Авторизация  
GetFly

Капча CloudFlare может применяться для деанонимизации пользователей Tor

В теме 1 сообщение

Капча CloudFlare может применяться для деанонимизации пользователей Tor

 

 

Опубликован достаточно реалистичный сценарий, показывающий, как при помощи сети доставки контента CloudFlare можно осуществить деанонимизацию пользователей Tor. CloudFlare обеспечивает трансляцию трафика для примерно 2 млн сайтов и может анализировать трафик к данным сайтам, поступающий из сети Tor, контролируя этап обращения к сайтам после выхода из цепочки анонимизации в сети Tor. В свою очередь, интернет-провайдеры могут контролировать отправку трафика в Tor, что позволяет спецслужбам при желании получить доступ к информации о трафике перед и после анонимизации в Tor. Ключевой проблемой, которую необходимо решить для деанонимизации, является связывание одного и того же запроса на входе и выходе Tor.

 

Проходящий через Tor трафик зашифрован и не подвластен для прямого анализа, но теоретически имеется возможность применения косвенных методов для сопоставления трафика до и после сети Tor, что позволяет с определённой долей вероятности привязать входящие в Tor и выходящие из Tor запросы. В частности, для идентификации трафика может использоваться манипуляции размером пакетов и задержками между их отправкой. Например, отправив с сервера большую серию пакетов разной длины и с разными задержками можно определить корреляцию изменения размера и задержек в поступающем пользователю шифрованном трафике.

 

Что касается CloudFlare, то исследователи обратили внимание на то, что при обращении через Tor к сайтам, транслируемым через CloudFlare, последний требует подтверждения операции через ввод капчи (используется reCAPTCHA). Между компьютером пользователя и сервером CloudFlare происходит достаточно активный обмен пакетами — на каждый клик на картинке капчи-головоломки генерируется около 50 сетевых пакетов, половина из которых уходит со стороны пользователя (выполняется Javascript reCAPTCHA в браузере), а половина со стороны сервера CloudFlare.

 

Обмен данными длится менее секунды и искажения (джиттер), вносимые процессом смешивания пакетов в Tor, несущественны. При этом группа пакетов имеет предсказуемую длину и шаблон отправки, что позволяет легко использовать данные параметры как сигнатуру для определения одного и того же клика на картинке, как на стороне анализатора трафика в ISP, так и на стороне анализатора в Cloudflare, без необходимости расшифровки информации. Одновременно через Cloudflare могут работать тысячи пользователей, но подтверждение по капче на этом фоне достаточно редкое и не пересекающиеся событие, которым можно управлять на стороне Cloudflare.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация