Tác động của DNS đến tính nặc danh của người dùng Tor

Các nhà nghiên cứu đã phát minh ra hai vụ tấn công tương quan, Defec Tor, để deanonymize(là phương thức thu thập thông tin từ người dùng ẩn danh) người dùng Tor sử dụng còn dữ liệu từ quan sát traffic DNS từ chuyển tiếp lối ra Tor.

Tác động của DNS đến tính nặc danh của người dùng Tor

Các cơ quan thực thi pháp luậttình báo dành ra một cam kết quan trọng trong cuộc chiến chống các hoạt động bất hợp pháp trong các Dark Web khi mà các bên đe dọa hoạt động trong một điều kiện của giả ẩn danh.

Một nhóm các nhà nghiên cứu an ninh tại Princeton University, Karlstad University và KTH Royal Institute of Technology đã phát minh ra hai kỹ thuật tấn có liên quan deanonymize người dùng Tor.

Trong khi việc sử dụng Tor tạo thành một lợi riêng tư đáng kể so với các trình duyệt web off-the-shelf, đó là không có thuốc chữa bách bệnh, và các dự án Tor đã báo trước về những hạn chế của nó. Những hạn chế này không phải là tin tức đối với cộng đồng nghiên cứu. Nó cũng được hiểu rằng mạng ẩn danh có độ trễ thấp như Tor không thể bảo vệ chống lại cái gọi là đối thủ bị động toàn cầu. Chúng tôi xác định kẻ thù như những người có khả năng giám sát cả lưu lượng ra vào trong hệ thống mạng. “Phillip Winter, một nhà nghiên cứu tại Đại học Princeton nói.

Các kỹ thuật này được các nhà nghiên cứu gọi là Defec Tor, nó tận dụng trên quan sát lưu lượng DNS từ Tor exit replay, vì lý do này nó có thể là phương pháp để tích hợp các chiến lược tấn công hiện có.

Chúng tôi thấy làm thế nào một kẻ tấn công có thể sử dụng DNS request để gắn kết các cuộc tấn công trang web của fingerprinting chính xác cao: Lập bản đồ lưu lượng DNS để trang web này là chính xác cao ngay cả với kỹ thuật đơn giản, mối liên quan giữa việc quan sát trang web với một fingerprinting web fingerprinting cải thiện đáng kể độ chính xác khi quan sát các trang web tương đối phổ biến . ”  phân tích được công bố bởi các nhà nghiên cứu.

DefecTor – Deanonymizing Tor users with the analysis of DNS traffic from Tor exit relays

Kết quả của chúng tôi cho thấy rằng DNS request từ Tor exit relays đi qua nhiều hệ thống tự trị không đi qua lưu lượng web. Chúng tôi cũng thấy rằng một bộ exit relays, vào những thời điểm có đến 40% băng thông lối ra của Tor – sử dụng máy chủ DNS công cộng của Google, một con số cao đáng báo động cho một tổ chức đơn giản. Chúng tôi tin rằng việc vận hành Tor relay cần phải thực hiện các bước để đảm bảo rằng mạng duy trì sự đa dạng hơn về cách các exit replay trong việc phân giải DNS.

Các kết quả thử nghiệm thu được với các kỹ thuật Defec Tor là tuyệt vời, dù sao chúng tôi phải xem xét rằng request tấn công như vậy là một nỗ lực đáng kể thường được dùng tấn công lâu dài như các cơ quan chính phủ. Mô phỏng của các cuộc tấn công được thực hiện bởi các nhà nghiên cứu cho phép họ xác định phần lớn các khách truy cập vào trang web không được ưa chuộng.

Các chuyên gia nhấn mạnh rằng Google đã quan sát gần 40% của tất cả các yêu cầu DNS thoát khỏi mạng Tor, đây là điểm để kẻ tấn công giám sát. Google cũng có thể theo dõi một số trafic đi vào mạng Tor, các chuyên gia báo cáo như là một ví dụ về traffic qua Google Fiber hoặc thông qua relays được bảo vệ, thỉnh thoảng chạy trong đám mây của Google.

Ngoài ra, Google có thể giám sát một số traffic lối vào mạng Tor: ví dụ, thông qua Google Fiber, thông qua relays bảo vệ mà thỉnh thoảng đang chạy trong đám mây của Google, và trước đây thông qua công cụ ứng dụng khiêm tốn mà bây giờ không còn tồn tại, “Winter giải thích.

Các chuyên gia cũng nhận xét rằng các yêu cầu DNS có thể được sử dụng để có được thông tin quý giá khác về traffic của người sử dụng Tor, họ đi qua các hệ thống tự trị và trao đổi Internet.

Đối tượng trên mạng Internet như các ISP, các hệ thống tự trị hoặc các điểm trao đổi Internet có thể giám sát một số lưu lượng DNS nhưng không truy cập lưu lượng web thoát khỏi mạng Tor có khả năng sử dụng lưu lượng DNS để deanonymize người dùng Tor.” Winter nói. “Các nghiên cứu sự liên quan traffic trước đây đã tập trung việc liên kết các TCP stream vào mạng Tor với việc thoát khỏi mạng này. Chúng tôi thấy rằng một kẻ thù cũng có thể liên kết các lưu lượng DNS liên quan, có thể được tiếp xúc với nhiều hệ thống tự trị nhiều hơn các TCP stream.

Các nhà nghiên cứu cũng đã phát triển một công cụ có tên “DNS Delegation Path Traceroute” (dptr) – chạy traceroutes UDP cho tất cả các máy chủ DNS để xác định đường đi, có thể so sánh với traceroute TCP đến máy chủ web đằng sau những tên miền đầy đủ đi kèm.

Ở chiều ngược lại, các chuyên gia từ Tor Project đã làm việc trên một loạt các cải tiến đáng kể cho các mạng ẩn danh phổ biến. Vào tháng 3 Tor Project tiết lộ việc cải thiện khả năng phát hiện phần mềm lừa đảo, việc này tiến hành trong 3 năm.

Trong khi các nhà phát triển Tor đã thực hiện các kỹ thuật để làm khó khăn hơn trong fingerprinting trang web mạng này, thì có những hành động khác mà có thể được thực hiện để ngăn chặn các cuộc tấn công Defec Tor, chẳng hạn như làm đa dạng Tor replay để duy trì sự đa dạng nhiều hơn đến việc relays lối ra trong việc phân giải các DNS. Các chuyên gia mời các cộng đồng an ninh để xem xét viết của họ, để biết thêm thông tin truy cập vào trang dự án Defec Tor.