it-swarm.dev

In che modo Tor protegge da un aggressore che esegue migliaia di nodi?

Tor ha qualche protezione contro un avversario che esegue semplicemente un numero molto grande di nodi?

Qualcuno con le risorse necessarie potrebbe semplicemente eseguire migliaia di nodi di inoltro (inclusi i nodi di uscita). Se fossero un'organizzazione come la NSA, potrebbero anche far sì che le principali società di hosting che gestiscono i nodi cambino le chiavi private o installino backdoor, senza che il "proprietario" del nodo se ne accorga.

So che tor utilizza entry guards come protezione - un client sceglie casualmente un set di guardie d'ingresso e si connette sempre a quelle come nodi di entrata. Se le protezioni di accesso sono senza compromessi, l'utente è al sicuro. Questo dà all'utente almeno la possibilità di non essere profilato; senza le protezioni di accesso l'utente sarebbe eventualmente catturato.

Tuttavia, cosa succede se l'avversario non è interessato ad arrestare tutti gli utenti che accedono a un determinato sito o a prendere di mira un utente specifico. se vogliono semplicemente identificare una parte casuale di utenti che accedono a quel sito, non possono farlo eseguendo qualche migliaio di nodi e aspettando?

Immagino che potrebbero persino scegliere come target utenti specifici e costringerli a utilizzare solo nodi compromessi. Compromettere un nodo di guardia dell'utente (intercettare la sua linea, osservare a quale server si connette e inviare loro un ordine del tribunale o alcuni criminali, oppure essere fortunati e controllare i nodi giusti per caso). Quindi eseguire migliaia di client modificati. Una volta che l'utente target è online, inondare momentaneamente la rete. In collaborazione con i tuoi nodi compromessi, mantieni liberi i percorsi compromessi, in modo che il client alla fine creerà un circuito solo sui tuoi nodi. Voila, puoi intercettare l'utente.

Ci sono protezioni contro questo in Tor? Puoi fornire una stima su quanti nodi l'attaccante dovrebbe eseguire? Esistono contromisure non tecniche, ad es. qualcuno intervenirebbe se 3000 nuovi nodi sospetti si aprissero su AWS?

(Nota che questo è diverso dalle altre domande su questo sito. Ad esempio la mia domanda precedente mi chiede del caso in cui l'attaccante può controllare completamente la tua linea; simula l'intera rete. Tor protegge da questo usando un elenco di nodi validi noti e utilizzo delle firme.)

45
jdm

Tor fornisce la privacy solo presupponendo che almeno un nodo nella catena selezionata casualmente non sia controllato dall'aggressore (poiché stiamo parlando di analisi del traffico , semplicemente intercettando il traffico che entra ed esce da questo nodo, senza provare a decrittografarlo, conta come "controllo"). Questo è probabilistico. Se l'attaccante controlla, diciamo, il 50% di tutti i nodi e il tuo browser utilizza una catena di lunghezza 5, l'attaccante vince con probabilità 0,55 = 1/32.

Per mitigare tali attacchi, è possibile configurare il client in modo che scelga le catene in modo non uniforme, ma invece per imporre una "diffusione globale" in modo che la catena attraversi nodi in diversi paesi a cui non piacciono.

32
Tom Leek

In caso contrario, eseguire un gran numero di nodi è uno dei principali punti deboli di Tor. Il pinning consente di selezionare determinati nodi da utilizzare, ma è importante scegliere bene i nodi e cercare di evitare comportamenti errati poiché un percorso instradato interamente attraverso nodi collusi non è sicuro e ciascun nodo colludente ne riduce la sicurezza effettiva.

Ci sono sforzi per provare a giudicare quali nodi si stanno comportando bene in base a quanto tempo sono rimasti, ma un paziente e un abile attaccante potrebbe filtrare in molti nodi nel tempo pur essendo piuttosto difficile da rilevare.

Anche se l'intera catena di trasmissione non è compromessa, si può avere un certo grado di comprensione osservando i tempi in cui i pacchetti entrano ed escono da un nodo. I ritardi nelle trasmissioni sarebbero d'aiuto, ma aumenterebbero la latenza e non sono attualmente supportati da Tor.

13
AJ Henderson

Esistono contromisure non tecniche, ad es. qualcuno intervenirebbe se 3000 nuovi nodi sospetti si aprissero su AWS?

Sì. Esistono sistemi e persone il monitoraggio della rete e gli operatori directory directory bloccano le inondazioni di nuovi relè palesemente sospetti. Questo accade regolarmente, con discutibile progetti di ricerca accademica, nuovi operatori di staffette insolitamente generosi e attori più nefasti.

In effetti, il tuo ipotetico scenario si è verificato quasi letteralmente a dicembre 2014. Alcune persone è andato e ha attivato 3300 relè sui server cloud di Google per qualche motivo o altro. Non è successo niente. I relè sono stati bloccati ; non hanno ricevuto quasi traffico ; ed è difficile dire ciò che gli operatori stavano persino cercando di realizzare.

Il RELAY_EARLY attack è probabilmente l'esempio peggiore. Per la prima metà del 2014, un aggressore, apparentemente americano accademico / governo ricercatori presso Carnegie Mellon University - SEI CERT , combinato un centinaio di relè veloci e un bug di sicurezza per decodificare utenti non raccontati, portando a arresti multipli negli Stati Uniti e rischio potenziale di qualsiasi altra parte che registra il traffico in quel momento.

6
Matt Nordhoff

Oltre a eseguire migliaia di nodi, un utente malintenzionato dovrebbe eseguire tali migliaia di nodi per un tempo lungo perché parte del processo decisionale su quali nodi utilizzare considera il peso consensus, che include l'uptime come fattore. Inoltre, ci sono flag che possono essere aggiunti ai nodi dai relè con il punteggio più alto (per consenso) che contrassegnano un relè come un relè non valido, che influisce negativamente sulla quantità di utilizzo che otterrebbe.

La maggior parte delle protezioni di Tor contro questo tipo di attacco sarebbero legate alle restrizioni sull'età che un relè deve avere per ottenere una porzione considerevole di traffico.

3
IceyEC

Tutte queste risposte sono in realtà errate, anche la più votata. Tor ha diverse caratteristiche specifiche che lo mitigano, chiamato attacco sybil. Mentre il relè centrale e di uscita sono in grado di cambiare ogni 10 minuti, il primo relè, la protezione, rimane con te per molto tempo. Questo garantisce che, anche se un attaccante crea un gran numero di relè, non sarà in grado di farti usare facilmente il suo relè.

Immagina che l'attaccante abbia la possibilità di controllare la tua guardia e di abbandonare il relè, e che la probabilità sia determinata in base alla percentuale di relè che controlla. Preferiresti avere una nuova possibilità di identificarti con una piccola probabilità di successo una volta ogni 10 minuti o una volta all'anno? Quest'ultimo è il modo in cui Tor opera, nonostante tutta la disinformazione di cui sopra.

https://blog.torproject.org/improving-tors-anonymity-changing-guard-parameters

2
guest

Sono un nuovo utente e quindi non posso aggiungerlo come commento, ma è in risposta all'utente1535427

(come commentato da IceyEC per l'utente post 1535427) Tor utilizza 3 salti in un circuito tra l'utente e il server finale.

In alcune circostanze, ne utilizzerà di più, ad esempio quando ci si connette a un "servizio nascosto" o "Sito .onion", in quanto utilizza 3 salti tra di voi e ciò che viene definito "punto di incontro" (che è solo un altro normale nodo di inoltro all'interno della rete Tor) più 3 ulteriori salti dal "punto di incontro" al server di destinazione finale.
Ma a parte questo, Tor è hard-coded per usare 3 x Luppolo.

inizialmente, questo può sembrare controintuitivo - come pensavo io stesso. tuttavia, ci sono diversi motivi per mantenerlo a 3 x Luppolo.
Alcuni di questi motivi (ma non solo) sono:

1 - aumentare il numero di hop aumenta la latenza, che influisce negativamente sulla velocità e sull'usabilità e sull'esperienza dell'utente.

2 - (tipo di seguito dal motivo 1) Se aumentare l'Hops per tutti gli utenti rallenta le cose in generale, ma potrebbe "potenzialmente" aggiungere ulteriori livelli di sicurezza, allora, una risposta potrebbe essere che Tor consente agli utenti di scegliere quanti Il luppolo che usano per creare il loro circuito a spese di una latenza più elevata, se il singolo individuo ha ritenuto accettabile il compromesso?
bene, in realtà no. Ciò significherebbe che utenti diversi avrebbero "lunghezze del percorso" diverse e quindi il server come "un'informazione aggiuntiva, potenzialmente identificativa", ad esempio, forse sei l'unica persona che ha scelto di passare in modo specifico 123 salti? se un utente malintenzionato è in grado di determinare il tuo numero di hop, potrebbe essere in grado di identificare in modo univoco o almeno distinguerti dall'altro traffico, solo per questo fattore.
In breve, aumentare il numero di hop per ogni circuito è negativo, così come dare agli utenti la possibilità di variare il numero di hop stessi.

3 - il che mi porta ad un altro motivo, apparentemente (e anche contro-intuitivo), i test hanno dimostrato che l'uso di 4 o più Hops in pratica, in realtà non offre più sicurezza di quanto si otterrebbe con solo i 3 x Hops.
con il senno di poi, avendo solo 3 x Hops offre, tecnicamente, la massima sicurezza e allo stesso tempo offre le connessioni più veloci (il che è abbastanza pulito se ci pensate!)

l'importante da togliere a questo è che:
- Fintanto che un utente malintenzionato NON controlla SIA i nodi "entry" AND "exit",
- Oltre al fatto che il tuo end server è un "server .onion" o un "server open-web con HTTPS"

allora sei relativamente sicuro. se l'attaccante conosce sia i nodi di entrata che di uscita, il gioco finisce. sconfigge l'intero punto della rete Tor.

2
TurnerOC

L'unico modo in cui ciò potrebbe aiutare un utente malintenzionato è se eseguivano ogni nodo di inoltro e inoltre fossero sicuri di questo fatto. Il punto di forza di Tor è che un determinato nodo non sa se il nodo a cui inoltra i dati è un altro nodo di inoltro o l'utente finale. Non sono riuscito a trovare informazioni online se Tor utilizza un numero specificato di salti per connessione, perché se, ad esempio, un utente malintenzionato fosse a conoscenza del fatto che Tor collega 5 nodi di inoltro tra un utente e un endpoint e l'attaccante ha visto 5 dei loro relè nodi in una catena, conoscerebbero l'IP dell'endpoint e dell'utente.

Per questo motivo, immagino che Tor non usi un numero costante di salti.

Detto questo, se l'attaccante eseguiva un nodo di uscita e lo si utilizzava per connettersi a un semplice sito clearnet HTTP, sarebbero in grado di vedere tutti i dati inviati, sebbene anche in questo caso non sia possibile vedere l'IP dell'utente .

0
user1535427