Forscher demonstrieren neuen Fingerprinting-Angriff auf verschlüsselten Tor-Verkehr

  • Eine neue Analyse von Website-Fingerprinting (WF)-Angriffen, die auf den Tor-Webbrowser abzielen, hat ergeben, dass es für einen Angreifer möglich ist, eine von einem Opfer besuchte Website ausfindig zu machen, aber nur in Szenarien, in denen der Bedrohungsakteur an einer bestimmten Untergruppe der von Benutzern besuchten Websites interessiert ist.

    “Während Angriffe bei der Überwachung einer kleinen Gruppe von fünf beliebten Websites eine Genauigkeit von 95 % überschreiten können, erreichen wahllose (nicht zielgerichtete) Angriffe auf Gruppen von 25 bzw. 100 Websites nur eine Genauigkeit von 80 % bzw. 60 %”, so die Forscher Giovanni Cherubin, Rob Jansen und Carmela Troncoso in einem kürzlich veröffentlichten Papier.

    [Blocked Image: https://thehackernews.com/images/-_qK1yHVo__w/YVHUUsSpIGI/AAAAAAAA4aY/cbPcuH6NoWs085FCBPnEubY4Xg4ehW0nwCLcBGAsYHQ/s728-e100/rewind-3-728.png]

    Der Tor-Browser bietet seinen Nutzern eine “unverknüpfbare Kommunikation”, indem er den Internetverkehr durch ein Overlay-Netzwerk leitet, das aus mehr als sechstausend Relays besteht, mit dem Ziel, den Ursprungsort und die Nutzung vor Dritten zu anonymisieren, die eine Netzwerküberwachung oder Verkehrsanalyse durchführen. Dies wird erreicht, indem ein Kreislauf aufgebaut wird, der ein Eingangs-, ein Mittel- und ein Ausgangsrelais durchläuft, bevor die Anfragen an die Ziel-IP-Adressen weitergeleitet werden.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEjS9exoDCmICCF7tlt3hlysoEvCb5QmAAPb1wdzb-vUb7vwYv818Lf94eobBiFx73flYM0hXzYKpkXO2a1Eb-a73mRszx-GZ1-KTSZeBnaMUuCcjDCpM4wHBUMT8tjbhbq4e6Vts-5Jq6zVcRCYdAhRCVMzUqZ4M8cXRANY0HWjn2B8HK5q53n1e8eH=s728-e1000]

    Darüber hinaus werden die Anfragen für jeden Server einmal verschlüsselt, um eine Analyse zu erschweren und Informationsverluste zu vermeiden. Während die Tor-Klienten selbst nicht anonym sind, weil der Datenverkehr verschlüsselt ist und die Anfragen mehrere Hops durchlaufen, können die Eingangsknoten das Ziel der Klienten nicht identifizieren, genauso wie die Ausgangsknoten einen Klienten aus dem gleichen Grund nicht erkennen können.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEi8ufPcPYW7KXI-L9dRKYbtisx_6qZ_U-PLo4RNODp8lrf0QU5_Gg03MSWR8S9nJtNaG1IpgUi2WWAHmcXpONSmQaGRdfDApdfgitWGPhdL2xF0cZv3WhKN614EE6p4uaTtSZo32HnTxagp6n6SDw0Gx11glZ5q-DMGb_joGG2POhSLdh77sbnoNNLX=s728-e1000]

    Die Angriffe auf Tor zielen darauf ab, den Anonymitätsschutz zu brechen und einem Angreifer, der den verschlüsselten Datenverkehr zwischen einem Opfer und dem Tor-Netzwerk beobachtet, zu ermöglichen, die vom Opfer besuchte Website vorherzusagen. Das von den Wissenschaftlern entwickelte Bedrohungsmodell geht davon aus, dass ein Angreifer einen Exit-Node betreibt – um die Vielfalt des von echten Nutzern erzeugten Datenverkehrs zu erfassen -, der dann als Quelle zum Sammeln von Tor-Verkehrsspuren und zur Entwicklung eines auf maschinellem Lernen basierenden Klassifizierungsmodells auf der Grundlage der gesammelten Informationen verwendet wird, um auf die Website-Besuche der Nutzer zu schließen.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Das gegnerische Modell beinhaltet eine “Online-Trainingsphase, die Beobachtungen von echtem Tor-Verkehr verwendet, der von einem Exit-Relais (oder mehreren Relais) gesammelt wurde, um das Klassifizierungsmodell im Laufe der Zeit zu aktualisieren”, erklärten die Forscher, die im Juli 2020 eine Woche lang Eingangs- und Ausgangs-Relais betrieben und eine angepasste Version von Tor v0.4.3.5 verwendeten, um die relevanten Ausgangsinformationen zu extrahieren.

    Um alle ethischen und datenschutzrechtlichen Bedenken, die sich aus der Studie ergeben, zu entkräften, betonten die Autoren der Studie die Sicherheitsvorkehrungen, die getroffen wurden, um zu verhindern, dass sensible Websites, die Nutzer über den Tor-Browser besuchen, offengelegt werden.

    “Die Ergebnisse unserer realen Auswertung zeigen, dass WF-Angriffe nur dann erfolgreich sein können, wenn der Angreifer darauf abzielt, Webseiten innerhalb einer kleinen Gruppe zu identifizieren”, so die Forscher. “Mit anderen Worten: Ungezielte Angriffe, die darauf abzielen, die Website-Besuche der Benutzer zu überwachen, werden scheitern, aber gezielte Angriffe, die auf eine bestimmte Client-Konfiguration und Website abzielen, können erfolgreich sein.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com