Тайминг-атаки на даркнет

Сталкиваясь с киберпреступностью, оперативникам часто приходится тратить месяцы, а иногда и годы, чтобы поймать хотя бы одного из них. Среди немногочисленного арсенала, имеющегося у спецслужб, один из инструментов не требует больших затрат для проведения атак. Единственными необходимыми вещами для проведения атаки являются контролируемыми и время.

Представьте только: подозреваемый наркодиллер заходит в свой онлайн-магазин на Гидру в даркнете используя Tor-браузер. Он не пользуется мессенджерами, предпочитая вести общение непосредственно на наркопортале. Как его вычислить?

В 2005 году Мёрдоч и Данезис описали уязвимость Tor-сети перед атаками на временные задержки. Основная цель данной атаки заключается в определении используемых для конкретной цепочки Tor-серверов.

Суть атаки заключается в том, что любая система с малой задержкой не может вносить в поток данных дополнительные временные задержки. Это приводит к тому, что все пакеты в этой сети имеют одинаковые паттерны относительно времени, то есть их характеристики одинаковы. Данная атака не стала бы возможна для проведения, если ьы разработчики Tor учли вероятность появления пассивного наблюдателя в сети.

Имея один подконтрольный Tor-сервер , атакующий может произвести оценку задержек между собой и всеми остальными узлами сети. Знание количественных значений задержек позволяет произвести оценку объёма передаваемого трафика каждым узлом сети в каждый момент времени. Имея данные распределения объёмов трафика по времени во всей сети, можно построить достаточно качественную модель, в которой отображается передача данных между Tor-серверами с одинаковыми паттернами времени.

Стоит упомянуть, что особенности Tor-сети способствуют проведению данной атаки. Каждый Tor-сервер назначает выделенный буфер дял обработки каждого непосредственного поджключения. Обработка всех потоков данных в буферах производится по алгоритму Round Robin Fashion. При отсутствии данных в буфере, его обработки игнорируется и происходит обработка очередного буфера. Ключевым моментом в этой процедуре является отсутствие смешивания буферов, убранное разработчиками для повышения скорости обработки. В результате при установлении нового соединения, удалении существующего или изменении трафика в уже установленном соединении изменяется сетевая нагрузка на конкретный Tor-сервер. Это изменение влияет на скорость передачи данных другим Tor-серверам, с которыми уже установлено соединение или которые пытаются подключиться к данному узлу.

Из всего вышесказанного делается вывод, что узлы в одной цепочке будут кореллировать в нагрузке относительно рассматриваемого временного интервала. При этом, модель не может гарантировать стопроцентное совпадение. К примеру, временные задержки, вызванные внутренними нагрузками на центральный процессор Tor-сервера никак не учитываются в модели атаки, тем самым снижая точность предсказания.

Данная атака будет иметь почти стопроцентный успех, если подозреваемый пользователь подключится к контролируемому Tor-серверу. В таком случае, у атакующего появляется возможность самостоятельно вносить контролируемые временные задержки, упрощая задачу определения цепочки передачи данных. В этом случае, способность анонимизации скомпрометированной цепочки падает до уровня обыкновенно proxy-сервера и не представляет проблем для проведения оперативно-розыскных мероприятий.