Stavo leggendo su come funziona Tor. Lì dice che se l'autore dell'attacco è in grado di vedere entrambe le estremità del canale di comunicazione, Tor fallisce (e altri anonimi anche le reti).
Come e perché funziona questo attacco?
Si tratta di un attacco di conferma end-to-end .
L'idea è semplice: invece di tentare di decrittografare il contenuto dei pacchetti, un utente malintenzionato che riesce a osservare entrambe le estremità del canale di comunicazione cerca di trovare pattern nel traffico per abbinare i dati in uscita e in entrata al fine di decantare gli utenti. Questo può essere fatto correlando il volume dei dati trasmessi o confrontando i tempi di trasmissione dei pacchetti. Ad esempio, un utente che esegue lo streaming di un video espone un altro pattern in termini di tempi e volume di traffico rispetto a chi naviga su un sito Web.
Gli attacchi di correlazione sono un problema difficile da risolvere in reti di anonimato a bassa latenza come Tor e il progetto Tor esplicitamente ha dichiarato in un post sul blog che non proteggono da questi attacchi in base alla progettazione:
The Tor design doesn't try to protect against an attacker who can see or measure both traffic going into the Tor network and also traffic coming out of the Tor network. [...]
The way we generally explain it is that Tor tries to protect against traffic analysis, where an attacker tries to learn whom to investigate, but Tor can't protect against traffic confirmation (also known as end-to-end correlation), where an attacker tries to confirm a hypothesis by monitoring the right locations in the network and then doing the math.
C'è parecchia ricerca che suggerisce che gli attacchi di correlazione sono ancora una delle principali minacce per gli utenti di Tor. Ad esempio, questo documento del 2013 ha analizzato scenari di attacco di correlazione realistici, concludendo:
The results show that Tor faces even greater risks from traffic correlation than previous studies suggested. An adversary that provides no more bandwidth than some volunteers do today can deanonymize any given user within three months of regular Tor use with over 50% probability and within six months with over 80% probability.
La tesi " Difendere gli attacchi di conferma end-to-end Against the Tor Network "(2015) contiene alcuni esperimenti di correlazione più recenti sulla rete Tor dal vivo con l'intuizione che" gli attacchi di conferma end-to-end possono essere applicati con successo alla rete Tor corrente ". propone una tecnica di difesa concreta basata sul traffico fittizio che è presumibilmente "semplice, facile da implementare e distribuire e utilizzabile", ma al meglio delle mie conoscenze non è ancora entrato nel protocollo Tor.
Questo è spiegato nella seconda frase sul tuo link:
For example, suppose the attacker controls or watches the Tor relay you choose to enter the network, and also controls or watches the website you visit. In this case, the research community knows no practical low-latency design that can reliably stop the attacker from correlating volume and timing information on the two sides.
(formattazione mia)
Ciò significa che quando visiti un sito Web in questo scenario, il sito web restituisce alcuni contenuti, che ti vengono trasmessi sulla rete Tor. L'autore dell'attacco può far corrispondere il tempo e la quantità di dati inviati con i tempi e la quantità di dati ricevuti sul tuo terminale, come ad esempio:
11:30:11 Server sent 5kb
11:30:12 Your node received 6kb
11:33:17 Server sent 14kb
11:33:18 Your node received 15kb
Quindi, dopo aver raccolto abbastanza di queste informazioni, l'attaccante può decidere con alta probabilità se stai usando il sito in questo particolare momento. E controllando un nodo di ingresso, conosce anche il tuo indirizzo IP, quindi la de-anonimizzazione è completa.