускной способности и емкости.
«Ваш клиент Tor с большей вероятностью выберет высокопроизводительный охранный узел, а не низкопроизводительный. Поэтому я предполагаю, что национальные государства будут использовать долго работающие охранные узлы с большой пропускной способностью для привлечения к себе большего числа пользователей Tor», — объяснил Вайнбергер.
Расширенная система защиты Tor затрудняет проведение временного анализа в отношении пользователей для государств или любых субъектов со значительными ресурсами, но не делает его невозможным.
Технический прогресс также предоставляет больше возможностей для деанонимизации пользователей.
«В конечном итоге ИИ, который имеет много точек мониторинга данных и большую вычислительную мощность, станет очень хорош в временном анализе. Я не удивлюсь, если тайно такой проект уже где-то существует», — размышляет CEO MatterFi.
При этом большинство экспертов сошлись во мнении, что для обычных пользователей Tor по-прежнему безопасен, но власти держат даркнет-преступников в напряжении.
«Выживет ли анонимный серфинг в интернете? Может быть. Это гонка, и в ближайшие несколько лет может произойти все, что угодно, повлияв на конечный результат», — подытожила Лауд.
Напомним, летом 2023 года стало известно, что операторы программ-вымогателей, разработчики вредоносного ПО и другие злоумышленники начали переводить деятельность из даркнета в Telegram-каналы.