¿Es esta una defensa viable contra los ataques de correlación?

1

Entonces, supongo que la mayoría de ustedes sabe que la verdadera identidad se puede revelar si alguien controla la entrada y el nodo de salida de su conexión Tor.

Digamos que me estoy conectando primero a un servidor VPN cifrado que no mantiene registros y luego a la red Tor, luego mi identidad debería estar a salvo de un ataque de correlación básico. Sin embargo, si alguien con mucho poder (p. Ej., El gobierno) me está espiando, puede solicitar los registros de mi ISP y ver que estoy conectado a un servidor VPN específico (lo cual es irrelevante ya que no tienen registros) y cuánto ancho de banda que solicité a qué hora exacta. En teoría, esto significa que el gobierno aún podría realizar un ataque de correlación mientras ignora mi servidor VPN combinando los registros del ISP y el tiempo / ancho de banda utilizado desde el nodo de salida.

Pero, ¿y si tuviera un ruido inconsistente de flujo de datos combinado con mi navegación sobre Tor? Digamos que cargo inconsistentemente un video de 144px de YouTube en mi Firefox a través de mi VPN mientras navego por el navegador Tor. Mi ISP vería que los tiempos de los datos eran semicontenidos y verían el ancho de banda del video + el ancho de banda del Tor. Sin embargo, no pudieron distinguir uno de otro, lo que haría un ataque de correlación básicamente imposible.

¿Es correcto o me falta algo importante?

    
pregunta Marco Peeters 25.09.2018 - 00:11
fuente

2 respuestas

1

Esto no le proporciona muchos beneficios.

A lo que te refieres se le llama multiplexing , que es el acto de enviar múltiples señales discretas a través de un solo canal de datos. Desafortunadamente, no proporciona mucha protección contra los ataques de correlación de tráfico realizados por un adversario pasivo global. La razón es que cada conexión individual tendrá una huella digital de tráfico diferente. Por ejemplo, Tor utiliza paquetes de 514 bytes llamados celdas, mientras que una VPN no lo hace, lo que hace posible identificar el tráfico de Tor y el tráfico que no es de Tor, incluso cuando ambos se están pasando por una VPN. Lo mismo se aplica a diferentes tipos de sitios web. Y la transmisión de tráfico en YouTube no disimulará otra carga de carga de una página HTML, ya que el comportamiento del almacenamiento en búfer en los sitios de transmisión se puede distinguir de forma trivial del comportamiento de una página web que se está cargando.

Por más sombrío que pueda parecer, en realidad no es tan malo. Si bien tratar de enmascarar el tráfico intencionalmente mediante el uso de conexiones superpuestas puede no ser particularmente efectivo, simplemente navegar por múltiples sitios en múltiples pestañas puede en realidad Disminuye la precisión de los ataques de huellas digitales existentes en el sitio web. Esto funciona porque la mayoría de los algoritmos de toma de huellas dactilares de sitios web se basan en la suposición de que las conexiones posteriores se encuentran en el mismo destino. Cuando se rompe esa suposición, la precisión de clasificación sufre.

Sin embargo, hay defensas viables por ahí. WTF-PAD es un protocolo experimental que proporciona una cobertura de baja latencia y gastos generales contra las huellas digitales del sitio web y otros tipos de análisis de tráfico los ataques. Lo hace variando el tiempo y el tamaño de las ráfagas individuales de paquetes enviados entre su cliente y su nodo de protección. El Proyecto Tor ha estado considerando integrarlo por un tiempo ahora.

Hay una serie de trabajos de investigación relacionados con redes de anonimato en Free Haven .

    
respondido por el forest 25.09.2018 - 07:31
fuente
-1

Esta táctica puede hacerlo más difícil, pero creo que en estos casos es más importante el aspecto social. Imagínese que las autoridades policiales lo están observando y está utilizando tor over vpn ... y este vpn solo tiene registros de la hora conectada y el correo electrónico utilizado. Nada más. ¿Cómo te encontrarían? A) Fugas de Ip B) Fugas de Dns C) Cortan directamente su máquina D) Su computadora se desordena o usted se desordena y se conecta a un servicio conectado a una identidad real o es usado por su IP registrada normal no encriptada. E) Se dan cuenta de que estás usando un determinado servicio que es inseguro y lo usaste para hablar sobre asuntos personales que pueden identificarte.

Finalmente, existe la posibilidad de que su ISP piratee su computadora si considera que está usando demasiadas medidas de protección sin ninguna razón aparente (por ejemplo, "tiene tanto miedo que DEBE OCURRIR ALGO).

El uso de tor browser over vpn todavía deja la posibilidad de que el navegador sea explotado y abra vulnerabilidades en su computadora, eliminando el propósito de usar tor en primer lugar. Un mejor enfoque sería utilizar el navegador dentro de una máquina virtual, ya que el host se conecta a un vpn y también al invitado (la máquina virtual también se conecta a un vpn).

    
respondido por el FollowerOfLelouch 25.09.2018 - 07:23
fuente

Lea otras preguntas en las etiquetas