Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Рис. 35. Веб-сайт по продаже наркотиков в сети TOR
4) http://665lw5dt6g32twwo.onion – веб-сайт российских националистов. На веб-сайте ведется централизованная координация действий участников, в том числе силовых акций и действий по подрыву доверия к ветвям власти.
Этот список – лишь выдержка из обширного перечня веб-сайтов «теневого интернета» в составе сети TOR. Очевидно, что более 90 % вебсайтов в «теневом интернете» используются в целях, далеких от законных. Следовательно, цели, заявленные при широком развертывании сетей типа TOR, такие как сохранение права человека на частную жизнь, не соответствуют действительности и в реальности сети используются для совершения незаконных действий и ухода от правосудия.
Согласно технической документации, размещенной на официальном веб-сайте разработчиков, сеть TOR представляет собой набор созданных на добровольной основе серверов, которые позволяют пользователям этой сети работать с ресурсами интернета, сохраняя свою анонимность и обеспечивая безопасность своих действий. Основной особенностью является создание набора тоннелей при соединении пользователя с каким-либо ресурсом. В отличие от прямых соединений пользователей при стандартной работе в интернете, это дает возможность публиковать любую информацию, не боясь быть идентифицированным кем-либо.
Заявленные разработчиками цели использования сети TOR:
– обычные граждане имеют возможность без отслеживания их действий посещать любые ресурсы интернета;
– журналисты могут взаимодействовать по защищенным каналам с диссидентами и осведомителями;
– некоммерческие организации могут работать за рубежом со своими домашними веб-сайтами, не уведомляя об этом;
– всевозможные группы активистов могут использовать данную систему для реализации прав и свобод граждан всего мира;
– ВМС США используют систему для сбора оперативной информации из общедоступных источников, чтобы скрывать адреса, принадлежащие ВМС США, и тем самым не привлекать внимания к своей активности.
Яркими представителями спонсоров развития сети TOR являлись и являются:
– ВМС США (2001–2006 гг.);
– Национальный научный фонд США (2007 г.);
– Google (2008–2009 гг.);
– Национальная исследовательская лаборатория США (20062010 гг.);
– Национальная христианская организация США – National Christian Foundation (2010–2012 гг.);
– Фонд Форда (2012–2014 гг.);
– Министерство иностранных дел Германии (2015 г.);
– Государственный департамент США – Бюро демократии, прав человека и труда (2017–2019 гг.).
Работа сети TOR представляет собой взаимодействие большого количества серверов, каждый из которых отдает часть пропускной способности своего интернет-подключения для нужд сети. Этот принцип схож с принципом работы пиринговых сетей. Любой пользователь сети TOR может через настройки программы предоставлять свой компьютер как сервер, тем самым развивая анонимную сеть и повышая собственную анонимность.
Браузер TOR, который предварительно устанавливается пользователем и работает в том числе как прокси-сервер, случайным образом выбирает несколько серверов из доступных (список серверов браузер TOR периодически скачивает с центрального сервера) и создает тоннель, проходящий через эти серверы. Трафик пользователя будет пропускаться через данный тоннель. У тоннеля есть вход (браузер TOR на компьютере пользователя) и выход (последний сервер в тоннеле).
TOR шифрует передаваемые пользователем данные открытыми ключами серверов, входящих в цепочку тоннеля (рис. 36). При этом компьютер пользователя отсылает данные на первый сервер в этой цепи, который снимает с данных свой слой шифра и передает их далее, а с реальной точкой назначения непосредственно общается сервер, служащий точкой выхода из тоннеля.
Рис. 36. Принцип работы сети TOR
Данная технология защищает пользователя от слежки и негативных последствий посещения специфических веб-сайтов в сети. В точке назначения невозможно определить IP-адрес и местонахождение пользователя, так как пользователь не связывается с ней напрямую; кроме того, серверы-посредники получают ограниченные, только необходимые, сведения.
К примеру, первый сервер в цепочке сети TOR, выбранный для тоннеля, не может точно определить, назначены ли данные для пользователя или он тоже является посредником в цепочке для другого пользователя. Ни один узел в цепочке тоннеля, кроме выходного сервера, не имеет доступа к передаваемым данным (в незашифрованном виде), так как это не нужно для их работы. Серверам из цепочки в тоннеле необходима лишь информация о том, какой следующий сервер в цепи посредников будет получать зашифрованное содержимое.
Для того чтобы каждый сервер в цепи имел только часть необходимой именно для него информации, используется шифрование с открытыми ключами. Данный метод шифрования хорошо себя зарекомендовал и очень надежен, и даже если отдельный сервер в цепочке находится под контролем противника, он не сможет получить информацию, предназначенную для других серверов в цепочке тоннеля.
Только последний сервер R3 в цепочке тоннеля может расшифровать передаваемые данные, которые он отсылает в конечный пункт назначения (интернет-ресурс). Обратный ответ он может доставить на компьютер пользователя таким же образом, с сохранением анонимности.
Другими словами, имеются:
– входной узел для первичного шифрования;
– посреднический узел, который осуществляет только обмен между узлами сети TOR;
– выходной узел, который является передаточным звеном между сетью TOR и интернет-ресурсом.
В последней версии TOR используются также сторожевые узлы, которые защищают от компрометации. Фактически они снижают вероятность компрометации, но не обеспечивают полную защищенность. В сети TOR также есть анонимные мостовые узлы, которые применяются для построения цепочек. Их основная цель – противодействовать блокированию узлов системы TOR по списку.
В качестве еще одной особенности можно отметить построение в системе TOR новой цепочки каждые 10 минут и наличие встроенных механизмов имитации работы некоторых протоколов с целью обеспечения защищенного обмена между мостами и узлами.
Однако следует заметить, что построение подобных географически распределенных цепей узлов сети снижает скорость работы в интернете.
Основные уязвимости, дестабилизирующие работу сети TOR, можно разбить на три вида:
– уязвимости браузера TOR, работающего на базе браузера Mozilla;
– уязвимости архитектуры сети TOR;
– уязвимости, связанные с работой других сервисов.
В первом случае речь идет об уязвимостях самого браузера и сопутствующих элементов – плагинов. Действительно, уязвимости браузера позволяют заинтересованным лицам произвести атаки на сам клиент. Однако даже с ресурсами Агентства национальной безопасности США уследить за всеми пользователями невозможно, учитывая, что устраняются уязвимости довольно быстро. Это подтверждается опубликованными в WikiLeaks документами, ранее украденными Эдвардом Сноуденом. К уязвимостям плагинов можно отнести внутренние ошибки Flash и HTML5, с помощью которых можно вынудить пользователя сети TOR отправить реальный адрес. В настоящий момент эти уязвимости стали менее актуальными в связи с отсутствием поддержки данных плагинов в последних версиях браузера TOR.
Во втором случае речь идет о еще менее эффективных способах, которые требуют использования высокопроизводительных компьютеров:
– атаке по времени, то есть расшифровке данных в результате анализа параметров времени шифрования. Эффективность этого способа низка, так как шифрование происходит на всех трех узлах цепи серверов TOR. Для анализа параметров времени шифрования необходимо слушать трафик на первом узле, однако использование сторожевых узлов сводит эту возможность к минимуму;
– глобальном пассивном наблюдении. Этот способ позволяет наблюдать отклонения по назначению трафика, тем самым выявляя нужный трафик. Однако при малых скоростях выявить отклонения невозможно, а работа пользователей TOR связана преимущественно с малыми скоростями, что обусловлено географической распределенностью узлов, которые участвуют в построении цепи;
– взломе и