NSA sledi uporabnikom Tora
Matej Huš
6. okt 2013 ob 11:48:49
Da si NSA želi čim večji nadzor nad internetom in njegovimi uporabniki, ni nobena skrivnost. Zato je razumljivo, da gre NSA precej v nos omrežje Tor, ki je namenjeno prav anonimnosti pri brskanju. Pisali smo že, da je z zadostno mero potrpežljivosti v nekaj mesecih mogoče ugotoviti identiteto posameznega uporabnika. Sedaj pa najnovejša razkritja, ki sta jih objavila Guardian in Washington Post, dokazujejo organizirane metode in projekte, ki jih NSA uporablja za deanonimizacijo uporabnikov Tora.
NSA se skupaj z britanskim partnerjem GCHQ trudi na različne načine. Takoj na začetku povejmo, da same arhitekture Tora niso zlomili in ta ostaja varna. Problem pa je, da je anonimnost odvisna od mnogih drugih dejavnikov, ki lahko delujejo NSA v prid.
Razmišljali so o vplivanju na programsko opremo. To ni nič presenetljivega, če vemo, da je NSA že vplivala na implementacijo nekaterih šifrirnih algoritmov (konkretno funkcije Dual EC DRBG), zaradi česar je RSA že pozvala uporabnike, naj se izogibajo algoritmov, ki je je napisala NSA. NSA in GCHQ poizkušata vplivati oziroma oblikovati prihodnji razvoj odjemalcev za Tor, da bi bili ti manj varni.
Sicer pa ima NSA cel kup orodij za analizo prometa prek Tora, o čemer se je podrobno razpisal Bruce Schneier. Ena izmed metod se imenuje EgotisticalGiraffe in izkorišča ranljivosti (v JavaScriptu) v starejšem Firefoxu, ki je bil do nedavna brskalnik v paketu programske opreme za odjemalce Tor. Mozilla je Firefox po naključju popravila z verzijo 17 že novembra 2012 (in sicer nehote), ko so ranljivo knjižico odstranili, NSA pa je takoj začela iskati nove ranljivosti. Do januarja 2013, od tedaj so namreč dokumenti, jih še niso našli.
Potem ima NSA tudi orodja, ki omogoča prepoznati promet, ki izvira iz omrežja Tor, kot so odkrili brazilski mediji. To počne programska oprema Mullenize v NSA. Anonimnost uporabnika je izvira namreč tudi iz dejstva, da naj bi bilo nemogoče odkriti, ali je določen zahtevek priletel iz omrežja Tor ali ne. Tu je še omrežje Quantum, ki ga sestavljajo strateško postavljeni izredno hitri strežniki, ki NSA omogočajo prestrezanje zahtevkov in vstavljanje kode. S tem NSA brskalniku podtakne kodo, ki ga preusmeri na strežnike FoxAcid. To je posebna družina strežnikov, ki jih ni mogoče povezati z NSA, čeprav jih ta upravlja. Vedejo so kot povsem normalni strežniki, dokler jih ne obiščemo s posebnim naslovom (FoxAcid URL-tag). Takrat obiskovalcu podtaknejo vohunsko programsko opremo na njegov računalnik. Ker so zgrajeni modularno, omogočajo izrabo pri različnih misijah, saj različni naslovi povzročijo, da isti strežnik podtika različno programsko opremo, odvisno od potreb NSA. FoxAcid ima dovršene mehanizme za zagotavljanje okužbe in prelisičenje komercialne programske opreme za zaščito (požarnih zidov, protivirusov itd.).
Poleg tega se NSA ukvarja še z drugimi načini. Na Toru imajo nekaj svojih strežnikov, promet prek katerih skrbno analizirajo. Potem se na več načinov trudijo omrežje Tor za tarčo toliko upočasniti, da bi ta obupala in se v internet povezala kar neposredno.
NSA sicer v svojih dokumentih priznava, da vseh uporabnikov Tora ne morejo identificirati in da omrežje še vedno počne, čemur je namenjeno. A NSA ima sposobnosti, da za uporabnika, ki jo posebej zanima, zelo dobro preveri z naštetimi metodami. Do neke mere je to celo dobra novica, saj jim je kljub neizmernemu trudu za zdaj sledenjem vsem uporabnikom Tora še nedosegljivo. A Schneier v kolumni dodaja, da je to početje vseeno nesprejemljivo. NSA namreč ni edina pametna agencija na svetu. Iste ranljivosti in metode lahko namreč izrabljajo tudi drugi, saj ves svet uporablja isto programsko opremo. To pa je problem, mogoče celo večji kot NSA.