Els captchas faciliten la identificació d'usuaris web anònims?

Negocis
Un informe d'error anònim publicat a Cryptome amb matisos foscos.

Un informe d'error anònim publicat a Cryptome amb matisos foscos.

De vegades, llegiu els comentaris.

Hi ha hagut moltes votacions positives durant els darrers dos dies en llocs com HackerNews i Reddit per una publicació a Cryptome . La publicació suggereix que els llocs contracten amb CloudFlare sense voler facilitar la identificació dels visitants mitjançant el navegador Tor; tanmateix, els lectors que superin el titular trobaran diversos comentaris preguntant-se si realment hi ha alguna cosa nova a la publicació.

El cofundador de Cryptome, John Young, va confirmar per correu electrònic que el missatge provenia d'un corresponsal anònim, que va escriure, la insistència de Cloudflare a resoldre els trencaclosques de reCAPTCHA quan els visitants vénen dels nodes de sortida de Tor a un dels 2 milions de llocs web que Cloudflare 'protegeix' pot ser molt instrumental. per a l'anàlisi del trànsit i la desanonimització dels usuaris de Tor.

Sota la publicació de Hacker News, va escriure @tedunangst, no vaig veure res que el faci únic a ReCaptcha. Qualsevol patró de trànsit amb empremtes dactilars que es pugui observar entrant i anant funcionarà.

Els captchas es generen al nostre costat. Es tracta d'una connexió segura, va dir Matthew Prince, director general de CloudFlare en una trucada telefònica. No puc pensar en cap manera que això proporcioni informació addicional que us permeti triangular l'usuari Tor.

CloudFlare proporciona una millora del rendiment del lloc web i seguretat als clients de tot el món. És conegut, en particular, per frustrar els atacs de denegació de servei (DOS). Per protegir els seus clients, manté un registre de les adreces IP que se sap que s'utilitzen per a correu brossa, botnets i altres comportaments maliciosos. Si un visitant arriba a un lloc amb un navegador menys segur, CloudFlare pot identificar aquest visitant com a humà i no li servirà captcha.

No obstant això, Tor és un navegador que anonimitza els usuaris dirigint el seu trànsit a través de diversos servidors, sota capes de xifratge, de manera que CloudFlare no els pot identificar com a humans. És per això que sovint requereix que aquests usuaris completin un ReCaptcha (aquelles proves on et demanen que identifiquis totes les fotos amb sopa o tots els rètols del carrer, fetes per Google (GOOGL) ), per demostrar que són humans. Això rebaixa l'experiència de l'usuari, creant tensió entre els usuaris de Tor i CloudFlare, com ha informat la placa base .

Aquest nou informe planteja una pregunta addicional: els ReCaptchas fan que els usuaris de Tor siguin una mica més fàcils d'identificar en a atac d'anàlisi de trànsit ? En aquests atacs, algú amb un gran grau de visibilitat a la xarxa (és a dir, algú amb molts recursos, com un gran ISP, una telecomunicació o un estat-nació) pot fer coincidir l'activitat i els punts d'entrada i els punts de sortida, en per fer coincidir els usuaris amb els llocs web visitats.

El 2014, un grup d'investigadors va realitzar un estudi experimental i controlat de dispositius en una xarxa Tor basada en laboratori, provant si o no pertorbacions artificials en el flux de trànsit al punt d'entrada es podria detectar al punt de sortida.

La publicació de Cryptome argumenta que ReCaptchas creen una pertorbació artificial similar. La idea és una mica similar a la que vam explorar, Sambuddho Chakravarty, autor principal de l'estudi del 2014, va escriure el Startracker en un correu electrònic. Hi ha molts factors implicats: freqüència de mostra, posició de l'adversari, els nodes d'entrada i sortida que s'utilitzen i l'ample de banda aconseguit pel client, la durada de l'experiment, etc.

Després de l'estudi, una entrada al blog Sobre el projecte Tor va escriure: El disseny de la xarxa Tor, però, no protegeix contra un atac dirigit per un adversari passiu global (com la NSA).

Això no és cap novetat, va escriure Roger Dingledine, cofundador de Tor, a Startracker en un correu electrònic, a través d'un portaveu.

Prince va reconèixer la frustració de la comunitat Tor amb les defenses de la seva empresa una entrada al blog de març . Des de llavors, va dir que CloudFlare ha col·laborat amb el propietari de Tor i ReCaptcha, Google, per millorar l'experiència d'usuari dels usuaris web que volen navegar de manera anònima. Per exemple, ens hem assegurat que un usuari de Tor mai rebria més d'un captcha, va dir.

Prince no creu que els captchas facilitin a un adversari amb una àmplia visió de la xarxa la desanonimització dels usuaris de Tor, però es va oferir voluntari que la seva empresa prengués mesures per tapar aquesta filtració si es trobaven proves.