Введение | Tor | Tarzan и MorphMix | Малозатратная атака | Малозатратная атака на Tarzan и Morphmix | Принципы построения безопасных систем (заключение)
Для успешной малозатратной атаки должны выполнятся два основных условия. Первое, вредоносный узел должен знать все другие узлы сети. Без этого рассматриваемая атака невозможна. Второе, возникающие задержки должны характеризовать объем передаваемого узлом трафика.
Исходя из результатов исследования, мы сделали следующие выводы. Малозатратная атака может быть устранена одним из двух способов:
Взяв на вооружение любой из этих приемов, можно построить безопасную систему с малыми задержками, способную противостоять малозатратной атаке.
Отметим, что все на что опираются в своей работе Мердоч и Данезис (Murdoch & Danezis 2005) рушится при использовании второго способа. Однако, как они отметили, определить нужный объем покрывающего трафика — это трудная задача. Не важно, в любом случае, атаку можно предотвратить с помощью первого способа.
Использование второго способа может значительно повысить анонимность, которую обеспечивает сеть, но для систем с малы задержками его сложно применить.
Это связано с основным требованием к системе — минимизировать задержки. Уменьшение задержек до приемлемого уровня приводит к тому, что передаточный узел не может перемешивать или делать свои входящие и исходящие потоки неразличимыми. Это дает нападающему зацепку, чтобы в конце концов сломать анонимность создаваемую системой. Однако, использование в анонимизирущем туннеле нескольких передаточных узлов значительно усложняет атаку, и приводит к тому что нападающий должен иметь возможность контролировать все узлы сети или все связи между узлами. Т.е. быть “глобальным наблюдателем”.
Разработать анонимизирующую систему
Системы, подобные Tor, утверждают что они способны противостоять описанному выше нападающему. Однако, они не предусмотрели вариант атаки которую можно провести и без глобального наблюдателя. Стремясь соответствовать временнЫм ограничениям и отказываясь от покрывающего трафика, Tor стал уязвим перед малозатратной атакой, которая укладывается в используемую слабую модель угроз. Эта модель должна быть расширена.
Наше исследование показало, что атака применима к системам с малыми задержками которые позволяют узлу получить список всех других узлов сети. В противном случае, если это условие не выполняется, слабая модель угроз остается приемлемой.
Следовательно, если при разработке анонимизирущей системы используется слабая модель угроз, нужно это учитывать. Каждый узел должен иметь возможность получить список только своих соседей, но не список всех узлов сети.
Исходя из вышесказанного, приходим к выводу что для анонимизирующих систем лучше использовать peer-to-peer архитектуру, а не выделенные сервера. Это связано с тем что в peer-to-peer сетях большое количество узлов. Даже если нападающему удастся получить список всех узлов сети, он скорее всего будет уже устаревшим, т.к. трудно обнаружить все узлы за короткое время.
В данной статье мы исследовали одну из атак на анонимные сети связи с малыми задержками, которая называется малозатратная атака анализа трафика. Эта атака очень важна, потому что ей подвержены системы подобные Tor, системы при разработке которых основывались на слабой модели угроз. Мы показали в каких случаях атака не будет работать. Так же, мы выявили несколько важных свойств которыми должна обладать система чтобы противостоять подобным атакам.
Для успешной малозатратной атаки должны выполнятся два основных условия. Первое, вредоносный узел должен знать все другие узлы сети. Без этого рассматриваемая атака невозможна. Второе, возникающие задержки должны характеризовать объем передаваемого узлом трафика.
Исходя из результатов исследования, мы сделали следующие выводы. Малозатратная атака может быть устранена одним из двух способов:
- Сделать невозможным получение информации обо всех узлах сети.
- Добавить покрывающий трафик (cover traffic) таким образом чтобы характерные особенности отдельных потоков были нивелированы.
Взяв на вооружение любой из этих приемов, можно построить безопасную систему с малыми задержками, способную противостоять малозатратной атаке.
Отметим, что все на что опираются в своей работе Мердоч и Данезис (Murdoch & Danezis 2005) рушится при использовании второго способа. Однако, как они отметили, определить нужный объем покрывающего трафика — это трудная задача. Не важно, в любом случае, атаку можно предотвратить с помощью первого способа.
Дальнейшее обсуждение
Использование второго способа может значительно повысить анонимность, которую обеспечивает сеть, но для систем с малы задержками его сложно применить.
Это связано с основным требованием к системе — минимизировать задержки. Уменьшение задержек до приемлемого уровня приводит к тому, что передаточный узел не может перемешивать или делать свои входящие и исходящие потоки неразличимыми. Это дает нападающему зацепку, чтобы в конце концов сломать анонимность создаваемую системой. Однако, использование в анонимизирущем туннеле нескольких передаточных узлов значительно усложняет атаку, и приводит к тому что нападающий должен иметь возможность контролировать все узлы сети или все связи между узлами. Т.е. быть “глобальным наблюдателем”.
Разработать анонимизирующую систему
- способную противостоять глобальному наблюдателю
- и при этом минимизирующую задержки до приемлемого уровня
Системы, подобные Tor, утверждают что они способны противостоять описанному выше нападающему. Однако, они не предусмотрели вариант атаки которую можно провести и без глобального наблюдателя. Стремясь соответствовать временнЫм ограничениям и отказываясь от покрывающего трафика, Tor стал уязвим перед малозатратной атакой, которая укладывается в используемую слабую модель угроз. Эта модель должна быть расширена.
Наше исследование показало, что атака применима к системам с малыми задержками которые позволяют узлу получить список всех других узлов сети. В противном случае, если это условие не выполняется, слабая модель угроз остается приемлемой.
Следовательно, если при разработке анонимизирущей системы используется слабая модель угроз, нужно это учитывать. Каждый узел должен иметь возможность получить список только своих соседей, но не список всех узлов сети.
Исходя из вышесказанного, приходим к выводу что для анонимизирующих систем лучше использовать peer-to-peer архитектуру, а не выделенные сервера. Это связано с тем что в peer-to-peer сетях большое количество узлов. Даже если нападающему удастся получить список всех узлов сети, он скорее всего будет уже устаревшим, т.к. трудно обнаружить все узлы за короткое время.
Заключение
В данной статье мы исследовали одну из атак на анонимные сети связи с малыми задержками, которая называется малозатратная атака анализа трафика. Эта атака очень важна, потому что ей подвержены системы подобные Tor, системы при разработке которых основывались на слабой модели угроз. Мы показали в каких случаях атака не будет работать. Так же, мы выявили несколько важных свойств которыми должна обладать система чтобы противостоять подобным атакам.
