Мережеві зловмисники становлять значну загрозу безпеці та надійності мережі. Ці зловмисники — це ті, хто запускає або скомпрометує ретрансляцію в мережі або маніпулює трафіком, щоб використовувати слабкі місця в протоколі Tor. Їх метою може бути деанонімізація користувачів, зниження продуктивності мережі або шкода репутації Tor.

Як мережеві зловмисники атакують Tor

Зображення, на якому показано розташування несправних ретрансляторів у мережі Tor

Мережеві зловмисники можуть здійснювати різноманітні атаки, які загалом можна розділити на три великі категорії: запуск зловмисних ретрансляторів, які ставлять під загрозу безпеку користувачів, маніпулювання протоколом Tor для витоку інформації та виконання атак на відмову в обслуговуванні (DoS).

1. Запуск шкідливих ретрансляторів

Мережеві зловмисники часто запускають ретранслятори, які налаштовані таким чином, щоб певним чином завдати шкоди мережі або користувачам. Шкідливі ретранслятори можуть бути призначені для:

  • Стежте за трафіком, що проходить через них.
  • Порушити зв'язок між користувачами Tor і мережею.
  • Збирайте дані, які можна використовувати для деанонімізації користувачів.

Шкідливі ретранслятори також можуть бути навмисно неправильно налаштовані, щоб створити вразливі місця в мережі. Ці ретранслятори можуть не відповідати належному протоколу, що призводить до трафіку, через який відбувається витік інформації, що полегшує відстеження користувачів.

Зловмисник може керувати зловмисним вихідним реле — кінцевим вузлом, де трафік виходить із мережі Tor і досягає відкритого Інтернету — навмисно розроблений для викрадення конфіденційних даних, таких як криптовалюти, викрадення онлайн-акаунтів, реєстрації активності користувачів або використання вразливостей у протоколі Tor. Це дозволяє зловмиснику перехоплювати та маніпулювати трафіком, створюючи значні ризики для користувачів, які покладаються на Tor для безпечного анонімного перегляду.

Tor активно працює над виявленням і видаленням цих ретрансляторів, але зловмисники часто намагаються обійти виявлення приховуючи справжню природу своїх ретрансляторів, наприклад, брешучи про ключові властивості ретрансляторів або зриваючи спроби сканування Tor.

2. Використання витоку інформації

Хоча протокол Tor розроблений для захисту анонімності користувачів, він має відомі витоки інформації або "бічні канали", яким можуть скористатися зловмисники. Мережевий противник, який працює з ретрансляторами, може скористатися цими витоками, щоб:

  • Деанонімізація користувачів безпосередньо шляхом кореляції моделей трафіку між точками входу та виходу мережі Tor.
  • Допомагайте іншим спробам деанонімізації, надаючи додаткові дані, які полегшують підтвердження того, який трафік належить конкретному користувачу.

Ці витоки інформації детально описано в Пропозиції 344, де висвітлюється тяжкість кожного з них. Хоча не всі потребують запущених ретрансляторів для використання, мережеві зловмисники, які керують ретрансляціями, мають кращу позицію, щоб бачити більше трафіку та виконувати аналіз трафіку, що робить їхні атаки ефективнішими.

3. Атаки на відмову в обслуговуванні (DoS)

Зловмисники мережі також можуть використовувати DoS-атаки, щоб знизити продуктивність мережі Tor, зробивши її повільною або ненадійною. Ці атаки можуть:

  • Використовуйте вразливості в протоколі Tor, щоб генерувати великі обсяги трафіку, перевантажуючи мережу.
  • Використовуйте зовнішні служби, щоб переповнювати мережу трафіком, викликаючи перевантаження.

Мета DoS-атаки часто полягає в тому, щоб перешкодити користувачам використовувати Tor, зробивши його настільки повільним або непридатним для використання, що вони переходять на менш безпечні альтернативи. Атака DoS може також розчарувати волонтерів, які запускають ретранслятори, потенційно призводячи до вимкнення ретрансляторів, що послаблює мережу та робить її більш вразливою для подальших атак.

Наявність зловмисних або неправильно налаштованих ретрансляторів разом із можливістю DoS-атак може серйозно підірвати безпеку, надійність і репутацію Tor. Якщо користувачі сприймають мережу як небезпечну або повільну, вони можуть припинити її використання, зменшуючи загальну анонімність мережі (оскільки більше користувачів ускладнює відстеження окремого трафіку).

Оскільки проект Tor покладається на волонтерів для ретрансляції та зовнішнього фінансування, часті атаки можуть збентежити операторів і вплинути на фінансування, що є критичним для підтримки роботи мережі.

Хоча Tor має системи для виявлення та видалення цих загроз, зловмисники постійно вдосконалюють свою тактику, щоб уникнути виявлення та послабити мережу. Глибше розуміння цих загроз і постійна пильність необхідні для підтримки безпеки та зручності використання мережі Tor.