本文来自微信公众号“GoUpSec”。
Tor是一种流行的隐私工具和暗网浏览器,通过将用户的互联网流量在全球多个计算机节点(即"中继")之间反复转发,使得外界难以追踪到流量的来源。
十年前得益于斯诺登的大力推荐,Tor迅速成为活动人士、记者等职业人士青睐的隐私工具。然而,正是这种匿名性也让Tor成为网络犯罪分子青睐的平台,他们通过Tor进行(暗网)非法市场交易并逃避执法部门的追踪。
近日,德国执法部门成功锁定Tor网络用户身份的报道引发了广泛的关注和讨论。
德国执法部门通过时序分析攻击破获“Boystown”案件
根据德国媒体《Panorama》联合混沌计算机俱乐部(Chaos Computer Club,简称CCC)的调查报告披露,德国执法部门通过运行大量Tor节点并运用时序分析攻击技术,成功破获了儿童色情平台“Boystown”的案件。根据法院文件,执法部门多年来通过控制Tor节点,利用流量进入和离开网络的时间差异来确定目标用户的身份,从而成功进行逮捕。
时序攻击,又称计时攻击,是一种通过分析加密算法或敏感操作执行时间差异来推导出机密信息的攻击方式。在密码学中,这种攻击方式尤为有效,因为每个逻辑运算在计算机上执行都需要时间,而根据输入的不同,执行时间也会有所差异。攻击者正是利用这一特点,通过精确测量执行时间来反推出密码或其他敏感数据。
时间分析攻击最大优点是并不依赖软件漏洞,而是通过观察数据流动的时间点来实现去匿名化。如果攻击者控制了部分Tor节点或监视了进入和退出网络的节点,就可以通过比较数据流动的时间来跟踪回某个特定的用户。
Tor的回应与改进措施
面对这一报道,Tor项目团队表示,他们并未获得相关法院文件,无法进一步分析这些安全假设,但仍根据已有的信息向用户发布声明。Tor团队指出,这些攻击发生在2019年至2021年之间,自那时以来,Tor网络规模大幅扩大,时序分析攻击的难度也随之增加。此外,Tor团队还提到,过去几年他们对不良中继进行了广泛清理,进一步减少了网络集中化的问题。
关于报告中提到的匿名即时通讯应用Ricochet,Tor团队指出,攻击所针对的用户使用的是一个已于2022年6月停用的旧版本。新的Ricochet-Refresh版本则增加了针对时间分析和入口节点发现攻击的保护措施。