Газета The Guardian опубликовала новую подборку документов Агентства национальной безопасности от Эдварда Сноудена. Они раскрывают свет на попытки АНБ взять под контроль сеть анонимайзеров Tor. Несмотря на многомиллиардные бюджеты, эта задача оказалась им не по зубам.
Одна из презентаций имеет красноречивое название “Tor Stinks” («Отвратительный Tor», pdf). Презентация от июня 2012 года. Ее авторы сразу констатируют печальную истину: «Мы никогда не сможем деанонимизировать всех пользователей Tor в каждый момент времени. Выполнив вручную анализ, можно деанонимизировать только очень малую часть пользователей Tor, однако безуспешны попытки деанонимизировать какого-то конкретного пользователя по запросу TOPI».
Проблема в том, пишут авторы отчета, что у АНБ есть доступ только к очень немногим узлам, в то время как соединение каждого пользователя шифруется на трех случайных узлах. Таким образом, очень мала вероятность, что все три эти узла окажутся доступны. Руководство агентства поставило цель увеличить количество подконтрольных узлов.
Другой подход — использовать куки для идентификации пользователей Tor в то время, когда они выходят за пределы защищенной сети. Агенты тщательно изучали механизм установки «вечных» куков (Evercookie), которые практически невозможно полностью удалить.
АНБ активно отслеживает трафик Tor и способно определять HTTP-запросы от узлов Tor к отдельным серверам по «отпечаткам», которые помещаются в базы данных вроде XKeyscore.
Агентство затем пытается использовать внутренние ресурсы, чтобы попытаться инфицировать конкретных пользователей с помощью перехвата трафика от узла Tor к контролируемому АНБ серверу и применения эксплойтов для Firefox (система АНБ под кодовым названием FoxAcid). Подобнее об этой технике атаки см. в отдельной презентации (pdf) и в статье Брюса Шнайера. В презентации указано, что АНБ использовало эксплойты для Firefox 10.0 ESR и уверено, что найдет ключики для Firefox 17.0 ESR. В одном из слайдов указано, что АНБ перехватывало запросы от узлов Tor к серверам Google.
Перехват трафика пользователей осуществляется с помощью секретных серверов АНБ под кодовым названием Quantum, которые устанавливаются на магистральных каналах связи у крупнейших интернет-провайдеров США. Таким образом, если поступает запрос от узла Tor к какому-нибудь американскому сайту, то АНБ может ответить раньше, чем тот сайт.
Эксплойт-пак FoxAcid от АНБ регулярно обновляется, и в одном из мануалов был указан номер версии 8.2.1.1.
