Czy Captcha ułatwia identyfikację anonimowych użytkowników Internetu?

Biznes
Anonimowy raport o błędzie opublikowany w Cryptome z ciemnymi tonami.

Anonimowy raport o błędzie opublikowany w Cryptome z ciemnymi tonami.

Czasem przeczytaj komentarze.

W ciągu ostatnich kilku dni na stronach takich jak: pojawiło się wiele głosów „za”. Wiadomości hakerskie I Reddit Do post na Cryptome . Post sugeruje, że strony zawierające umowy z CloudFlare przypadkowo ułatwiać identyfikację odwiedzających za pomocą przeglądarki Tor; jednak czytelnicy, którzy ominą nagłówek, znajdą wiele komentarzy z pytaniem, czy w poście naprawdę jest coś nowego.

Współzałożyciel Cryptome, John Young, potwierdził e-mailem, że wiadomość pochodzi od anonimowego korespondenta, który napisał: Naleganie Cloudflare na rozwiązywanie zagadek reCAPTCHA, gdy odwiedzający przechodzą z węzłów wyjściowych Tora do jednej z 2 milionów witryn internetowych, które Cloudflare „chroni” może być bardzo pomocne do analizy ruchu i deanonimizacji użytkowników Tora.

Pod postem Hacker News @tedunangst napisał: Nie widzę niczego, co czyniłoby go wyjątkowym dla ReCaptcha. Każdy wzorzec ruchu umożliwiający rozpoznanie odcisków palców i zaobserwowany przychodzący i wychodzący będzie działał.

Captcha są generowane po naszej stronie. Odbywa się to za pośrednictwem bezpiecznego połączenia, powiedział podczas rozmowy telefonicznej Matthew Prince, dyrektor generalny CloudFlare. Nie przychodzi mi do głowy żaden sposób, w jaki mogłoby to dostarczyć dodatkowych informacji, które pozwoliłyby ci na triangulację użytkownika Tora.

CloudFlare zapewnia poprawę wydajności i bezpieczeństwa witryn internetowych klientom na całym świecie. Jest znany w szczególności z udaremniania ataków typu „odmowa usługi” (DOS). Aby chronić swoich klientów, prowadzi rejestr adresów IP wykorzystywanych do spamu, botnetów i innych złośliwych zachowań. Jeśli użytkownik odwiedzi witrynę za pomocą mniej bezpiecznej przeglądarki, CloudFlare może zidentyfikować tego gościa jako człowieka i nie udostępni mu captcha.

Jednakże, Słup to przeglądarka, która anonimizuje użytkowników, kierując ich ruch przez wiele serwerów, zgodnie z warstwami szyfrowania, dzięki czemu CloudFlare nie może zidentyfikować ich jako ludzi. Dlatego często wymagane jest od tych użytkowników ukończenie m.in ReCaptcha (te testy, podczas których zostajesz poproszony o zidentyfikowanie wszystkich zdjęć z zupą lub wszystkimi znakami drogowymi, wykonane przez Google (GOOGL)), aby udowodnić, że są ludźmi. To pogarsza komfort użytkownika, tworząc napięcie między użytkownikami Tora a CloudFlare, jak podała płyta główna .

W tym nowym raporcie pojawia się dodatkowe pytanie: czy ReCaptcha ułatwia identyfikację użytkowników Tora w: atak analizy ruchu ? W przypadku tych ataków osoba o dużej widoczności w sieci (to znaczy osoba posiadająca duże zasoby, na przykład duży dostawca usług internetowych, operator telekomunikacyjny lub państwo narodowe) może dopasować działania oraz punkty wejścia i punkty wyjścia, w w celu dopasowania użytkowników do odwiedzanych stron internetowych.

W 2014 roku grupa badaczy przeprowadziła eksperymentalne, kontrolowane badanie urządzeń w laboratoryjnej sieci Tor, sprawdzając, czy sztuczne zakłócenia w ruchu w punkcie wejścia można było wykryć w punkcie wyjścia.

Post Cryptome dowodzi, że ReCaptcha powodują podobne, sztuczne zakłócenia. Pomysł jest nieco podobny do tego, co zbadaliśmy, Sambuddho Chakravarty, główny autor badania z 2014 r., napisał do Startrackera w e-mailu. Istnieje wiele czynników — częstotliwość próbkowania, pozycja przeciwnika, używane węzły wejściowe i wyjściowe oraz przepustowość osiągnięta przez klienta, czas trwania eksperymentu itp.

W następstwie badania, wpis na blogu na temat projektu Tor napisał: Projekt sieci Tor nie chroni jednak przed ukierunkowanym atakiem globalnego, pasywnego przeciwnika (takiego jak NSA).

To nie jest nic nowego, Roger Dingledine, współzałożyciel Tora, napisał do Startrackera w e-mailu za pośrednictwem rzecznika.

Prince przyznał, że społeczności Tor są sfrustrowane obroną swojej firmy marcowy wpis na blogu . Od tego czasu powiedział, że CloudFlare współpracuje z właścicielem Tora i ReCaptcha, firmą Google, aby poprawić wygodę użytkowania użytkowników sieci, którzy chcą przeglądać anonimowo. Na przykład upewniliśmy się, że użytkownik Tora nigdy nie otrzyma więcej niż jednego captcha, powiedział.

Prince nie wierzy, że captcha w jakikolwiek sposób ułatwia przeciwnikowi mającemu szeroki pogląd na sieć deanonimizację użytkowników Tora, ale zgłosił się na ochotnika, że ​​jego firma podejmie działania w celu załatania takiego wycieku, jeśli zostaną znalezione dowody.