Защита веб-браузера: защита сети Tor

Существует больше, чем инструменты шифрования 865 которые используются во всем мире, и затрагивают различные аспекты общей проблемы. Люди хотят защитить информацию: жесткие диски от репрессивных правительств, физическое местоположение от сталкеров, просмотр истории из чрезмерно любопытных корпораций или телефонных разговоров от носовых соседей. Все они полагаются на криптографию, тонкое ремесло, которое, когда оно сделано правильно, обеспечивает безопасную связь, несмотря на усилия snoopers.

Тем не менее, плохая криптография может открывать щели безопасности, судьба, которая постигла многих популярный системы, Но без технических знаний и опыта пользователи не могут знать разницу между хорошими и плохими инструментами, пока не стало слишком поздно.

Один из самых популярных криптографических инструментов - с два миллиона ежедневных пользователей - является Tor, сеть для анонимного просмотра Интернета. Он опирается на большую группу добровольцев, некоторые из которых анонимны, что может вызвать вопросы о доверии системе. Если у опытных пользователей и разработчиков были инструменты для обнаружения подозрительного поведения, они могли бы устранить проблемы, повысить надежность и надежность для всех.

Понимание Tor

Люди используют Tor по самым разным причинам: исследовать болезни, защищать себя от домашнего насилия, не допускать, чтобы компании профилировали их или обходили цензуру по всей стране, просто чтобы назвать несколько. Tor делает это, развязывая личность пользователя от своей онлайн-активности. Например, когда Tor используется, такие сайты, как Facebook, не могут узнать, где физически находится пользователь, а компании-поставщики услуг Интернета не могут узнать, какие сайты посещает клиент.

Система работает путем подключения пользователя к предполагаемому веб-сайту по последовательности зашифрованных соединений через компьютеры, которые подписываются для участия в сети. Первый компьютер в последовательности реле, называемый «охранник входа», знает сетевой адрес пользователя, поскольку он принимает входящий трафик. Но поскольку содержимое зашифровано, этот компьютер не знает, что пользователь делает в Интернете.


графика подписки внутри себя


Второй компьютер в цепочке не знает, где находится пользователь, и просто передает по трафику так называемое «реле выхода». Этот компьютер расшифровывает интернет-активность пользователя и обменивается данными с незашифрованным Интернетом. Реле выхода знает, что пользователь делает в Интернете, но не может легко определить, кто это делает.

Когда выходное реле получает информацию из Интернета, оно шифрует его и отправляет обратно в предыдущую ссылку в цепочке. Каждая ссылка делает то же самое, пока исходный компьютер не получит и не расшифрует данные, показывая их для пользователя.

tor2 5 29Структура сети Tor. Пользователи Tor случайно выбирают три реле, которые перенаправляют сетевой трафик между клиентом и сервером - например, Facebook. В то время как Tor внутренне шифрует сетевой трафик (см. Сплошную зеленую линию), важно понимать, что Tor не может больше шифровать сетевой трафик, когда он покидает сеть Tor (см. Пунктирную красную линию). Филипп Зима

Большинство людей используют сеть Tor через Tor Browser, Это модифицированная версия популярного веб-браузера Firefox с дополнительными функциями для защиты конфиденциальности пользователей. К ним относятся настраиваемые уровни безопасности и надстройки, такие как HTTPS-Everywhere (когда можно использовать безопасные веб-соединения) и NoScript (чтобы смягчить некоторые недостатки JavaScript, среди прочего). Кроме того, Tor Browser реализует методы, чтобы затруднить отслеживание людей в Интернете, Например, он отключает Flash и использует только несколько шрифтов, что предотвращает определение пользователей на основе установленных ими шрифтов.

Доверяя код

Программное обеспечение Tor разрабатывается и распространяется некоммерческой организацией проект Tor, Люди используют Tor бесплатно; финансирование исходит от сторонников, таких как лица, компании, некоммерческие организации и правительства, Чувствительно к опасениям, что крупные спонсоры могут заставить общественность беспокоиться о том, кто на самом деле находится под контролем, организация работает над улучшением своей финансовой независимости: недавно ее первая Рекламная кампания выросла более чем на $ 200,000.

Кроме того, Tor Project был откровенен в отношении своей приверженности конфиденциальности, включая поддержку решения Apple не помогать ФБР в зашифрованном iPhone, создавая умышленную слабость в программном обеспечении шифрования, которое часто называют «бэкдором». Проект Tor заявил:Мы никогда не будем закрывать наше программное обеспечение."

Технически говоря, пользователи могут решить, следует ли доверять системе Tor, проверяя ее независимо. Исходный код в свободном доступе, и проект Tor поощряет людей проверять все строки ~ 200,000. недавно созданная программа багета ошибок должен поощрять разработчиков и исследователей выявлять проблемы безопасности и сообщать о них разработчикам проектов.

Однако большинство людей не создают собственные исполняемые программы из исходного кода. Скорее, они используют программы, предоставляемые разработчиками. Как мы можем оценить их надежность? Программные выпуски Tor's подписаны с официальными криптографическими сигнатурами и могут быть загружены через зашифрованные и аутентифицированные подключения, чтобы гарантировать, что пользователи загрузили подлинное программное обеспечение Tor, которое не было изменено злоумышленниками.

Кроме того, Tor недавно сделал "воспроизводимые сборки«Возможно, что позволяет волонтерам проверять, что исполняемые программы, распространяемые Tor, не были подделаны. Это может гарантировать пользователям, что, например, компьютеры Tor Project, которые создают исполняемые программы, не подвергаются риску.

Доверяя сети

Хотя программное обеспечение разработано Tor Project, сеть управляется добровольцами по всему миру, вместе Ретрансляторы 7,000 по состоянию на май 2016.

Некоторые организации публиковать то, что они управляют одним или несколькими реле, но многие управляются отдельными операторами, которые не объявляют об их участии. По состоянию на май 2016 более трети реле Tor не имеют возможности связаться с оператором.

Трудно доверять сети с таким количеством неизвестных участников. Как и в кафе с открытыми точками Wi-Fi, злоумышленники могут перехватывать сетевой трафик по воздуху или запуск выходных реле и отслеживание на пользователях Tor.

Поиск и удаление плохих актеров

Чтобы защитить пользователей Tor от этих проблем, мы с моей командой разрабатываем два бесплатных программного обеспечения - exitmap и sybilhunter - которые позволяют Tor Project идентифицировать и блокировать «плохие» реле. Такие плохие реле могут, например, использовать устаревшее программное обеспечение Tor relay, перенаправить сетевой трафик некорректно или злонамеренно попытаться украсть пароли пользователей Tor.

Exitmap тестирует выходные реле, тысячи или около того компьютеров, которые перекрывают разрыв между сетью Tor и остальной частью Интернета. Он делает это, сравнивая операции всех реле. Например, тестер мог напрямую получить доступ к Facebook - без Tor - и записать цифровую подпись, которую использует сайт, чтобы гарантировать пользователям, что они фактически разговаривают с Facebook. Затем, выполнив exitmap, тестер свяжется с Facebook через каждый из тысяч выходов Tor, снова записывая цифровую подпись. Для любых реле Tor, которые предоставляют подпись, отличную от той, которая была отправлена ​​непосредственно из Facebook, exitmap вызывает предупреждение.

Наш другой инструмент, sybilhunter, ищет комплекты реле, которые могут находиться под контролем одного человека, например человека, который может использовать свои реле для запуска атаки. Среди прочего, sybilhunter может создавать изображения, которые иллюстрируют, когда Tor-реле соединяются и покидают сеть. Реле, которые соединяются и уходят в одно и то же время, могут контролироваться одним человеком.

tor3 5 29Визуализация времени безотказной работы некоторых реле Tor для части 2014 января. Каждая строка пикселей составляет один час, в то время как каждый столбец пикселей представляет собой одно реле. Черный пиксель означает, что реле было в сети, а белый пиксель означает, что реле было отключено. Красные блоки выделяют высококоррелированные реле, которыми может управлять один и тот же человек. Филипп Зима

Наше исследование выявило широкий спектр ошибочных реле. Некоторые пытались украсть учетную информацию пользователей для популярных сайтов, таких как Facebook. Не менее распространенными были реле, которые подлежали по всей стране системы цензуры, блокирование доступа к определенным типам веб-сайтов, таких как порнография. Хотя сами ретрансляционные операторы не изменяют результаты, это противоречит философии сети Tor, что ее использование не должно включать фильтрацию контента. Мы обнаружили несколько реле выхода, которые пытались украсть деньги пользователей Tor, вмешавшись в транзакции виртуальной валюты Bitcoin.

Важно правильно рассмотреть эти результаты. В то время как некоторые нападения действительно проявлялись в отношении, ошибочные реле находятся в ясном меньшинстве и не часто встречаются пользователями Tor. Даже если случайно выбранное выходное реле пользователя оказывается вредоносным, другие функции безопасности в браузере Tor, такие как ранее упоминавшийся HTTPS-Everywhere, действуют как меры предосторожности для минимизации вреда.

Об авторе

Филипп Винтер, научный сотрудник по информатике, Принстонский университет

Эта статья изначально была опубликована в Беседа, Прочтите оригинал статьи.

Книги по этой теме

at Внутренний рынок самовыражения и Amazon