Как АНБ следит за пользователями системы Tor
Газета The Guardian рассказала о том, как американские спецслужбы «охотятся» в Интернете на пользователей системы Tor — одного из последних оплотов анонимности в Сети — и пробивает брешь в их системе защиты.
Cистема Tor, позволяющая сохранять анонимность в Интернете – это «цель номер один» для Агентства Национальной Безопасности США (АНБ). Попытками взлома этой системы занимается главное подразделение агентства – Дирекция системной разведки (SID), где работает большинство сотрудников АНБ.
Согласно секретной презентации АНБ, полученной Эдвардом Сноуденом, спецслужба использует ряд программ (Stormbrew, Fairview, Oakstar и Blarney), которые выявляют в Интернете клиентов Tor, а затем осуществляет атаку на браузер Firefox, с которого они заходят в Интернет.
Первоначальная задача – обнаружить пользователей Tor.
В этом АНБ помогает его способность следить за крупными секторами Интернета. Эту способность обеспечивают партнёрские отношения агентства с ведущими телекоммуникационными компаниями. С помощью перечисленных выше программ специалисты агентства создают цифровые «отпечатки пальцев», которые позволяют регистрировать каждый выход пользователя в Сеть через Tor и обращение к тому или иному серверу.
«Отпечатки» загружаются в систему XKeyscore – уникальную программу, которая одновременно является базой данных и аналитическим инструментом, который позволяет специалистам АНБ отслеживать «почти всё», чем занимается пользователь в сети. Используя программы под кодовыми именами Turbulence, Turmoil и Tumult, АНБ «просеивает» огромные объёмы интернет-траффика в поисках подключений через Tor.
В сентябре бразильская новостная телепередача Fantastico продемонстрировала скриншоты одной из таких программ. На руку агентству играет то, что все клиенты Tor оставляют в Интернете похожий цифровой «след».
С другой стороны, Tor сохраняет анонимность пользователя, и АНБ пока не может его идентифицировать, а также выяснить, проживает ли тот в США или нет.
Найдя пользователя Tor в Сети, АНБ использует сеть секретных интернет-серверов, чтобы перенаправить его в сеть уже других серверов под кодовым именем FoxAcid, которая «маркирует» компьютер такого клиента для последующей потенциальной атаки.
Если атака прошла успешно, информация с такого компьютера поступает на сервер сети FoxAcid и становится доступным для дальнейшей слежки АНБ.
Tor – удобная для пользователя и надёжная система защиты личных данных, и провести атаку на неё сложно. Атаки на пользователей АНБ совершало, используя уязвимые места в популярном браузере Firefox, а не в самой программе Tor. Но это также трудно сделать.
К тому же, пользователи Tor часто отключают скрипты или Flash, повышая уровень защиты. Но даже в этом случае АНБ пользуется несовершенствами самой программы Firefox. Уязвимыми считаются браузеры Firefox 11.0 – 16.0.2, а также Firefox 10.0 ESR.
АНБ располагает секретные серверы под кодовым названием Quantum в ключевых узлах основной сети соединений, которая осуществляет большую часть трафика в Интернет.
Таким образом, они могут реагировать быстрее, чем большинство других сайтов. Благодаря разнице в скорости серверы Quantum способны создавать «зеркала» сайтов, которые посещает выбранный для слежки пользователь и, когда он посещает их, перенаправлять данные с его браузера на сервер системы Foxacid.
Эдвард Сноуден рассказал о трёх технологиях Quantum – QuantumInsert (уже упомянутое перенаправление), QuantumCookie — (загружает на браузер клиента файлы-«пирожки», через которые может производиться откачка данных) и ещё одной программе, которая создаёт помехи и препятствуют входу в Интернет через Tor. Такую же технологию применяет правительство Китая, чтобы препятствовать входу граждан на сайты с «нежелательной» информацией.