この場合は、カバーに大きな文字で「パニックにならないでください」と書いておく必要があります。プライバシー研究者は、Tor のドメイン ネーム システム (DNS) の使用がユーザー識別に悪用される可能性があることを突き止めました。
しかし、彼らは、現時点で「インターネット規模」でTorスニファーを設置するだけのリソースを持つ攻撃者は、既にユーザーの匿名性を解除できると述べている。むしろ彼らは、Torとリレー事業者が将来の攻撃に備えてDNSの利用を強化し始めることを期待している。
したがって、Tor と DNS の相互作用に興味がある場合は読んでください。ただし、失神した後に塩の匂いを嗅ぐような感覚が必要な場合は読まないでください。
Tor の基本的な考え方は、コンテンツが暗号化されているため、ISP は Tor ノードと通信していることはわかりますが、それ以外はわかりません。一方、Tor Web サイトはユーザーのリクエストに応答しますが、ユーザーの IP アドレスは知りません。
Benjamin Greschbach (KTH Royal Institute of Technology) と彼の協力者が行ったのは、攻撃ベクトルに DNS を追加することでした。
ユーザーのトラフィックはネットワークに入るときに暗号化されますが、出口ノードからリゾルバに送信されるのは、標準の(暗号化されていない)DNS 要求です。
Freedom to Tinkerで説明され、この Arxiv プレプリントに全文が記載されているこの攻撃は、DefecTor と呼ばれています。
論文によると、GoogleのDNSは本研究において特別な位置を占めている。Tor出口ノードからのDNS帯域幅の40%、そしてTor DNSリクエスト全体の3分の1がチョコレートファクトリーのリゾルバに流れ込むからだ。つまり、Googleは、もしその気になれば、ユーザーを盗聴するのを手助けする上で、独自の立場にあると言える。
もう一つの問題があります。The Registerは、他の研究者が「なぜ私はそれに気づかなかったのだろう?」と額を叩いて言うであろう問題だと確信しています。DNSリクエストは、ユーザーのHTTPトラフィックが決して経由しないネットワーク(自律システム、AS)を通過することがよくあります。このリクエストは、それを引き起こすTorトラフィックよりも広範囲にリークします。
DefectTor のコンポーネント: 入口 TCP トラフィックのスニファーと、DNS パスまたは悪意のある DNS サーバー上のスニファー
他の攻撃と同様に、DefecTorは入口でネットワークレベルのスニファーを必要とします。入口トラフィックは暗号化されていますが、既存の研究では、パケットの長さと方向からトラフィックの発信元ウェブサイトを特定できる指紋が得られることが示されています。
出力スニッフィングも必要です。攻撃者は、出口リレーとリゾルバ間のパス上のトラフィックをキャプチャしたり、悪意のある DNS リゾルバを操作して出口トラフィックをキャプチャしたりする可能性があります。
DefecTor は、ユーザーの暗号化された TCP トラフィックのフィンガープリント、DNS リクエスト、およびタイムスタンプを使用して、「完全に正確な」攻撃を仕掛けることができます。
「DNSトラフィックをウェブサイトにマッピングすることは、単純な手法でも非常に正確であり、観察されたウェブサイトをウェブサイトフィンガープリンティング攻撃と相関させることで、比較的人気のないウェブサイトを監視する際の精度が大幅に向上する」と論文には記されている。
この論文で提案されている緩和策は次のとおりです。
- リレー オペレータが自ら DNS 解決を処理するか、Google や OpenDNS ではなく ISP のリゾルバを使用することを終了します。
- Tor には「クリッピング バグ」があり (運用者に通知済み)、DNS キャッシュの有効期限が早すぎるため、リゾルバに過剰なリクエストが送信され (攻撃者にスニッフィング可能なマテリアルがさらに提供される) ます。
- サイト運営者はDNSリクエストを発生させない.onionサービスを作成する必要があります。
- Tor は Web サイトのフィンガープリンティングに対して強化する必要があります。
研究者らは、コード、データ、複製手順をここに公開しています。®l
