Представлена новая атака с отслеживанием цифрового отпечатка браузера Tor
16/11/21
Исследователи в области кибербезопасности рассказали о новой атаке с отслеживанием цифрового отпечатка зашифрованного трафика web-браузера Tor. Атакующий может определить посещаемый пользователем сайт, но только если злоумышленник интересуется определенной выборкой сайтов.
«В то время как точность атаки при мониторинге небольшой группы из пяти популярных web-сайтов может превышать 95%, точность неизбирательных (нецелевых) атак на группы из 25 и 100 web-сайтов не достигает 80% и 60% соответственно», — пояснили эксперты.
Браузер Tor предлагает своим пользователям возможность маршрутизации интернет-трафика через оверлейную сеть, состоящую из более чем шести тысяч ретрансляторов, с целью анонимизации исходного местоположения. Это достигается путем создания цепи, которая проходит через входной, средний и выходной узлы перед пересылкой запросов на IP-адреса назначения. Кроме того, запросы шифруются один раз для каждого узла, дополнительно затрудняя анализ и избегая утечки информации. Хотя сами клиенты Tor не являются анонимными в отношении своих входных узлов, поскольку трафик зашифрован, а запросы проходят через несколько переходов, входные узлы не могут идентифицировать место назначения клиентов, так же как выходные узлы не могут различить клиентов.
Предложенный исследователями метод направлен на нарушение данной защиты анонимности и позволяет злоумышленнику наблюдать за паттернами зашифрованного трафика между пользователем и сетью Тор для прогнозирования посещаемого сайта. В ходе атаки злоумышленник запускает выходной узел для определения разнообразия трафика, генерируемого реальными пользователями, который затем используется в качестве источника для сбора следов трафика Tor и разработки модели классификации на основе машинного обучения поверх собранной информации, позволяя сделать вывод о посещениях сайтов пользователями.
В рамках исследования специалисты запускали входные и выходные узлы в течение недели в июле 2020 года с использованием специальной версии Tor v0.4.3.5 для извлечения соответствующей информации с выходного узла.
«Как показали результаты исследования, атаки с отслеживанием цифрового отпечатка браузера могут быть успешными только в том случае, если злоумышленник стремится идентифицировать web-сайты в небольшой группе», — отметили эксперты.