Специалисты французского института по исследованиям в области информатики и автоматики (Institut national de recherche en informatique et en automatique, INRIA) выяснили, что использование анонимайзера Tor не даёт полной гарантии пользователей BitTorrent от раскрытия их IP-адресов.
Вначале, чтобы было понятнее, о чём пойдёт речь, расскажем о Tor для тех, кто не знает, что это такое. Как известно, основным параметром, по которому можно вычислить человека в сети — это его IP-адрес. Зная IP-адрес, с которого пользователь пытался совершить что-то нехорошее в сети, можно узнать провайдера, а, зная провайдера — можно послать ему запрос, чтобы он выдал информацию, кому из его клиентов принадлежит этот IP. Поэтому злоумышленники, а также добропорядочные граждане, имеющие основания опасаться властей (например, за свою политическую активность в интернете), а также просто параноики в первую очередь озабочены тем, чтобы скрыть свой истинный IP-адрес при совершении каких-либо действий в сети. Существует большое число способов для этого, один из них — Tor (The Onion Router).
Работает он следующим образом — добровольцы устанавливают у себя на компьютерах ПО, которое делает их узлами сети Tor. Пользователи, желающие скрыть свой истинный IP-адрес, устанавливают у себя клиентское ПО Tor, и с этого момента весь трафик, использующий протокол TCP, проходит не напрямую от компьютера пользователя к конечной цели, а через несколько узлов сети TOR, так что на выходе будет не ваш IP-адрес, а IP-адрес последнего узла сети Tor, который уже отправит ваш запрос по назначению. При этом внутри самой сети Tor маршрут вашего трафика будет постоянно меняться — большое число узлов это позволяет. Бесплатный сыр, как известно, бывает только в мышеловке, и в данном случае за анонимность тоже приходится платить — тем, что скорость работы в сети существенно упадёт за счёт наличия дополнительных узлов (не всегда при этом располагающихся на быстрых каналах). Кстати, использование Tor помогает также к получению доступа к тем сайтам, которые заблокированы властями какой-либо страны для своих граждан — ведь непосредственное обращение к сайту делает последний узел сети Tor, а не компьютер пользователя, за счёт чего можно обойти блокировку на уровне государственных провайдеров.
На Западе, как известно, компании-правообладатели значительно более агрессивно занимаются защитой своих авторских прав в интернете, и периодически над пользователями, которые скачали какой-то нелегальный контент, устраиваются показательные судебные процессы. Так как сейчас основной средой распространения контрафакта являются торренты, то многие технически продвинутые пользователи пытаются обезопасить себя путём работы в торрентах через Tor (кстати, такое использование Tor считается «антисоциальным», так как сильно нагружает каналы между узлами Tor — всё-таки в первую очередь Tor задумывался как средство для политических активистов, опасающихся преследования властей и средство получения информации, закрытой интернет-цензурой, а не для анонимного скачивания фильмов и музыки).
Есть три способа совместного использования BitTorrent и Tor.
1. Соединение с трекером через Tor для получения списка компьютеров, у которых есть искомый файл.
2. Соединение с другими узлами торрент-сети для распостранения файла
3. Оба предыдущих способа одновременно
Сделав столь длинное вступление, можно перейти непосредственно к тому, что исследовали специалисты INRIA. Они запустили 6 исходящих узлов сети Tor (исходящий узел — последний в цепочке) и стали «слушать» BitTorrent-трафик. В результате исследований было предложено три различного рода атаки.
1. Сообщения, которые анонсируют запрос от клиента на список файлообменных узлов, иногда содержат реальный IP-адрес пользователя в явном виде. Таким образом, обладая исходящим узлом сети Tor, можно собирать реальные IP-адреса пользователей торрентов.
2. Узел Tor может подменить реальный список файлообменных узлов, который запрашивал пользователь, и в поддельный список добавить IP-адреса, которые контролируются атакующим. В дальнейшем, когда Bittorent-клиент будет соединяться с этими узлами напрямую, минуя Tor, то он выдаст свой IP-адрес.
3. Для определения IP-адресов пользователей используются особенности DHT (Distributed Hash Table — «распределённая хеш-таблица», обеспечивает распространение контента в P2P-сетях). Так как Tor работает только по протоколу TCP, а в P2P-сетях DHT распространяются по UDP, то IP-адрес пользователя попадает в DHT, минуя Tor. Однако атакующий, зная используемый пользователем порт и зная идентификатор контента, может вычислить IP-адрес пользователя, используя особенности работы DHT.
За время исследования, которое длилось 23 дня, специалисты INRIA определили более 10 тыс. реальных IP-адресов пользователей BitTorrent.
Какой вывод можно сделать из этого? В очередной раз продемонстрировано, что на всякий замок найдётся своя отмычка, и Tor — не панацея. Однако вряд ли в ближайшее время стоит ожидать, что правообладатели начнут в массовом порядке устанавливать собственные Tor-узлы и прослушивать торрент-трафик — всё-таки это и занятие трудоёмкое, и полно ещё пользователей, которые не пользуются Tor и которых можно использовать в качестве жертв для показательных процессов.
Напоследок — одна небольшая, но показательная, история. В августе 2007 года шведский исследователь в области компьютерной безопасности Дэн Эгерстад (Dan Egerstad) опубликовал пароль более чем к 1000 учетных записей почты, принадлежащих сотрудникам посольств и правительств разных стран, включая Россию. Как он их получил? Очень просто. Он установил 5 исходящих узлов сети Tor и стал прослушивать проходящий через них трафик.