(Автор: Mehaniq/Shutterstock.com)
Веб-браузер Tor, имеющий около 2 миллионов пользователей, анонимность которых обеспечивается сочетанием шифрования и многократной переадресации всего трафика, может оказаться не таким уж и анонимным.
Это согласно новому расследованию немецкого новостного издания NDR, которое сообщает, что полиция смогла деанонимизировать трафик нескольких пользователей Tor, используя метод «анализа времени». Полиция следила за серверами Tor в центрах обработки данных и использовала чат-сервис «Ricochet» для идентификации пользователей Tor и определения их точек входа в сеть, согласно отчету.
Член немецкой хакерской группы Chaos Computer Club подтвердил эффективность метода, добавив: «Правоохранительные органы на протяжении нескольких лет неоднократно и успешно проводили атаки с использованием временного анализа против отдельных пользователей Tor, чтобы деанонимизировать их».
В ответ на немецкое расследование Tor заявил в своем блоге, что это «по-прежнему лучшее решение» для обеспечения конфиденциальности в Интернете. Однако он также признает, что у его команды осталось «больше вопросов, чем ответов» о том, что происходит. Tor заявляет, что не смог проверить заявления NDR, поскольку новостное издание не поделилось и не опубликовало свои доказательства.
«На основании ограниченной информации, которой располагает Tor Project, мы полагаем, что один пользователь давно закрытого приложения Ricochet был полностью деанонимизирован с помощью атаки Guard Discovery», — говорится в сообщении, предположительно, имея в виду идентификацию полицией лидера сайта педофилии в даркнете «Boystown», которая упоминается в отчете NDR, но произошла много лет назад.
«В то время это было возможно, поскольку пользователь использовал версию программного обеспечения, в которой не было ни Vanguards-lite, ни надстройки Vanguards, которые были введены для защиты пользователей от этого типа атак», — продолжил Tor. «Эта защита существует в Ricochet-Refresh, поддерживаемом форке давно закрытого проекта Ricochet, начиная с версии 3.0.12, выпущенной в июне 2022 года».
Пост Tor предполагает, что те, кто пользовался браузером до 2022 года, подвергаются большему риску быть подверженными. «Насколько нам известно, атаки произошли в период с 2019 по 2021 год», — утверждает Tor.
Браузер Tor позволяет пользователям получать доступ к «темной паутине» или веб-сайтам, которые не индексируются Google или другими распространенными поисковыми системами (часто сайты темной паутины связаны с преступной деятельностью). Но Tor также может использоваться для передачи анонимных советов. И он может обойти цензуру авторитарного правительства — и получить доступ к областям интернета, которые в противном случае были бы заблокированы или скрыты в стране пользователя.
Согласно собственной статистике Tor, основанной на данных о «мостовых» соединениях, около 43% среднестатистических ежедневных пользователей Tor, как полагают, находятся в России, около 16% — в Иране и около 9% — в США. Немецкие пользователи составляют около 3% пользователей Tor, а Франция и Китай составляют еще около 2% от общей базы пользователей.
Некоторые пользователи Tor знают о риске деанонимизации и ранее обсуждали возможность отслеживания их трафика и привязки к ним как к личностям. Но, как предполагает один пользователь Tor, следователям пришлось бы тратить деньги, чтобы участвовать в сети и оставаться там в течение длительного периода времени незамеченными, чтобы потенциально разоблачить любой трафик.
Но поскольку Tor обычно ретранслирует трафик три раза, включая вход и выход, если организация владеет двумя из трех ретрансляторов, она может определить личность пользователя, если его трафик попадет на эти два ретранслятора.
Как объясняет MalwareBytes, обширное сетевое наблюдение может позволить властям идентифицировать пользователей Tor, если они могут сопоставить временные закономерности и отследить точки входа и выхода из сети. И чем меньше активных узлов Tor, поддерживающих сеть, тем проще становится это наблюдение. Tor был «разработан» для сотен тысяч узлов по всему миру, говорит MalwareBytes, но в настоящее время имеет только около 8000 активных ретрансляторов на момент написания статьи. Чем больше узлов, тем более децентрализована сеть и, следовательно, тем сложнее контролировать всю сеть и собирать воедино идентификационные данные пользователей.
