Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Cистемы анонимности и их противники

root

Staff member
Full members of NP "MOD"
Joined
Feb 17, 2007
Messages
678
Reaction score
1,026
Points
93

Игра в анонимность и типы игроков​

03984509358.jpg

В игре под названием “анонимность” есть три типа игроков. Во-первых, это пользователи, которые общаются с другими пользователями и/или пунктами назначения. Во-вторых, противники (архетипические злоумышленники), преследующие такие цели, как наблюдение за коммуникациями и их блокирование, идентификация пользователей, ассоциирование пользователей с другими пользователями и/или пунктами назначения, выдача себя за других пользователей и/или компрометация пользователей и пунктов назначения и т.д.

В-третьих, существуют сервисы и системы, которые защищают коммуникации пользователей, обеспечивая определенное сочетание анонимности, свободы, конфиденциальности и безопасности. Учитывая то, как анонимность снижает риск целенаправленных атак, целесообразно рассматривать их в первую очередь как системы анонимности. В данном обсуждении мы сначала приводим краткую справочную информацию о существующих системах анонимности. Затем мы рассмотрим, как каждая из них уязвима для противников с различными возможностями.

Важно помнить, что ни одна из этих систем анонимности не обеспечивает сквозного шифрования между пользователями и пунктами назначения в интернете. Весь трафик между пользователями и узлами выхода системы, конечно, шифруется. Но трафик между узлами выхода и точками назначения не шифруется, если только пользователи и точки назначения не используют сквозное шифрование (например, HTTPS для веб-сайтов, TLS для электронной почты или SSH для удаленного входа в систему).

Для сообщений электронной почты системы анонимности скрывают IP-адрес пользователя, назначенный провайдером, но не влияют на другие метаданные, такие как адреса электронной почты пользователя и корреспондента, тему сообщения и время. Даже при сквозном шифровании между пользователями и их почтовыми серверами содержимое сообщений не шифруется между почтовыми серверами пользователей и их корреспондентов, если только пользователи и их корреспонденты не используют сквозное шифрование, например OpenPGP.

Системы анонимности​

Для общего доступа в интернет доступны два типа систем анонимности с низкой задержкой. Существует множество VPN-сервисов и одна сеть с луковой маршрутизацией (Tor). Все они используют шифрование для обеспечения конфиденциальности и безопасности между пользователями и выходами из системы. Но даже в этом случае всегда целесообразно использовать сквозное шифрование, поскольку выходы из системы (и противники, наблюдающие за ними и/или пунктами назначения) в противном случае могут видеть незашифрованный трафик.

Каждая из систем обеспечивает анонимность определенным образом, более или менее эффективно защищая от различных противников. Из этого обсуждения исключены различные прокси-сервисы, такие как SSH-туннели (их сложнее использовать), а также веб-прокси и плагины для браузеров (их гораздо проще скомпрометировать). Также не учитываются Freenet и I2P. Freenet – это P2P-сеть, предназначенная для анонимной и устойчивой к взлому публикации, часто среди закрытых групп доверенных участников. I2P – чесночно-маршрутная сеть, ориентированная в основном на обмен P2P-контентом. Ни Freenet, ни I2P не ориентированы на общий доступ в интернет, хотя в I2P и имеются интернет-шлюзы.

VPN​

VPN-сервисы представляют собой простейший тип системы анонимности. После того как пользователь-клиент и удаленный VPN-сервер договорились о шифрованном виртуальном сетевом соединении, сервер выступает в роли прокси-сервера для всего интернет-трафика клиента. Службы, использующие правильно настроенные протоколы OpenVPN или IPsec (но не протокол PPTP), обеспечивают надежные защиту и конфиденциальность (с совершенной прямой секретностью) между пользователями и выходами из системы.

VPN-сервисы обеспечивают конфиденциальность, скрывая от провайдеров пункты назначения в интернете. А анонимность обеспечивается за счет сокрытия информации о пользователе (такой как провайдер, личность и геолокация) от адресатов. То есть оба адресата (и связанные с ними сетевые наблюдатели) видят только IPv4-адрес VPN-сервера. Сетевая задержка (latency) намного меньше, чем у Tor, а скорость (пропускная способность) в 10-20 раз выше.

Надежные VPN-сервисы используют совершенную прямую секретность. Для OpenVPN это TLS с переходными симметричными сеансовыми ключами. Ключи согласовываются "на лету", после аутентификации сервера и клиента. Они непредсказуемы и часто меняются (по умолчанию – ежечасно). Противник, скомпрометировавший конкретную сессию, может расшифровать только трафик этой сессии. Трафик от сохраненных перехватов и трафик от будущих сеансов остаются в безопасности, поскольку шифруются разными сеансовыми ключами.

VPN очень просты в настройке и использовании, поскольку техническими аспектами занимаются провайдеры. Однако конфиденциальность и анонимность, обеспечиваемые VPN-сервисами, полностью зависят от добросовестности и осмотрительности оператора, его технической компетентности и способности предотвратить наблюдение, манипуляции и/или компрометацию его серверов противниками.

VPN-сервисы обеспечивают надежную защиту от локальных противников, а также хорошую защиту от цензуры и рутинной массовой слежки, даже на национальном уровне. Однако они обеспечивают ограниченную защиту от противников с международным охватом. Такие противники могут принуждать провайдеров и/или их хостинг-провайдеров или интернет-провайдеров и таким образом наблюдать, манипулировать и/или компрометировать их серверы. Они также обеспечивают ограниченную защиту от решительных и находчивых цензоров. Об этом ниже.

В некоторых юрисдикциях провайдеры VPN могут получать судебные ордера, которые нельзя раскрывать без серьезных санкций. Но существует обходной путь. Пока такой судебный ордер не получен, провайдер может регулярно публиковать соответствующее заявление, это называют “канарейками”. Если "ордерная канарейка" не обновляется в срок, пользователи могут смело делать вывод о том, что провайдер получил судебный ордер. При этом провайдеру нет необходимости предпринимать активные действия, нарушающие ордер.

Некоторые VPN-сервисы обеспечивают многохоповую маршрутизацию. Трафик пользователей поочередно проходит через серверы в разных странах. При этом пользователи, использующие один входной узел, обычно используют разные выходные узлы, а пользователи, использующие один выходной узел, обычно используют разные входные узлы. Другие VPN-сервисы распределяют трафик пользователей между несколькими серверами выхода. Такие подходы лучше защищают от противников с ограниченным международным охватом. Однако и в этом случае все ставки делаются на тех, кто становится мишенью для более находчивых противников.

Tor​

Tor – это система анонимности второго поколения с луковой маршрутизацией, насчитывающая в настоящее время несколько тысяч анонимизирующих ретрансляторов. Это открытая система с высокораспределенным доверием и отсутствием централизованного управления. Она обеспечивает анонимность за счет динамической, непредсказуемой и трудноотслеживаемой маршрутизации через большую сеть недоверенных ретрансляторов. В отличие от VPN-сервисов, противники могут свободно участвовать в этой системе, управляя ретрансляторами. Однако даже в этом случае существует контроль со стороны основной группы доверенных разработчиков и операторов ретрансляторов, а также процесс проверки новых ретрансляторов.

Пользовательские клиенты подключаются к сети Tor, создавая зашифрованные трехрелейные цепи в случайном порядке и часто меняя их. Трафик цепей передается в ячейках фиксированного размера (512 байт). На каждом шаге ретрансляторы снимают один уровень шифрования. Это не позволяет соседним ретрансляторам идентифицировать друг друга и защищает от злонамеренных ретрансляторов. Трафик между ретрансляторами шифруется по протоколу TLS, поверх шифрования схемы "луковой" маршрутизации. Это позволяет несколько скрыть от внешних противников схему ячеек (их количество и время).

Многие из около 6000 ретрансляторов Tor имеют ограниченное время работы, ограниченную полезную полосу пропускания и/или ограничения на выход (например, блокирование IRC). Такие ограничения уменьшают эффективный размер сети, а также повышают ее уязвимость перед противниками, которые могут внедрить множество привлекательных ретрансляторов.

Противники​

Все низкоскоростные системы анонимности не выдерживают конкуренции с противниками, которые могут наблюдать, манипулировать и/или компрометировать оба конца соединения. Это, безусловно, справедливо для VPN-сервисов и Tor. Увеличение числа промежуточных узлов системы не предотвращает такой компрометации. И наоборот, обе системы хорошо защищают от слабых локальных противников. Рассмотрим их уязвимости к трем каноническим классам противников, каждый из которых по-своему изобретателен.

Пассивные противники просто перехватывают и анализируют сетевой трафик, пытаясь соотнести потоки, входящие и выходящие из систем анонимности. “Византийские” противники могут маркировать или иным образом модифицировать трафик, в первую очередь для облегчения его корреляции. Реалистичные пассивные противники являются византийскими, и поэтому мы объединяем их вместе. Однако здесь есть ключевое различие: системы анонимности не могут обнаружить чисто пассивных противников, кроме как через последующую византийскую активность, и поэтому активная защита от них проблематична.

Существует два вида активных противников. Противники типа “Sybil” концентрируются на уязвимостях системного уровня и используют их, запуская множество вредоносных клиентов и/или сетевых узлов.

Другие противники концентрируются на уязвимостях безопасности конкретных узлов сети и используют их соответствующим образом, добиваясь компрометации системы. Они также могут преследовать операторов системы, используя социальную инженерию или фишинговые атаки, физическое нападение, политическую или юридическую власть и т.д. Кроме того, такие атаки могут быть направлены против особо ценных пользователей. Это очень сложные темы, совершенно не характерные для систем анонимности, поэтому далее мы их не обсуждаем. Различия явно искусственны, и некоторые реальные злоумышленники (прототипом которых является АНБ), очевидно, сильны во всех трех областях.

Пассивные противники с ограниченным влиянием на сеть​

Для пассивных и византийских противников ключевыми ресурсами являются охват сети для получения перехвата, хранение данных и вычислительные мощности для корреляции трафика (а для византийских противников – для его модификации). Для государственных структур доступ к сети обычно зависит от юридических полномочий и/или политического влияния, дополняемых соглашениями с коллегами. Для негосударственных пассивных противников, таких как школы, предприятия и провайдеры интернет-услуг различного уровня, права собственности и/или управления обычно ограничивают охват сети. А для тех противников, которые обладают необходимыми знаниями и ресурсами, всегда остается возможность скрытности.

Все системы анонимности с малой задержкой, как правило, защищают от пассивных противников, которые могут получить доступ только к одному концу соединения. Как правило, это относится к большинству негосударственных пассивных противников, за исключением провайдеров первого уровня. Большинство правительств (за исключением АНБ и сотрудничающих с ним организаций, таких как Five Eyes) могут видеть только один конец международного соединения. В таких случаях самое сложное, как правило, заключается в проникновении через периметральный брандмауэр. Это может быть корпоративный брандмауэр или "Великий китайский брандмауэр" (Great Firewall, GFW). Но без дополнительных перехватов корреляция и модификация трафика мало что дают.

Хотя Китай, безусловно, является очень грозным противником, его международный охват сети, по-видимому, остается весьма ограниченным. Если эта оценка верна, то все системы анонимности с низкой задержкой, которым удается подключаться через GFW, будут надежно защищать пользователей в Китае при доступе к направлениям, расположенным за его пределами, за тремя исключениями. Во-первых, все они легко ломаются для направлений, находящихся под контролем Китая. Во-вторых, все они нарушаются для направлений, которые уязвимы для китайских атак типа "человек посередине" (MitM), возможно, основанных на поддельных SSL-сертификатах или уязвимостях протокола. В-третьих, все они в той или иной степени уязвимы для Sybil-атак, о чем ниже.

GFW блокирует системы анонимности, по крайней мере, четырьмя способами. Во-первых, блокируется доступ к известным серверам входа. Во-вторых, блокируется трафик на основе протокола соединения, определяемого по характерным заголовкам и шаблонам пакетов. В-третьих, он зондирует предполагаемые серверы входа, пытаясь обнаружить системы анонимности, выдавая себя за клиента. В-четвертых, в крайнем случае она может просто дросселировать или блокировать весь зашифрованный трафик.

Системы анонимности могут обойти GFW (и другие брандмауэры), инкапсулируя свой трафик в более общие соединения, маршрутизируемые через прокси-серверы. Некоторые VPN-сервисы предлагают прокси-серверы SSH и/или SSL (stunnel), а некоторые используют собственные транспортные протоколы с закрытым исходным кодом.

Однако против находчивых противников обфускация транспортного протокола является лишь временным решением. Если противник определил прокси-сервер, он может просто заблокировать трафик, идущий на этот IP-адрес. Более того, противник также может легко определить всех пользователей, подключающихся к этому прокси-серверу. Изучив хосты, к которым впоследствии подключаются эти пользователи, он может легко обнаружить дополнительные прокси-серверы.

Распределение прокси-серверов – сложная задача. Недоброжелатели могут перечислить прокси-серверы, выдавая себя за пользователей, а находчивые противники могут создать множество вредоносных пользователей. Мосты Tor распространяются несколькими способами. Добровольцы могут создавать мосты и делиться адресами на специальной основе. Существует центральная база данных BridgeDB, доступ к которой может получить клиент Tor, а также ее веб-сайт.

Мосты могут распространяться по различным каналам, таким как индивидуальные пользователи, частные почтовые списки или социальные сети. Репутация каждого канала будет зависеть от общей судьбы мостов, которые по нему были распространены, а новые мосты будут распространяться по каналам пропорционально репутации.

Пассивные противники с международным влиянием на сеть​

В целом Tor гораздо менее уязвим для пассивных противников с международным охватом сети, чем большинство VPN-сервисов. В этой системе одновременно работают гораздо больше пользователей и узлов (ретрансляторов). Реле распределены по всему миру, в многочисленных центрах обработки данных, между многими странами, без централизованного владения и управления. Кроме того, маршруты трафика часто и непредсказуемо меняются. В связи с этим для большинства противников получение достаточного количества перехватов представляется нецелесообразным.

Глобальные пассивные противники, по определению, должны иметь достаточное количество перехватов. Однако число пользователей Tor обычно составляет около двух миллионов, а число одновременно работающих цепей – порядка нескольких миллионов. Отслеживание конкретной цепи Tor потребует соотнесения трафика в одном перехвате (который, предположительно, начинается с реле выхода или защиты входа) с несколькими миллионами разговоров, перехваченных максимум с нескольких тысяч других реле. Для глобального противника это было бы тривиально. Однако перекрестная корреляция всех нескольких миллионов одновременных разговоров со всех ретрансляторов Tor потребует порядка 1013 сравнений, что, вероятно, не так уж и тривиально. Другими словами, все глобальные пассивные противники, кроме самых изобретательных, могут быть ограничены в вычислительных возможностях. И в любом случае Sybil-атаки на Tor гораздо проще.

Sybil-противники​

Для Sybil-противников ключевыми активами являются большие кластеры серверов и быстрые каналы связи. Это позволяет им запускать множество вредоносных клиентов или привлекательных сетевых узлов, эффективно анализировать собранные данные и использовать полученные сведения в своих целях. Хуже всего, когда они владеют и клиентами, и сетевыми узлами систем анонимности, поскольку могут использовать их в синергии. Требований к широкому охвату сети нет, только к пропускной способности. Предполагается, что Sybil-противники не ограничены в вычислениях.

Даже при ограниченной организационной поддержке любой человек, обладающий финансовыми ресурсами и опытом работы с большими кластерами облачных серверов (например, кластерными вычислительными станциями AWS), может стать сильным противником Sybil, по крайней мере, на ограниченный период времени. При типичной структуре цен на облачные вычисления огромные ресурсы вполне доступны в ограниченных условиях. Китай, безусловно, является грозным противником Sybil, учитывая его огромные технические (и человеческие) ресурсы. Но есть и другие правдоподобные примеры – от квалифицированных специалистов до небольших академических исследовательских групп, от негосударственных банд до государственных спецслужб.

Sybil-противники vs VPN​

Внедрение вредоносных VPN-серверов одновременно и затруднительно (поскольку один субъект владеет или управляет всеми серверами), и сразу же фатально для анонимности (поскольку между пользователями и пунктами назначения обычно находится всего один сервер).

Рассмотрим ситуацию, когда противник, имеющий ограниченный сетевой охват, стремится деанонимизировать тех, кто использует VPN-сервисы для доступа в интернет, например, к социальной сети или форуму. Привлекая туда целевых пользователей, он может проводить распределенные атаки типа "отказ в обслуживании" (DDoS) на различные VPN-серверы, возможно, инициируя фальшивые рукопожатия TLS от многочисленных вредоносных клиентов. Если эти VPN-серверы не защищены межсетевыми экранами, ограничивающими скорость новых подключений, это приведет к перегрузке процессора, необходимого для обработки трафика уже подключившихся клиентов, и даже к их выходу из строя.

Эффективная DDoS-атака на конкретный VPN-сервер будет мешать работе его пользователей и даже может вывести их из строя. При удачном DDoS противник Sybil узнает, через какой VPN-сервер подключается каждый целевой пользователь. Зная это, противник может попытаться напрямую скомпрометировать сервер, либо обратиться к оператору и/или хостинг-провайдеру. В зависимости от своих ресурсов он может использовать такие методы, как политическое или юридическое принуждение, а также социальную инженерию.

Для злоумышленников, которые могут наблюдать за трафиком в точках обмена между пользователями и VPN-серверами, может не потребоваться компрометация VPN-серверов или их операторов. При эффективной DDoS-атаке на нужный VPN-сервер противник увидит воздействие как на активность пользователя в интернете, так и на его подключение к серверу. Субъекты на государственном уровне канонически обладают достаточными ресурсами для таких атак на все системы анонимности с низкой задержкой, но особенно на VPN-сервисы.

Sybil-противники vs Tor​

Несмотря на то, что Tor гораздо крупнее, чем отдельные VPN-сервисы, он является открытой системой, где противники Sybil могут с легкостью имитировать как клиентов, так и ретрансляторы. В связи с этим Tor, вероятно, более уязвим для Sybil-противников, которые, как считается, имеют очень ограниченный охват сети и не обладают принудительной властью. Действительно, в результате Sybil-атак, проводимых академическими исследовательскими группами, в течение нескольких месяцев был скомпрометирован значительный процент пользователей Tor.

Учитывая, что АНБ (или даже Китай) обладает на порядки большими ресурсами, можно предположить, что Tor совершенно беззащитен перед ними. Однако, несмотря на то, что Tor представляет собой открытую систему ненадежных ретрансляторов, вход и поведение ретрансляторов контролируются основной группой доверенных разработчиков и операторов ретрансляторов. Кроме того, существует процесс проверки новых ретрансляторов, направленный на ограничение деструктивного и вредоносного поведения.

Другими словами, Sybil-атаки в Tor ограничены не столько ресурсами противника, сколько надзором. Хотя это в значительной степени уменьшает преимущество в ресурсах, которым обладают сложные противники, но только для Sybil-атак. Против пассивного анализа сети, проводимого противниками с достаточным охватом сети, такой защиты не существует, поскольку она не может быть легко обнаружена.

Рассмотрим противника, который может использовать множество вредоносных клиентов и ретрансляторов Tor, но не имеет других ресурсов. Он располагает двумя группами вредоносных ретрансляторов, одна из которых предназначена для использования в качестве охранников на входе, а другая – для использования в качестве ретрансляторов на выходе. Сравнивая трафик, проходящий по цепям, обслуживаемым членами этих групп, можно выявить цепи, в которых он является одновременно и охранником на входе, и ретранслятором на выходе. Это ставит под удар клиентов, поскольку противник знает как их IP-адреса, так и направления, к которым они обращаются.

Для вредоносных охранников стратегия заключается в том, чтобы избежать флага “Exit”, заблокировав соединения с интернетом, и получить флаг “Guard”, находясь в сети непрерывно не менее восьми дней. На практике злонамеренные охранники входа будут постоянно находиться в сети во время атаки, чтобы максимально использовать свои возможности. Для вредоносных ретрансляторов выхода стратегия предполагает получение флага “Exit” путем разрешения соединений с интернетом и избежание флага “Guard” путем постоянного нахождения в сети в течение недели или менее.

Противник может увеличить скорость и масштабы этой Sybil-атаки, используя вредоносные клиенты в DDoS-атаках на честные ретрансляторы. Атакуя честные входные ретрансляторы, противник может постепенно подталкивать клиентов-пользователей к своим вредоносным входным ретрансляторам. Аналогично, атакуя честные выходные ретрансляторы, противник может подталкивать клиентов пользователей к своим вредоносным выходным ретрансляторам.

Авторы: Vergil & Pavluu
Оригинал
Источник
 
Original message

Игра в анонимность и типы игроков​

03984509358.jpg

В игре под названием “анонимность” есть три типа игроков. Во-первых, это пользователи, которые общаются с другими пользователями и/или пунктами назначения. Во-вторых, противники (архетипические злоумышленники), преследующие такие цели, как наблюдение за коммуникациями и их блокирование, идентификация пользователей, ассоциирование пользователей с другими пользователями и/или пунктами назначения, выдача себя за других пользователей и/или компрометация пользователей и пунктов назначения и т.д.

В-третьих, существуют сервисы и системы, которые защищают коммуникации пользователей, обеспечивая определенное сочетание анонимности, свободы, конфиденциальности и безопасности. Учитывая то, как анонимность снижает риск целенаправленных атак, целесообразно рассматривать их в первую очередь как системы анонимности. В данном обсуждении мы сначала приводим краткую справочную информацию о существующих системах анонимности. Затем мы рассмотрим, как каждая из них уязвима для противников с различными возможностями.

Важно помнить, что ни одна из этих систем анонимности не обеспечивает сквозного шифрования между пользователями и пунктами назначения в интернете. Весь трафик между пользователями и узлами выхода системы, конечно, шифруется. Но трафик между узлами выхода и точками назначения не шифруется, если только пользователи и точки назначения не используют сквозное шифрование (например, HTTPS для веб-сайтов, TLS для электронной почты или SSH для удаленного входа в систему).

Для сообщений электронной почты системы анонимности скрывают IP-адрес пользователя, назначенный провайдером, но не влияют на другие метаданные, такие как адреса электронной почты пользователя и корреспондента, тему сообщения и время. Даже при сквозном шифровании между пользователями и их почтовыми серверами содержимое сообщений не шифруется между почтовыми серверами пользователей и их корреспондентов, если только пользователи и их корреспонденты не используют сквозное шифрование, например OpenPGP.

Системы анонимности​

Для общего доступа в интернет доступны два типа систем анонимности с низкой задержкой. Существует множество VPN-сервисов и одна сеть с луковой маршрутизацией (Tor). Все они используют шифрование для обеспечения конфиденциальности и безопасности между пользователями и выходами из системы. Но даже в этом случае всегда целесообразно использовать сквозное шифрование, поскольку выходы из системы (и противники, наблюдающие за ними и/или пунктами назначения) в противном случае могут видеть незашифрованный трафик.

Каждая из систем обеспечивает анонимность определенным образом, более или менее эффективно защищая от различных противников. Из этого обсуждения исключены различные прокси-сервисы, такие как SSH-туннели (их сложнее использовать), а также веб-прокси и плагины для браузеров (их гораздо проще скомпрометировать). Также не учитываются Freenet и I2P. Freenet – это P2P-сеть, предназначенная для анонимной и устойчивой к взлому публикации, часто среди закрытых групп доверенных участников. I2P – чесночно-маршрутная сеть, ориентированная в основном на обмен P2P-контентом. Ни Freenet, ни I2P не ориентированы на общий доступ в интернет, хотя в I2P и имеются интернет-шлюзы.

VPN​

VPN-сервисы представляют собой простейший тип системы анонимности. После того как пользователь-клиент и удаленный VPN-сервер договорились о шифрованном виртуальном сетевом соединении, сервер выступает в роли прокси-сервера для всего интернет-трафика клиента. Службы, использующие правильно настроенные протоколы OpenVPN или IPsec (но не протокол PPTP), обеспечивают надежные защиту и конфиденциальность (с совершенной прямой секретностью) между пользователями и выходами из системы.

VPN-сервисы обеспечивают конфиденциальность, скрывая от провайдеров пункты назначения в интернете. А анонимность обеспечивается за счет сокрытия информации о пользователе (такой как провайдер, личность и геолокация) от адресатов. То есть оба адресата (и связанные с ними сетевые наблюдатели) видят только IPv4-адрес VPN-сервера. Сетевая задержка (latency) намного меньше, чем у Tor, а скорость (пропускная способность) в 10-20 раз выше.

Надежные VPN-сервисы используют совершенную прямую секретность. Для OpenVPN это TLS с переходными симметричными сеансовыми ключами. Ключи согласовываются "на лету", после аутентификации сервера и клиента. Они непредсказуемы и часто меняются (по умолчанию – ежечасно). Противник, скомпрометировавший конкретную сессию, может расшифровать только трафик этой сессии. Трафик от сохраненных перехватов и трафик от будущих сеансов остаются в безопасности, поскольку шифруются разными сеансовыми ключами.

VPN очень просты в настройке и использовании, поскольку техническими аспектами занимаются провайдеры. Однако конфиденциальность и анонимность, обеспечиваемые VPN-сервисами, полностью зависят от добросовестности и осмотрительности оператора, его технической компетентности и способности предотвратить наблюдение, манипуляции и/или компрометацию его серверов противниками.

VPN-сервисы обеспечивают надежную защиту от локальных противников, а также хорошую защиту от цензуры и рутинной массовой слежки, даже на национальном уровне. Однако они обеспечивают ограниченную защиту от противников с международным охватом. Такие противники могут принуждать провайдеров и/или их хостинг-провайдеров или интернет-провайдеров и таким образом наблюдать, манипулировать и/или компрометировать их серверы. Они также обеспечивают ограниченную защиту от решительных и находчивых цензоров. Об этом ниже.

В некоторых юрисдикциях провайдеры VPN могут получать судебные ордера, которые нельзя раскрывать без серьезных санкций. Но существует обходной путь. Пока такой судебный ордер не получен, провайдер может регулярно публиковать соответствующее заявление, это называют “канарейками”. Если "ордерная канарейка" не обновляется в срок, пользователи могут смело делать вывод о том, что провайдер получил судебный ордер. При этом провайдеру нет необходимости предпринимать активные действия, нарушающие ордер.

Некоторые VPN-сервисы обеспечивают многохоповую маршрутизацию. Трафик пользователей поочередно проходит через серверы в разных странах. При этом пользователи, использующие один входной узел, обычно используют разные выходные узлы, а пользователи, использующие один выходной узел, обычно используют разные входные узлы. Другие VPN-сервисы распределяют трафик пользователей между несколькими серверами выхода. Такие подходы лучше защищают от противников с ограниченным международным охватом. Однако и в этом случае все ставки делаются на тех, кто становится мишенью для более находчивых противников.

Tor​

Tor – это система анонимности второго поколения с луковой маршрутизацией, насчитывающая в настоящее время несколько тысяч анонимизирующих ретрансляторов. Это открытая система с высокораспределенным доверием и отсутствием централизованного управления. Она обеспечивает анонимность за счет динамической, непредсказуемой и трудноотслеживаемой маршрутизации через большую сеть недоверенных ретрансляторов. В отличие от VPN-сервисов, противники могут свободно участвовать в этой системе, управляя ретрансляторами. Однако даже в этом случае существует контроль со стороны основной группы доверенных разработчиков и операторов ретрансляторов, а также процесс проверки новых ретрансляторов.

Пользовательские клиенты подключаются к сети Tor, создавая зашифрованные трехрелейные цепи в случайном порядке и часто меняя их. Трафик цепей передается в ячейках фиксированного размера (512 байт). На каждом шаге ретрансляторы снимают один уровень шифрования. Это не позволяет соседним ретрансляторам идентифицировать друг друга и защищает от злонамеренных ретрансляторов. Трафик между ретрансляторами шифруется по протоколу TLS, поверх шифрования схемы "луковой" маршрутизации. Это позволяет несколько скрыть от внешних противников схему ячеек (их количество и время).

Многие из около 6000 ретрансляторов Tor имеют ограниченное время работы, ограниченную полезную полосу пропускания и/или ограничения на выход (например, блокирование IRC). Такие ограничения уменьшают эффективный размер сети, а также повышают ее уязвимость перед противниками, которые могут внедрить множество привлекательных ретрансляторов.

Противники​

Все низкоскоростные системы анонимности не выдерживают конкуренции с противниками, которые могут наблюдать, манипулировать и/или компрометировать оба конца соединения. Это, безусловно, справедливо для VPN-сервисов и Tor. Увеличение числа промежуточных узлов системы не предотвращает такой компрометации. И наоборот, обе системы хорошо защищают от слабых локальных противников. Рассмотрим их уязвимости к трем каноническим классам противников, каждый из которых по-своему изобретателен.

Пассивные противники просто перехватывают и анализируют сетевой трафик, пытаясь соотнести потоки, входящие и выходящие из систем анонимности. “Византийские” противники могут маркировать или иным образом модифицировать трафик, в первую очередь для облегчения его корреляции. Реалистичные пассивные противники являются византийскими, и поэтому мы объединяем их вместе. Однако здесь есть ключевое различие: системы анонимности не могут обнаружить чисто пассивных противников, кроме как через последующую византийскую активность, и поэтому активная защита от них проблематична.

Существует два вида активных противников. Противники типа “Sybil” концентрируются на уязвимостях системного уровня и используют их, запуская множество вредоносных клиентов и/или сетевых узлов.

Другие противники концентрируются на уязвимостях безопасности конкретных узлов сети и используют их соответствующим образом, добиваясь компрометации системы. Они также могут преследовать операторов системы, используя социальную инженерию или фишинговые атаки, физическое нападение, политическую или юридическую власть и т.д. Кроме того, такие атаки могут быть направлены против особо ценных пользователей. Это очень сложные темы, совершенно не характерные для систем анонимности, поэтому далее мы их не обсуждаем. Различия явно искусственны, и некоторые реальные злоумышленники (прототипом которых является АНБ), очевидно, сильны во всех трех областях.

Пассивные противники с ограниченным влиянием на сеть​

Для пассивных и византийских противников ключевыми ресурсами являются охват сети для получения перехвата, хранение данных и вычислительные мощности для корреляции трафика (а для византийских противников – для его модификации). Для государственных структур доступ к сети обычно зависит от юридических полномочий и/или политического влияния, дополняемых соглашениями с коллегами. Для негосударственных пассивных противников, таких как школы, предприятия и провайдеры интернет-услуг различного уровня, права собственности и/или управления обычно ограничивают охват сети. А для тех противников, которые обладают необходимыми знаниями и ресурсами, всегда остается возможность скрытности.

Все системы анонимности с малой задержкой, как правило, защищают от пассивных противников, которые могут получить доступ только к одному концу соединения. Как правило, это относится к большинству негосударственных пассивных противников, за исключением провайдеров первого уровня. Большинство правительств (за исключением АНБ и сотрудничающих с ним организаций, таких как Five Eyes) могут видеть только один конец международного соединения. В таких случаях самое сложное, как правило, заключается в проникновении через периметральный брандмауэр. Это может быть корпоративный брандмауэр или "Великий китайский брандмауэр" (Great Firewall, GFW). Но без дополнительных перехватов корреляция и модификация трафика мало что дают.

Хотя Китай, безусловно, является очень грозным противником, его международный охват сети, по-видимому, остается весьма ограниченным. Если эта оценка верна, то все системы анонимности с низкой задержкой, которым удается подключаться через GFW, будут надежно защищать пользователей в Китае при доступе к направлениям, расположенным за его пределами, за тремя исключениями. Во-первых, все они легко ломаются для направлений, находящихся под контролем Китая. Во-вторых, все они нарушаются для направлений, которые уязвимы для китайских атак типа "человек посередине" (MitM), возможно, основанных на поддельных SSL-сертификатах или уязвимостях протокола. В-третьих, все они в той или иной степени уязвимы для Sybil-атак, о чем ниже.

GFW блокирует системы анонимности, по крайней мере, четырьмя способами. Во-первых, блокируется доступ к известным серверам входа. Во-вторых, блокируется трафик на основе протокола соединения, определяемого по характерным заголовкам и шаблонам пакетов. В-третьих, он зондирует предполагаемые серверы входа, пытаясь обнаружить системы анонимности, выдавая себя за клиента. В-четвертых, в крайнем случае она может просто дросселировать или блокировать весь зашифрованный трафик.

Системы анонимности могут обойти GFW (и другие брандмауэры), инкапсулируя свой трафик в более общие соединения, маршрутизируемые через прокси-серверы. Некоторые VPN-сервисы предлагают прокси-серверы SSH и/или SSL (stunnel), а некоторые используют собственные транспортные протоколы с закрытым исходным кодом.

Однако против находчивых противников обфускация транспортного протокола является лишь временным решением. Если противник определил прокси-сервер, он может просто заблокировать трафик, идущий на этот IP-адрес. Более того, противник также может легко определить всех пользователей, подключающихся к этому прокси-серверу. Изучив хосты, к которым впоследствии подключаются эти пользователи, он может легко обнаружить дополнительные прокси-серверы.

Распределение прокси-серверов – сложная задача. Недоброжелатели могут перечислить прокси-серверы, выдавая себя за пользователей, а находчивые противники могут создать множество вредоносных пользователей. Мосты Tor распространяются несколькими способами. Добровольцы могут создавать мосты и делиться адресами на специальной основе. Существует центральная база данных BridgeDB, доступ к которой может получить клиент Tor, а также ее веб-сайт.

Мосты могут распространяться по различным каналам, таким как индивидуальные пользователи, частные почтовые списки или социальные сети. Репутация каждого канала будет зависеть от общей судьбы мостов, которые по нему были распространены, а новые мосты будут распространяться по каналам пропорционально репутации.

Пассивные противники с международным влиянием на сеть​

В целом Tor гораздо менее уязвим для пассивных противников с международным охватом сети, чем большинство VPN-сервисов. В этой системе одновременно работают гораздо больше пользователей и узлов (ретрансляторов). Реле распределены по всему миру, в многочисленных центрах обработки данных, между многими странами, без централизованного владения и управления. Кроме того, маршруты трафика часто и непредсказуемо меняются. В связи с этим для большинства противников получение достаточного количества перехватов представляется нецелесообразным.

Глобальные пассивные противники, по определению, должны иметь достаточное количество перехватов. Однако число пользователей Tor обычно составляет около двух миллионов, а число одновременно работающих цепей – порядка нескольких миллионов. Отслеживание конкретной цепи Tor потребует соотнесения трафика в одном перехвате (который, предположительно, начинается с реле выхода или защиты входа) с несколькими миллионами разговоров, перехваченных максимум с нескольких тысяч других реле. Для глобального противника это было бы тривиально. Однако перекрестная корреляция всех нескольких миллионов одновременных разговоров со всех ретрансляторов Tor потребует порядка 1013 сравнений, что, вероятно, не так уж и тривиально. Другими словами, все глобальные пассивные противники, кроме самых изобретательных, могут быть ограничены в вычислительных возможностях. И в любом случае Sybil-атаки на Tor гораздо проще.

Sybil-противники​

Для Sybil-противников ключевыми активами являются большие кластеры серверов и быстрые каналы связи. Это позволяет им запускать множество вредоносных клиентов или привлекательных сетевых узлов, эффективно анализировать собранные данные и использовать полученные сведения в своих целях. Хуже всего, когда они владеют и клиентами, и сетевыми узлами систем анонимности, поскольку могут использовать их в синергии. Требований к широкому охвату сети нет, только к пропускной способности. Предполагается, что Sybil-противники не ограничены в вычислениях.

Даже при ограниченной организационной поддержке любой человек, обладающий финансовыми ресурсами и опытом работы с большими кластерами облачных серверов (например, кластерными вычислительными станциями AWS), может стать сильным противником Sybil, по крайней мере, на ограниченный период времени. При типичной структуре цен на облачные вычисления огромные ресурсы вполне доступны в ограниченных условиях. Китай, безусловно, является грозным противником Sybil, учитывая его огромные технические (и человеческие) ресурсы. Но есть и другие правдоподобные примеры – от квалифицированных специалистов до небольших академических исследовательских групп, от негосударственных банд до государственных спецслужб.

Sybil-противники vs VPN​

Внедрение вредоносных VPN-серверов одновременно и затруднительно (поскольку один субъект владеет или управляет всеми серверами), и сразу же фатально для анонимности (поскольку между пользователями и пунктами назначения обычно находится всего один сервер).

Рассмотрим ситуацию, когда противник, имеющий ограниченный сетевой охват, стремится деанонимизировать тех, кто использует VPN-сервисы для доступа в интернет, например, к социальной сети или форуму. Привлекая туда целевых пользователей, он может проводить распределенные атаки типа "отказ в обслуживании" (DDoS) на различные VPN-серверы, возможно, инициируя фальшивые рукопожатия TLS от многочисленных вредоносных клиентов. Если эти VPN-серверы не защищены межсетевыми экранами, ограничивающими скорость новых подключений, это приведет к перегрузке процессора, необходимого для обработки трафика уже подключившихся клиентов, и даже к их выходу из строя.

Эффективная DDoS-атака на конкретный VPN-сервер будет мешать работе его пользователей и даже может вывести их из строя. При удачном DDoS противник Sybil узнает, через какой VPN-сервер подключается каждый целевой пользователь. Зная это, противник может попытаться напрямую скомпрометировать сервер, либо обратиться к оператору и/или хостинг-провайдеру. В зависимости от своих ресурсов он может использовать такие методы, как политическое или юридическое принуждение, а также социальную инженерию.

Для злоумышленников, которые могут наблюдать за трафиком в точках обмена между пользователями и VPN-серверами, может не потребоваться компрометация VPN-серверов или их операторов. При эффективной DDoS-атаке на нужный VPN-сервер противник увидит воздействие как на активность пользователя в интернете, так и на его подключение к серверу. Субъекты на государственном уровне канонически обладают достаточными ресурсами для таких атак на все системы анонимности с низкой задержкой, но особенно на VPN-сервисы.

Sybil-противники vs Tor​

Несмотря на то, что Tor гораздо крупнее, чем отдельные VPN-сервисы, он является открытой системой, где противники Sybil могут с легкостью имитировать как клиентов, так и ретрансляторы. В связи с этим Tor, вероятно, более уязвим для Sybil-противников, которые, как считается, имеют очень ограниченный охват сети и не обладают принудительной властью. Действительно, в результате Sybil-атак, проводимых академическими исследовательскими группами, в течение нескольких месяцев был скомпрометирован значительный процент пользователей Tor.

Учитывая, что АНБ (или даже Китай) обладает на порядки большими ресурсами, можно предположить, что Tor совершенно беззащитен перед ними. Однако, несмотря на то, что Tor представляет собой открытую систему ненадежных ретрансляторов, вход и поведение ретрансляторов контролируются основной группой доверенных разработчиков и операторов ретрансляторов. Кроме того, существует процесс проверки новых ретрансляторов, направленный на ограничение деструктивного и вредоносного поведения.

Другими словами, Sybil-атаки в Tor ограничены не столько ресурсами противника, сколько надзором. Хотя это в значительной степени уменьшает преимущество в ресурсах, которым обладают сложные противники, но только для Sybil-атак. Против пассивного анализа сети, проводимого противниками с достаточным охватом сети, такой защиты не существует, поскольку она не может быть легко обнаружена.

Рассмотрим противника, который может использовать множество вредоносных клиентов и ретрансляторов Tor, но не имеет других ресурсов. Он располагает двумя группами вредоносных ретрансляторов, одна из которых предназначена для использования в качестве охранников на входе, а другая – для использования в качестве ретрансляторов на выходе. Сравнивая трафик, проходящий по цепям, обслуживаемым членами этих групп, можно выявить цепи, в которых он является одновременно и охранником на входе, и ретранслятором на выходе. Это ставит под удар клиентов, поскольку противник знает как их IP-адреса, так и направления, к которым они обращаются.

Для вредоносных охранников стратегия заключается в том, чтобы избежать флага “Exit”, заблокировав соединения с интернетом, и получить флаг “Guard”, находясь в сети непрерывно не менее восьми дней. На практике злонамеренные охранники входа будут постоянно находиться в сети во время атаки, чтобы максимально использовать свои возможности. Для вредоносных ретрансляторов выхода стратегия предполагает получение флага “Exit” путем разрешения соединений с интернетом и избежание флага “Guard” путем постоянного нахождения в сети в течение недели или менее.

Противник может увеличить скорость и масштабы этой Sybil-атаки, используя вредоносные клиенты в DDoS-атаках на честные ретрансляторы. Атакуя честные входные ретрансляторы, противник может постепенно подталкивать клиентов-пользователей к своим вредоносным входным ретрансляторам. Аналогично, атакуя честные выходные ретрансляторы, противник может подталкивать клиентов пользователей к своим вредоносным выходным ретрансляторам.

Авторы: Vergil & Pavluu
Оригинал
Источник

До нового года осталось