- Регистрация
- Сообщения
- 736
- Реакции
- 36
E2EE - шифрование из конца в конец является отличительной особенностью "защищенного" мессенджера, работающего на криптографических алгоритмах. Современные атаки анализа трафика показывают как легко можно идентифицировать скрытого пользователя "безопасного" мессенджера, маскирующего свой IP адрес, не прибегая к программным уязвимостям самого приложения, перехвату ключей шифрования, запроса к руководству мессенджера о предоставлении информации о пользователе или взлому и компрометации центрального сервера сообщений.
Ни один "безопасный" мессенджер не использует никаких функций для сокрытия статистических характеристик своих сообщений.
Несмотря на сквозное шифрование, вместе с потоком передаются метаданные, которые как минимум включают в себя время отправки/получения зашифрованного сообщения и его размер. Метаданные можно уподобить информации с лицевой стороны конверта, где указано кому, куда и от кого направляется конверт с содержимым без раскрытия самого содержимого. Этих данных вполне может быть достаточно для атакующего, способного просматривать сетевой канал (например ваш интернет провайдер или VPN сервис (часто во многих источниках использование VPN не рекомендуется именно по этим причинам: как ещё один дополнительный вектор для атаки снятия отпечатков трафика) для сопоставления явной связи между пользователями с последующим построением социального графа и выявлением всех подозреваемых. Сеть TOR специально направлена на смягчение подобных атак, используя буферизацию, задержку и перетасовку пакетов. Но и этой меры недостаточно ввиду наличия современных классификаторов глубокого обучения, способных сопоставлять паттерны трафика в анонимных сетях на разных узлах сетевых соединений, тем самым идентифицируя пользователя в своей домашней сети.
Использование же VPN туннеля лишь незначительно затрудняет нахождение нужного паттерна.
Пример проведения подобных атак корреляции:
1. К примеру имеется открытый чат-канал. Атакующий присоединяется к каналу и пишет трафик всех сообщений, снимая их метаданные, которые включают в себя метку времени, размер, тип сообщения, задержки и прочие характеристики. Затем записанный паттерн подаётся на вход в классификатор, после чего происходит поиск такого же паттерна в сети оператора связи где и находится нужный абонент со всеми вытекающими идентификаторами (mac, ip, регистрационные данные, место, время входа в сеть, время подключения к tor entry node и пр.)
2. Личный диалог. Атакующий также ведёт запись всех сообщений, но притом может оказывать влияние на трафик, например отсылая сообщения определённого размера, типа и с определёнными интервалами во времени. Такой тип атаки значительно превосходит первый, так как подобный паттерн трафика с заранее известными сконфигурированными характеристиками, совсем быстро можно обнаружить в сети на другом конце соединения и также идентифицировать скрытого пользователя.
Ни один "безопасный" мессенджер не использует никаких функций для сокрытия статистических характеристик своих сообщений.
Несмотря на сквозное шифрование, вместе с потоком передаются метаданные, которые как минимум включают в себя время отправки/получения зашифрованного сообщения и его размер. Метаданные можно уподобить информации с лицевой стороны конверта, где указано кому, куда и от кого направляется конверт с содержимым без раскрытия самого содержимого. Этих данных вполне может быть достаточно для атакующего, способного просматривать сетевой канал (например ваш интернет провайдер или VPN сервис (часто во многих источниках использование VPN не рекомендуется именно по этим причинам: как ещё один дополнительный вектор для атаки снятия отпечатков трафика) для сопоставления явной связи между пользователями с последующим построением социального графа и выявлением всех подозреваемых. Сеть TOR специально направлена на смягчение подобных атак, используя буферизацию, задержку и перетасовку пакетов. Но и этой меры недостаточно ввиду наличия современных классификаторов глубокого обучения, способных сопоставлять паттерны трафика в анонимных сетях на разных узлах сетевых соединений, тем самым идентифицируя пользователя в своей домашней сети.
Использование же VPN туннеля лишь незначительно затрудняет нахождение нужного паттерна.
Пример проведения подобных атак корреляции:
1. К примеру имеется открытый чат-канал. Атакующий присоединяется к каналу и пишет трафик всех сообщений, снимая их метаданные, которые включают в себя метку времени, размер, тип сообщения, задержки и прочие характеристики. Затем записанный паттерн подаётся на вход в классификатор, после чего происходит поиск такого же паттерна в сети оператора связи где и находится нужный абонент со всеми вытекающими идентификаторами (mac, ip, регистрационные данные, место, время входа в сеть, время подключения к tor entry node и пр.)
2. Личный диалог. Атакующий также ведёт запись всех сообщений, но притом может оказывать влияние на трафик, например отсылая сообщения определённого размера, типа и с определёнными интервалами во времени. Такой тип атаки значительно превосходит первый, так как подобный паттерн трафика с заранее известными сконфигурированными характеристиками, совсем быстро можно обнаружить в сети на другом конце соединения и также идентифицировать скрытого пользователя.