En anonym fejlrapport sendt til Cryptome med mørke undertoner.
Nogle gange kan du læse kommentarerne.
Der har været mange opstemninger i løbet af de sidste par dage på websteder som HackerNews og Reddit for et indlæg på Cryptome . Indlægget foreslår, at websteder indgår kontrakt med CloudFlare utilsigtet gøre det lettere at identificere besøgende ved hjælp af Tor-browseren; dog vil læsere, der kommer forbi overskriften, finde flere kommentarer, der spørger, om der virkelig er noget nyt i indlægget.
Cryptome-medstifter John Young bekræftede via e-mail, at beskeden kom fra en anonym korrespondent, som skrev, Cloudflares insisteren på at løse reCAPTCHA-puslespil, når besøgende kommer fra Tor-udgangsnoder til et af de 2 millioner websteder, som Cloudflare 'beskytter' kan være meget medvirkende til trafikanalyse og afanonymisering af Tor-brugere.
Under Hacker News-indlægget, skrev @tedunangst, så jeg ikke noget, der gør det unikt for ReCaptcha. Ethvert fingeraftryksbart trafikmønster, der kan observeres komme og gå, vil fungere.
Captchas bliver genereret på vores side. Det er over en sikker forbindelse, sagde Matthew Prince, CEO for CloudFlare i et telefonopkald. Jeg kan ikke komme i tanke om nogen måde, hvorpå dette ville give yderligere information, der ville give dig mulighed for at triangulere Tor-brugeren.
CloudFlare leverer forbedring af hjemmesidens ydeevne og sikkerhed til kunder over hele verden. Det er især kendt for at forhindre denial-of-service (DOS) angreb. For at beskytte sine kunder opbevarer den en registrering af IP-adresser, der vides at blive brugt til spam, botnets og anden ondsindet adfærd. Hvis en besøgende ankommer til et websted ved hjælp af en mindre sikker browser, kan CloudFlare identificere den besøgende som et menneske og vil ikke give ham eller hende en captcha.
Imidlertid, Tor er en browser, der anonymiserer brugere ved at dirigere deres trafik gennem flere servere, under lag af kryptering, så CloudFlare ikke kan identificere dem som mennesker. Det er derfor, det ofte kræver, at disse brugere udfylder en ReCaptcha (de tests, hvor du bliver bedt om at identificere alle billederne med suppe eller alle gadeskiltene, lavet af Google (GOOGL) ), for at bevise, at de er mennesker. Dette nedgraderer brugeroplevelsen og skaber spændinger mellem Tor-brugere og CloudFlare, som bundkort har rapporteret .
Denne nye rapport rejser et yderligere spørgsmål: gør ReCaptchas Tor-brugere noget lettere at identificere i en trafikanalyseangreb ? I disse angreb kan en person med en stor grad af synlighed på netværket (det vil sige en person med mange ressourcer, såsom en stor internetudbyder, en telekom eller en nationalstat) matche aktivitet og indgangspunkter og udgangspunkter, i for at matche brugere med besøgte websteder.
I 2014 gennemførte en gruppe forskere en eksperimentel, kontrolleret undersøgelse af enheder på et laboratoriebaseret Tor-netværk, hvor de testede, om eller ej kunstige forstyrrelser i trafikken ved indgangspunktet kunne detekteres ved udgangspunktet.
Cryptome-indlægget hævder, at ReCaptchas skaber en lignende, kunstig forstyrrelse. Ideen ligner lidt det, vi udforskede, skrev Sambuddho Chakravarty, hovedforfatter af 2014-undersøgelsen Startracker i en e-mail. Der er mange faktorer involveret - prøvefrekvens, modstanderens position, indgangs- og udgangsnoder, der bruges og båndbredden opnået af klienten, varigheden af eksperimentet osv.
Efter undersøgelsen, et blogindlæg om Tor-projektet skrev, Tor-netværksdesignet beskytter dog ikke mod et målrettet angreb fra en global passiv modstander (såsom NSA).
Dette er ikke noget nyt, skrev Roger Dingledine, Tors medstifter, til Startracker i en e-mail via en talsmand.
Prince erkendte Tor-samfundets frustration over hans firmas forsvar i et blogindlæg i marts . Siden da sagde han, at CloudFlare har samarbejdet med Tor og ReCaptchas ejer, Google, for at forbedre brugeroplevelsen for webbrugere, der ønsker at browse anonymt. For eksempel har vi sikret, at en Tor-bruger aldrig ville modtage mere end én captcha, sagde han.
Prince mener ikke, at captchas gør det nemmere for en modstander med et bredt overblik over netværket at afanonymisere Tor-brugere, men han meldte sig frivilligt til, at hans firma ville tage skridt til at lukke en sådan lækage, hvis der blev fundet beviser.