Tor-verkon piilotettujen palveluiden deanonymisointi

Transkriptio

1 Olli Turunen Tor-verkon piilotettujen palveluiden deanonymisointi Tietotekniikan kandidaatintutkielma 29. huhtikuuta 2020 Jyväskylän yliopisto Informaatioteknologian tiedekunta

2 Tekijä: Olli Turunen Yhteystiedot: Ohjaaja: Tytti Saksa Työn nimi: Tor-verkon piilotettujen palveluiden deanonymisointi Title in English: Deanonymization of Tor Hidden Services Työ: Kandidaatintutkielma Sivumäärä: 28+0 Tiivistelmä: Tor-verkon avulla on mahdollista ylläpitää sijainniltaan suojattuja piilotettuja palveluita, joita käytetään laillisten tarkoitusperien lisäksi myös rikollisiin tarkoituksiin. Näiden piilotettujen palvelujen sijainnin paljastaminen, toisin sanoen deanonymisointi, on ollut tietoturvatutkimuksen kohteena varsin laajasti. Deanonymisointia varten on esitetty useita menetelmiä sekä Tor-verkon uhkamallin sisä- että ulkopuolelta. Tor-verkon arkkitehtuurin paraneminen ja verkon laajeneminen tekee deanonymisoinnista vaativaa. Varsinkaan uhkamallin ulkopuolisia menetelmiä vastaan ei kuitenkaan suorituskykysyistä ole vielä laajasti otettu käyttöön tehokkaita vastatoimia. Avainsanat: Tor-verkko, piilotetut palvelut, deanonymisointi Abstract: Tor network enables maintaining of location hidden services, that are used both for legit and illicit purposes. Revealing the locations of these hidden sercvices, also called deanonymization, has inspired major security research. Different methods of deanonymization have been proposed both within and outside of Tor threat model. Improving architechture and expansion of Tor network makes deanonymization a demanding task. However, considering especially the methods from outside of the threat model, efficient countermeasures have not yet been taken into significant use due to performance reasons. Keywords: Tor Network, Hidden Services, Deanonymization i

3 Kuviot Kuvio 1. Yhteyksien muodostaminen Tor-verkossa... 8 Kuvio 2. Liikennekorrelaation havaitseminen ii

4 Sisältö 1 JOHDANTO KÄSITTEISTÖ JA AIKAISEMPI TUTKIMUS Käsitteet Tor tutkimuskohteena TOR-ARKKITEHTUURI Tor-reitin muodostaminen Reitin muodostaminen piilotettuun palveluun DEANONYMISOINTIMENETELMÄT Uhkamallin sisäpuoliset menetelmät Kohdistusmenetelmä Solumanipulaatiomenetelmä Täytesolumenetelmä Suojapisteen sijoitusmenetelmä Uhkamallin ulkopuoliset menetelmät DEANONYMISOINNIN VASTATOIMET JOHTOPÄÄTÖKSET JA JATKOTUTKIMUS LÄHTEET iii

5 1 Johdanto Pimeä verkko nousee yhä usammin esiin uutisotsikoissa, jotka koskevat verkossa tapahtuvaa tai siihen liittyvää rikollisuutta. Erityisesti Tor-verkkoon liittyvä rikollisuus on arkipäiväistynyt. Tor-verkon suosion taustalla on saavutettavuuteen, suhteellisen matalaan latenssiin ja oletetusti vahvaan anonymiteettiin liittyviä syitä (Murdoch ja Danezis 2005). Tor-verkko mahdollistaa myös WWW-tyyppisten palveluiden tarjoamisen anonyymisti, mikä on tehnyt siitä suositun alustan esimerkiksi laittoman materiaalin välittämiseen liittyville kauppapaikoille (Europol 2019). Tor-verkkoon, kuten muihinkin anonymiteettiä ja salattua tiedon käsittelyä tarjoaviin menetelmiin, liittyy sekä hyviä että huonoja puolia. Koska millään taholla ei pitäisi olla valtaa Tor-verkon moderointiin tai valvontaan, se mahdollistaa joukon legitiimejä tai moraalisesti hyväksyttäviin päämääriin pyrkiviä anonyymejä palveluita matalalla riskillä. Toisaalta se tarjoaa saman suojan myös rikollisille ja moraaliltaan arveluttaville palveluille ilman, että edes viranomaistahoilla on suoraa mahdollisuutta puuttua asiaan. Molemmista näkökulmista on mielenkiintoista perehtyä siihen, onko Tor-verkon oletettu anonyymiys murtumatonta vai voidaanko sitä joissakin olosuhteissa heikentää. Tässä kandidaatintutkielmassa on tarkoitus perehtyä sellaisiin kirjallisuuslähteisiin, joissa on selvitetty Tor-verkossa tarjottavien anonyymien palveluiden, eli niin sanottujen piilotettujen palveluiden, paljastamista arkkitehtuurin itsensä mahdollistamien tekniikoiden ja kerrosarkkitehtuurissa sen alapuolella olevien rakenteiden ominaisuuksien avulla. Tarkoitus on selvittää, millaisia keinoja on ylipäänsä ehdotettu, tutkittu tai testattu, miten käytännöllisiä ne ovat nykyään ja millaisia keinoja niiltä suojautumiseen on olemassa. Tor-verkossa, kuten muissakin verkoissa, vastuu sen turvallisesta käyttämisestä on palvelun ylläpitäjällä itsellään. Arkkitehtuuri ei voi suojata palvelua paljastamasta itsestään paljastumiseen johtavaa tietoa, kuten paljastavia kirjoituksia, kuvien metatietoja tai seurannan mahdollistavia Bitcoin-osoitteita (Biryukov ja Pustogarov 2015). Laajemmin Tor-verkon palveluiden turvallisuuteen voivat vaikuttaa muutkin arkkitehtuurin ulkopuoliset tekijät, esimerkiksi toimiminen valvotussa verkossa, tietomurrot, selainhaavoittuvuudet tai muut sovellus- 1

6 kerroksen ominaisuudet, joita ei ole suunniteltu anonyymeiksi (Manils ym. 2010). Näillä tekijöillä ja tekniikoilla on anonymiteetin murtamisen kannalta suuri merkitys. Edelleen deanonymisoinnin kohteena voi olla myös Tor-verkon käyttäjä. Lisäksi verkossa välitettävän viestin sisällön paljastaminen, vaikkei kuulukaan deanonymisoinnin otsikon alle, voi johtaa anonymiteetin murtumiseen ja on sinänsä mielenkiintoinen tutkimuskohde. Turvallisen, täydellisen anonymiteetin takaavan verkkoarkkitehtuurin ideaali on niin houkutteleva ja Tor-verkon saavuttama asema niin huomattava, että tämän anonymiteetin koetteleminen ei ole ainoastaan verkon käyttäjien, vaan myös sen valvontaan tai siinä olevien palveluiden paljastamiseen pyrkivien tahojen kannalta mielenkiintoista. Piilotettujen palveluiden paljastaminen voi johtaa myös palveluiden käyttäjien paljastumiseen, ja on siten vaikuttavuudeltaan potentiaalisesti merkittävämpää. Toisaalta Tor-verkon palveluiden paljastaminen teknisenä suorituksena eriää usein käyttäjien paljastamisesta (Biryukov, Pustogarov ja Weinmann 2013). Siitä syystä tässä tutkielmassa keskitytään ainoastaan piilotettujen palveluiden deanonymisointimenetelmiin. Tietoturvatutkimuksen perusonglema on suhteellisen nopeasti muuttuva tilanne uusien haavoittuvuuksien löytyessä ja protokollien kehittyessä. Tor-verkon tapauksessa myös verkon laajeneminen tekee joistakin menetelmistä epäkäytännöllisiä (Evans, Dingledine ja Grothoff 2009). Siitäkin syystä on syytä tehdä ajankohtainen katsaus tällä hetkellä relevantteihin deanonymisointimenetelmiin. Tutkielman seuraavassa luvussa esitellään tärkeimmät käsitteet ja aikaisempia koostetutkimuksia. Muut kirjallisuusviitteet ovat sijoitettu asiayhteyksiinsä seuraaviin lukuihin. Luvussa 3 esitellään deanonymisoinnin kannalta oleellinen Tor-verkon toiminta, luvussa 4 deanymisointimenetelmiä painottaen tuoreimpia tutkimuksia ja luvussa 5 deanonymisoinnin vastatoimia. Luvussa 6 käsitellään tutkielman johtopäätöksiä. 2

7 2 Käsitteistö ja aikaisempi tutkimus Tutkielman keskeisimmät käsitteet on tarpeen määritellä täsmällisesti, sillä monilla niistä voi olla eri asiayhteyksissä muita merkityksiä. Kaikkia tutkielmassa käytettyjä käsitteitä ei ole tutkimuskirjallisuudessa määritelty tyhjentävästi, eikä kaikilla termeillä ole vakiintunutta suomennosta. Tutkielmassa esiteltävät suomenkieliset käsitteet ja termit on esitelty vakiintuneemman englanninkielisen vastineen kanssa. Käytetyt käsitteet on poimittu käytetystä tutkielman lähdekirjallisuudesta ja suomennettu. Tärkeimmät käsitteet on esitetty seuraavassa kappaleessa kuvailun kanssa ja yksityiskohtaisemmat käsitteet omissa asiayhteyksissään. 2.1 Käsitteet Anonymisointiverkot (engl. anonymity networks) ovat tietoverkkoja, joissa pyritään mahdollistamaan kommunikointi verkon osapuolten välillä paljastamatta niiden reaalimaailmaan sijainteja toisilleen tai ulkopuolisille (Dingledine, Mathewson ja Syverson 2004). Useimmiten, kuten myös Tor-verkon tapauksessa, kyse on Internetin päällä toimivasta kerrosverkosta (engl. overlay network). Anonymisointiverkkojen toteutuksia on useita, ja Tor on niistä suosituin noin kahden miljoonan päivittäisen käyttäjänsä ansiosta (Nasr, Bahramali ja Houmansadr 2018). Muita toteutuksia ovat esimerkiksi vertaisverkkopohjaiset I2P ja Freenet. On huomattava, että anonymisointiverkko ei automaattisesti takaa tietoturvaa esimerkiksi tietosisällön eheyden, luottamuksellisuuden tai saatavuuden osalta, vaikka useissa toteutuksissa näitäkin ominaisuuksia on huomioitu. Piilotetut palvelut (engl. hidden services) ovat Tor-verkon sisällä toimivia Internet-tyyppisiä palveluja tarjovia palvelimia, joiden sijainnin Tor-arkkitehtuuri pyrkii piilottamaan käyttäjiltä ja uhkatekijöiltä (The Tor Project 2013). Verkon käyttäjä voi käyttää palvelua tuntematta sen sijaintia ja palvelu vastaavasti palvella käyttäjiä tuntematta heidän sijaintiaan. Osa Tor-verkossa toimivista piilotetuista palveluista palveleee laillisia, osa rikollisia päämääriä (Nepal, Dahal ja Shin 2015). 3

8 Nykyisin piilotettuja palveluita on ryhdytty kutsumaan myös sipulipalveluiksi (engl. onion services). Piilotettuihin palveluihin viitataan yleisesti myös abstraktimmin termillä pimeä verkko (engl. dark web), sillä ne ovat usein Internetin hakukoneille näkymättömiä verkkosivustoja. Monet näistä verkkosivustoista liittyvät tai kannustavat myös rikolliseen toimintaan, ja sellaisina ovat muodostaneet täysin uuden markkina-alueen monenlaisille rikoksille (Europol 2019). On olemassa myös Tor-verkon sisällä toimivia julkisia verkkopalvelimia, joissa reitin muodostamista on helpotettu latenssin pienentämiseksi. Tällaisia palveluita ei voida pitää varsinaisina piilotettuina palveluina, eikä niitä sen vuoksi käsitellä tässä tutkielmassa. Deanonymisoinniksi (engl. deanonymization) on tutkimuskirjallisuudessa alettu kutsua niitä toimenpiteitä, jotka tähtäävät anonymisointiverkossa olevan kommunikointiosapuolen sijainnin paljastamiseen (Biryukov, Pustogarov ja Weinmann 2013). Tässä tutkielmassa deanonymisoinnilla tarkoitetaan piilotetun palvelun kuljetuskerroksessa yksilöivän IP-osoitteen löytämistä, mikä vuorostaan voi johtaa palvelua tuottavan verkkopalvelimen fyysisen sijainnin paljastumiseen. Deanonymisointimenetelmällä tarkoitetaan paljastamiseen liittyviä toimenpiteitä ja -hyökkäyksellä niiden toteuttamista. Uhkatekijällä, (engl. adversary) tarkoitetaan tässä tutkielmassa tahoa, joka pyrkii paljastamaan piilotetun palvelun (ja joissakin tapauksissa käyttäjän) identiteetin. Uhkatekijöitä voivat käytännössä olla esimerkiksi Internet-operaattorit, autonomiset järjestelmät, lainvalvontaviranomaiset tai vaikkapa eri tarkoitusperistä toimivat hakkerit. Lisäksi käytetään termiä hyökkääjä (engl. attacker), jolla viitataan uhkatekijän agenttiin yksilöllisemmin. 2.2 Tor tutkimuskohteena Tor-verkon haavoittuvuuksia niin arkkitehtuurin uhkamallin (engl. threat model) sisältä kuin ulkoakin on tutkittu varsin laajasti. Myös piilotettuihin palveluihin kohdistuvia deanonymisointimenetelmiä on esitetty. Useisiin menetelmiin on kuitenkin Tor-arkkitehtuurin uusissa versioissa kehitetty myös ratkaisuja, jotka tekevät menetelmistä tehottomia tai epäkäytännöllisiä. Esimerkiksi Tor-verkon suojapisteet (engl. guard node, entry guard tai guard relay) esiteltiin ehkäisemään varhaisimpia deanonymisointimenetelmiä (Øverlier ja Syverson 4

9 2006). Näin ollen deanonymisointimenetelmiä koskeva tutkimus noudattaa jossakin määrin sukupolvirakennetta, jossa vanha tutkimustieto ei enää päde nykyhetken tilanteeseen. Osalla vanhimmista tutkimuksista on lähinnä historiallista merkitystä. Tässä tutkielmassa perehdytään tällä hetkellä ajankohtaisiin piilotettujen palveluiden deanonymisointimenetelmiin ja niitä koskevaan tutkimukseen. Deanonymisointimenetelmiä koskevaa kokoavaa tutkimusta ovat tehneet ainakin Nepal, Dahal ja Shin 2015 keskittyen uhkamallin sisäpuolisiin menetelmiin ja Cambiaso ym laajemmin eri Tor-verkkoon kohdistuvien uhkien taksonomiaan. Lisäksi useimmat varsinaisia deanonymisointimenetelmiä menetelmiä koskevista tutkimuksista sisältävät myös kattavan kattavan kuvauksen aikaisemmasta tutkimustyöstä. 5

10 3 Tor-arkkitehtuuri Tor (The Onion Router) on Yhdysvaltain laivaston tutkimuslaboratorion historialliseen Onion Routing -projektiin perustuva avoimen lähdekoodin ohjelmistoprojekti. Alkuperäisen Onion Routing -projektin perusajatus oli ohjata käyttäjän verkkoliikenne usean eri välityspisteen kautta siten, että välityspisteistä mikään ei tiedä välitysketjusta muuta kuin edellisen ja seuraavan pisteen osoitteet, mutta eivät esimerkiksi omaa sijaintiaan reitillä. Tämä saavutettiin salaamalla lähetettävä viesti kolmella eri avaimella ja purkamalla yksi salauskerros kullakin välityspisteellä (Goldschlag, Reed ja Syverson 1996). Alkuperäinen Onion Routing oli yksi ensimmäisistä matalaan latenssiin pyrkivän anonymisointiverkon käytännön toteutuksista. Tor-verkko perustuu samaan, sipulireititykseksi kutsuttuun ideaan, mutta siinä on lukuisia parannuksia ja lisäyksiä alkuperäiseen Onion Routingiin nähden. Eräs niistä on piilotettujen palveluiden tarvitsema arkkitehtuuri. Toisin kuin monet aikaisemmat anonymisointiverkkojen toteutukset, myös Tor pyrkii matalaan latenssiin eli mahdollisimman lyhyisiin verkkoviiveisiin (Dingledine, Mathewson ja Syverson 2004). Internetin rakennetta abstraktisti kerroksittain kuvaavan OSI-mallin näkökulmasta Tor toimii sovelluskerroksessa ja tunneloi liikennettä TCP-protokollaa käyttäen kuljetuskerroksessa (Day ja Zimmermann 1983). Kuljetuskerroksessa lähettäjän ja vastaanottajan on tunnettava toistensa IP-osoitteet, joiden avulla on mahdollista saada selville osoitteen käyttäjän identiteetti. Tästä syystä Tor, kuten useimmat muutkin anonymisointiverkot, välittää liikenteen usean välityspisteen tai -reitittimen (engl. onion proxy, node tai router) kautta. Liikenne on salattua alkuperäisen Onion Routingin tavoin. Salauksen tehtävä ei ole ensisijaisesti suojata tietosisältöä, vaan lähettäjän ja vastaanottajan anonymiteettiä. Yhteys viimeisestä välityspisteestä Tor-verkon ulkopuoliseen kohteeseen, esimerkiksi verkkopalvelimeen, on salaamaton (Dingledine, Mathewson ja Syverson 2004). Tor-arkkitehtuurin muodollinen uhkamalli on pientä osaa verkon välityspisteistä hallussaan pitävä uhkatekijä, jolla on mahdollisuus tuhota, muokata tai tuottaa liikennettä. Näin ollen suurta osaa verkosta hallussaan pitävää globaalia uhkatekijää vastaan Tor-verkkoa ei ole alun perinkään tarkoitettu (Dingledine, Mathewson ja Syverson 2004; Evans, Dingledine ja Grot- 6

11 hoff 2009). Tämä seikka vaikuttaa jäävän usein huomiotta julkisessa keskustelussa, mikä taas voi johtaa vääränlaisiin mielikuviin Tor-verkon turvallisuudesta. 3.1 Tor-reitin muodostaminen Normaalissa Tor-verkon reitin (engl. circuit) muodostamisessa asiakas valitsee ensin reitikseen Tor-verkon julkisista pisteistä (engl. node tai router) itselleen suojapisteen (engl. guard node tai aiemmin entry node), välipisteen (engl. middle node) ja poistumispisteen (engl. exit node) sekä neuvottelee symmetriset sessiokohtaiset salausavaimet kunkin kanssa (Dingledine, Mathewson ja Syverson 2004; Dingledine ym. 2014). Asiakas lähettää datan salattu paketti kerrallaan suojapisteelle, joka välittää niitä edelleen reittiä pitkin. Tor-verkon paketteja kutsutaan soluiksi (engl. cells). Paketti salataan ensin poistumispisteen, sitten välipisteen ja viimeiseksi suojapisteen tuntemalla salausavaimella, ja salauksesta puretaan vastaava kerros kullakin välityspisteellä. Kaikki solut muistuttavat salauksen vuoksi toisiaan, pois lukien niinsanotut hallintasolut (engl. control cells) (Dingledine, Mathewson ja Syverson 2004). Tämä tekee yksittäisen yhteyspisteen havainnoitsijalle pakettien seuraamisesta näennäisesti mahdotonta, sillä samoin kuin alkuperäisessä Onion Routingissa, reitin pisteistä kukin tuntee vain edeltäjänsä ja seuraajansa IP-osoitteet, muttei omaa sijoitustaan reitillä. Pakettien sisällön näkee ainoastaan poistumispiste purettuaan viimeisen salauskerroksen. Pisteiden läpi voi kulkea useita Tor-reittejä. Kuviossa 1a on esitetty asiakkaan A reitin valintaa määräajoin vaihtuvalle suojapisteelle SP, välityspisteelle V P ja edelleen poistumispisteelle PoP. Poistumispiste kommunikoi varsinaisena kohteena olevan Internet-palvelun kanssa ja näyttäytyy viestinnän toisena osapuolena asiakkaan sijasta. Paluureitti on käänteinen. Nuolen vahvuus kuvaa salauskerrosten määrää ja katkoviiva salaamatonta yhteyttä. 3.2 Reitin muodostaminen piilotettuun palveluun Piilotetut palvelut ovat Tor-arkkitehtuurin keino toteuttaa vastaajan anonymiteettiä (engl. responder anonymity). Sillä tarkoitetaan verkkopalvelun toteuttamista piilottamalla palvelun 7

12 (a) Tor-reitin muodostaminen. (b) Yhdistäminen piilotettuun palveluun. Kuvio 1: Yhteyksien muodostaminen Tor-verkossa. tarjoajan sijainti asiakkaaltaan. Tor-verkon piilotettujen palveluiden toteutus on varsin monimutkainen, mutta teknisessä mielessä ehkä arkkitehtuurin mielenkiintoisin osakokonaisuus. Näin ollen myös yhdistäminen piilotettuun palveluun on varsin monimutkaista. Piilotettu palvelu muodostuu käytännössä web-palvelimesta ja Tor-välityspalvelimesta, joka käsittelee web-palvelimen verkkoliikenteen. Web-palvelin on voi siten olla täysin tietämätön toimivansa piilotettuna palveluna, vaikka toimiikin virtuaalisesti täysin Tor-verkon sisällä (Dingledine, Mathewson ja Syverson 2004). Piilotettujen palveluiden toiminnan selittämiseksi on välttämätöntä selittää myös tärkeimpiä niihin liittyviä termejä ja toimintoja. Seuraavassa on esitetty niitä alkuperäisen Torspesifikaation (Dingledine, Mathewson ja Syverson 2004) ja myöhemmin päivitetyn koh- 8

13 taamispisteiden spesifikaation (The Tor Project 2013) mukaisesti, mutta yksinkertaistettuna. Esittelypiste (engl. introduction point) on mikä tahansa piilotetun palvelun valitsema Tor-verkon piste, joka toimii normaalin välitystehtävänsä ohella jonkin piilotetun palvelun yhteyden muodostamisen apuna välittäen yhteyspyynnöt piilotetulle palvelulle. Esittelypiste ei tunne piilotetun palvelun sijaintia, mutta ylläpitää yhteyttä siihen. Piilotetulla palvelulla on yleensä kolme esittelypistettä. Kohtaamispiste (engl. rendezvous point) on vastaavasti asiakkaan valitsema piste Torverkossa, joka välittää piilotetun palvelun liikennettä asiakkaalle ja toisin päin. Kohtaamispiste ei pysty purkamaan liikenteen sisältöä asiakkaan ja piilotetun palvelun välisen salauksen takia. Hajautettu tiivistetaulu (engl. distributed hash table tai DHT) on Tor-verkon mekanismi ylläpitää tietoa piilotettuihin palveluihin liittyvistä esittelypisteistä ilman keskuspalvelinta. Hajautetussa tiivistetaulussa on lisäksi mm. tieto piilotettujen palveluiden kanssa tehtävään avaintenvaihtoon tarvittavasta julkisesta avaimesta. Tor-verkon pisteistä osa, niinsanotut HSDir-pisteet (lyhenne sanoista hidden service directory), hallitsee kukin pientä osaa hajautetusta tiivistetaulusta vertaisverkkoperiaatteen mukaisesti. Ne pystyvät myös välittämään tiettyä palvelua koskevia kutsuja pisteelle, jolla on kyseinen osa taulusta. Edelleen alkuperäistä Tor-julkaisua ja kohtaamispisteiden varsinaista spesifikaatiota mukaillen voidaan asiakkaan ja piilotetun palvelun välisen reitin muodostamista kuvata seuraavasti: 1. Piilotettu palvelu valitsee Tor-verkon pisteistä useita omiksi esittelypisteikseen muodostamalla niihin normaalin Tor-reitin, sekä jakaa tiedon (piilotetun palvelun kuvaustiedostot, engl. hidden service descriptors) niistä hajautettuun tiivistetauluun. Yhteydet esittelypisteisiin jäävät auki. 2. Asiakas saa tiedon piilotetun palvelun löytämiseksi käytetystä.onion-osoitteesta Torverkon protokollan ulkopuolelta, esimerkiksi julkiselta verkkosivulta. 3. Asiakas valitsee kohtaamispisteen muodostamalla siihen Tor-reitin. Asiakas lähettää kohtaamispisteelle myös uniikin evästeen. 4. Asiakas hankkii piilotettua palvelua koskevan kuvaustiedoston hajautetusta tiivistetaulusta.onion-osoitteen avulla välittämällä pyynnön oikealle HSDir-palvelimelle. 9

14 5. Saatuaan kuvaustiedoston asiakas rakentaa sen perusteella yhteyden piilotetun palvelun esittelypisteelle. Asiakas toimittaa esittelypisteelle tiedon kohtaamispisteestään sekä ensimmäisen osan sessionsalauksen Diffie-Hellman-tyyppisestä kättelystä. 6. Esittelypiste välittää tiedon asiakkaan evästeestä, kohtaamispisteesta ja kättelytiedoista piilotetulle palvelulle. 7. Piilotettu palvelu muodostaa Tor-reitin kohtaamispisteeseen ja täydentää kättelyn. Kohtaamispiste yhdistää asiakkaan ja piilotetun palvelun reitit evästeen avulla, ja liikenteen välitys voi alkaa. Kuviossa 1b on havainnollistettu reittejä piilotetun palvelun esittelypisteeseen (EP PP ) katkoviivoin ja reittejä kohtaamispisteeseen (KP A PP ) paksuin viivoin. Hajautettu tiivistetaulu on jätetty kuviosta selvyyden vuoksi pois. 10

15 4 Deanonymisointimenetelmät Ajankohtaisesti oleellisessa tutkimuskirjallisuudessa esitetyt piilotettujen palvelujen deanonymisointimenetelmät voidaan jakaa uhkaskenaarion mukaisesti kahteen kategoriaan: Torverkon uhkamallin sisäpuolisiin, suojapisteitä hyödyntäviin menetelmiin ja uhkamallin ulkopuolisiin, yleensä liikennekorrelaatiota hyödyntäviin globaalin tason menetelmiin. Tämä jako ei täysin yksiselitteinen, sillä mahdollista on myös yhdistellä piirteitä molemmista menetelmistä. Jako auttaa kuitenkin hahmottamaan menetelmän käytännöllistä soveltuvuutta. 4.1 Uhkamallin sisäpuoliset menetelmät Uhkamallin sisäpuoliset menetelmät ovat niitä, joissa uhkatekijän voidaan olettaa pitävän hallussaan korkeintaan osaa Tor-verkon pisteistä ja kykenevän tuhoamaan, muokkaamaan ja hävittämään liikennettä (Dingledine, Mathewson ja Syverson 2004; Evans, Dingledine ja Grothoff 2009). Uhkamallin huomioiman uhkatekijän kannalta oleellisten deanonymisointimenetelmien kaksi suurinta haastetta ovat piilotetun palvelun suojapisteen hallinnan saavuttaminen ja tämän hallinnan havaitseminen. Suojapisteen haltuun saamisen onnistuessa riittävällä varmuudella piilotetun palvelun varsinainen deanonymisointi on kuitenkin triviaalia. Kuten kuviossa 1b on esitetty, ainoa piilotetun palvelun IP-osoitteen tunteva piste Tor-verkossa on palvelun käyttämän reitin ensimmäinen piste eli suojapiste. Tästä syystä suojapisteen täytyy tavalla tai toisella olla Tor-verkossa toimivan uhkatekijän hallussa piilotetun palvelun IP-osoitteen selville saamiseksi. Nykyisessä Tor-arkkitehtuurissa suojapiste pysyy normaalitilanteessa jopa kuukausia samana. Suojapisteeksi valittavan välityspisteen on täytettävä käynnissäoloajan ja kaistanleveyden suhteen huomattavia vaatimuksia. Tämän on tarkoitus tehdä suojapistettä hyödyntävistä menetelmistä vaikeita toteuttaa (Dingledine ym. 2014). Suojapisteposition havaitseminen taas on ongelma siitä syystä, että Tor-verkon soluista kaikki muistuttavat salauksen takia toisiaan. Sijoitusta reitillä ei siten voi päätellä suoraan. Lisäksi Tor-verkon pisteiden läpi kulkee useita reittejä, joten yhden tietyn reitin tunnistaminen muiden reittien joukosta on suhteellisen vaikea ongelma (Dingledine, Mathewson ja Syverson 2004). Seuraavissa esimerkeissä on kuitenkin esitetty strategioita molempien ongelmien 11

16 ratkaisemiseksi. On huomattava, että vaikka nämä menetelmät on esitetty loogisesti uhkamallin sisäpuolisina, ne voivat kuitenkin edellyttää huomattavia resursseja Kohdistusmenetelmä Kohdistusmenetelmä (engl. sniper attack) perustuu tiettyyn Tor-verkon pisteeseen kohdistuvaan hidas luku -hyökkäyksen (engl. Slowloris attack) tapaiseen palvelunestohyökkäykseen. Piste voi olla esimerkiksi piilotetun palvelun suojapiste. Menetelmä jakautuu kolmeen vaiheeseen, joista ensimmäisessä pyritään tunnistamaan piilotetun palvelun suojapisteet, toisessa syrjäytetään ne ja kolmannessa pyritään vahvistamaan suojapistepostion saavuttaminen. Ensimmäisessä vaiheessa hyökkääjä luo piilotettuun palveluun lukuisia yhteyksiä ja pyrkii siten tekemään mahdollisimman todennäköiseksi, että piilotetun palvelun reitillä juuri hyökkääjän hallussa oleva piste olisi piilotetun palvelun suojapisteen jälkeisenä pisteenä. Tämä tilanne pyritään tunnistamaan tutkijoiden Biryukov, Pustogarov ja Weinmann 2013 esittämän menetelmän muunnoksen avulla (kts. luku 4.1.3) joko todeksi tai epätodeksi. Toisessa vaiheessa piilotetun palvelun suojapiste tai pisteet pyritään syrjäyttämään. Kohteena olevaan pisteeseen muodostetaan yhteys, jota käytetään datan noutamiseen ulkoiselta palvelimelta. Dataa ei kuitenkaan lueta, vaan pyydetään lähettämään uudestaan kunnes pisteen puskuri lopulta täyttyy ja sen toiminta estyy (Nepal, Dahal ja Shin 2015). Kun suojapisteen toiminta estyy, piilotettu palvelu joutuu valitsemaan uuden suojapisteen. On mahdollista, että joku juuri uhkatekijän hallussa olevista suojapisteistä tulee tällöin valituksi. Uhkatekijän hallitseman välityspisteen valintaa suojapisteeksi voidaan myös nopeuttaa väärentämällä sen kaistanleveysarvoja todellisuutta suuremmiksi (Dingledine ym. 2014; Biryukov, Pustogarov ja Weinmann 2013). Kolmannessa vaiheessa pyritään varmistumaan siitä, onko suojapistepositio saavutettu. Tämä voidaan toteuttaa käyttäen samantyyppistä solujen laskentaan perustuvaa testaamista kuin ensimmäisessä vaiheessa (Jansen ym. 2014). Mikäli suojapistepositio havaitaan, on piilotetun palvelun osoite saatu selville. Mikäli ei, voidaan hyökkäystä iteroida vaihe kerrallaan niin pitkään kunnes se saadaan vietyä onnistuneesti läpi. Kohdistusmenetelmä vaatii sellaisenaan suuren määrän hyökkääjän hallussa olevia suojapis- 12

17 teeksi kelpaavia Tor-verkon pisteitä, mutta yhdessä reitinvalinta-algoritmeja hyödyntävien haavoittuvuuksien kanssa menetelmä on potentiaalisesti yksi tehokkaimmista tiedossa olevista uhkamallin sisäpuolisista enetelmistä Solumanipulaatiomenetelmä Solumanipulaatiomenetelmässä, jonka esitteli Ling ym. 2013, uhkatekijä pitää hallussaan asiakasohjelmaa, kohtaamispistettä ja mittavan määrän potentiaalisia suojapistettä. Siinä hyökkääjä muodostaa ensin asiakasohjelmaa käyttäen reitin piilotettuun palveluun käyttäen omaa kohtaamispistettään. Mikäli reitinmuodostusvaiheessa hyökkääjän hallitsema suojapisteeksi kykenevä välityspiste havaitsee reitin muodostumiseen viittaavan yhdistelmän soluja jollakin reitillään, voidaan pitää mahdollisena, että piilotettu palvelu on valinnut välityspisteen suojapisteekseen. Seuraavassa vaiheessa tämä pyritään varmistamaan siten, että hyökkääjän asiakasohjelma lähettää piilotetulle palvelulle dataa soluina ja kohtaamispiste muuttaa soluista yhtä niin, ettei piilotettu palvelu pysty enää purkamaan sen salausta. Seurauksena piilotettu palvelu purkaa reitin protokollan mukaisesti lähettämällä purkua koskevan hallintasolun asiakkaalle. Piilotetun palvelun löytyminen voidaan varsinaisesti vahvistaa vasta, mikäli muokatun solun välittämisen ja hallintasolun vastaanottamisen välillä (kohtaamispisteellä sekä oletetulla suojapisteellä) havaitaan ajallinen yhteys (Nepal, Dahal ja Shin 2015). Solumanipulaatiomenetelmä ei ole resurssitehokkuudeltaan verrattavissa kohdistusmenetelmään, sillä jonkin tietyn piilotetun palvelun deanonymisoimiseksi uhkatekijän tulisi hallita jopa 30 % Tor-verkon suojapisteistä (Nepal, Dahal ja Shin 2015). Sitä olisi kuitenkin mahdollista käyttää opportunistiseen, passiiviseen ja automatisoituun piilotettujen palveluiden tunnistamiseen. Lisäksi sitä voitaisiin käyttää kohdistushyökkäyksen viimeisessä vahvistusvaiheessa suojapistepostion tunnistamiseen Täytesolumenetelmä Kuten solumanipulaatiomenetelmässäkin, tutkijoiden Biryukov, Pustogarov ja Weinmann 2013 esittämässä menetelmässä kyse on suojapisteposition vahvistamisesta, eikä sen hankki- 13

18 misesta. Menetelmässä uhkatekijällä on hallussaan testattavan pisteen suojapisteenä toimiva välityspiste sekä kohtaamispiste. Siinä hyökkääjä hankkii reitin piilotetulta palvelulta kohtaamispisteelleen ja lähettää tietyn sekvenssin reittivälikohtaisia täytesoluja ja hallintasolun piilotetulle palvelulle. Samanaikaisesti hyökkääjän suojapiste laskee, näkeekö se jollakin reitillään vastaavaa hallintasolua ja laskee, täsmääkö reitillä välitettyjen solujen määrä sen luomiseen ja kohtaamispisteen lähettämän täytesolujen sekvenssiin liittyvien solujen määrän kanssa. Jos solujen määrä täsmää, piilotettu palvelu on hyvin suurella varmuudella valinnut hyökkääjän välityspisteen suojapistekseen, joten piilotetun palvelun osoite on saatu selville. Vuoden 2012 kokeilunsa perusteella he päättelivät, että jonkin tietyn piilotetun palvelun deanonymisoimiseksi kahdeksan kuukauden aikana yli 90 % onnistumisvarmuudella tarvittaisiin ainoastaan hiukan yli 20 suojapisteeksi kelpaavaa palvelinta. Palvelimien määrää ja kaistanleveyttä kasvattamalla varmuus kasvaisi vieläkin suuremmaksi. On kuitenkin huomattava, että kirjoitushetkellä Tor-verkon välityspisteiden määrä on noin kaksinkertainen vuoden 2012 tasoon nähden, joten vastaavat suhdeluvut eivät enää pidä paikkaansa (Tor Metrics). Täytesolumenetelmää vastaan ei tiettävästi ole edes kehitetty vastatoimia, sillä sen hyödyntämä Tor-arkkitehtuurin ominaisuus kuuluu sen perusrakenteeseen (Biryukov, Pustogarov ja Weinmann 2013). Haavoittuvuuden paikkaaminen vaatisi luultavasti koko kohtaamispistejärjestelmän uudelleen suunnittelua. Sen sijaan suojapisteiden pysyvyyttä on pidennetty yleisesti kaikkien suojapistettä hyödyntävien hyökkäysten vaikeuttamiseksi (Dingledine ym. 2014). Tämä ei kuitenkaan estä kokonaan suojapistettä hyödyntävien menetelmien käyttöä Suojapisteen sijoitusmenetelmä Tor-verkon normaalit reitinvalinta-algoritmit perustuvat satunnaisuuteen, ja niitä vastaan on esitetty joukko anonymiteettiä heikentäviä globaalin tason hyökkäyksiä (Sun ym. 2015). Puolustuksena joitakin Tor-reitityksen heikkouksia hyödyntäviä hyökkäyksiä vastaan on esitetty myös joukko vaihtoehtoisia reitinvalinta-algoritmeja. Näihin kuuluvat esimerkiksi De- NASA, Counter-RAPTOR ja Las-TOR (Wan ym. 2019). Kuten Wan ym tutkimuksessaan esittävät, jotkin nykyiset Tor-verkon normaalien rei- 14

19 tinvalinta-algoritmien sijaan käytetyt, esimerkiksi välityspisteiden sijaintia painottavat algoritmit mahdollistavat kuitenkin suhteellisen huonostikin resursoidun uhkatekijän saavuttaa halutun suojapisteen hallinnan melko suurella todennäköisyydellä. Tätä he kutsuvat suojapisteen sijoitusmenetelmäksi (engl. guard placement attack). Siinä pyritään löytämään strategisesti optimaalinen sijoitus, kaistanleveys ja määrä välityspisteille, jotta ne tulisivat valituksi kohteen suojapisteeksi suhteettoman suurella todennäköisyydellä uhkatekijän resursseihin nähden. Sijoituksella tarkoitetaan välityspisteen sijaintia autonomisten järjestelmien verkossa, ja se voidaan saavuttaa esimerkiksi palvelimia vuokraamalla. Esimerkkinä he mainitsevat, että suojapisteen sijoitushyökkäyksellä voidaan parantaa välityspisteen valitsemisen mahdollisuutta suojapisteeksi eräässä tapauksessa yli 80-kertaisella todennäköisyydellä normaaliin nähden. Vaikka suojapisteen sijoitusmenetelmä on esitelty lähinnä Tor-verkon käyttäjien seurantaa ja deanonymisointia mahdollistavana menetelmänä, sillä olisi yhtä hyvin mahdollista parantaa piilotettujen palveluiden suojapisteposition saavuttamisen mahdollisuutta. 4.2 Uhkamallin ulkopuoliset menetelmät Uhkamallin ulkopuolisissa menetelmissä uhkatekijän voidaan olettaa pystyvän seuraamaan merkittävää osaa Tor-verkon pisteiden liikenteestä pitämättä niitä hallussaan. Käytännössä uhkatekijän on tällöin tunnettava piilotetun palvelun IP-osoite sekä nähtävä piilotetun palvelun ja sen suojapisteen välinen liikenne kuljetuskerroksen hallinnan kautta. Tämä tarkoittaa sitä, että uhkatekijällä on oltava esimerkiksi Internet-operaattorin tai autonomisen järjestelmän tasoinen näkymä verkkoon, jossa piilotettu palvelu sijaitsee (Wan ym. 2019). Uhkamallin ulkopuolinen skenaario voisi tulla kyseeseen myös esimerkiksi suljetussa simulaatiossa Tor-verkosta. Tutkijat Elices ja Pérez-González 2013 tutkimuksessaan esittivät globaalin uhkatekijän skenaarion mukaisen menetelmän, jossa mitataan ainoastaan TCP-paketteja Tor-solujen sijaan. Esitetyssä menetelmässä pyritään havaitsemaan asiakaan lähettämän HTTP-GET-pyynnön aiheuttama liikenteen lisääntyminen piilotetun palvelun ja suojapisteen välillä laskemalla todennäköisyys sille, että havainnoidut TCP-paketit sisältävät asiakkaan lähettämät Tor-solut. 15

20 Menetelmän eräs huono puoli on siinä, että se olettaa piilotetun palvelun käyttävän vain yhtä suojapistettä, eikä se vaikuta ottavaan Tor-arkkitehtuurin jo mahdollistamaa tyhjien solujen lähettämistä huomioon. Näin ollen menetelmä on osin varsin spekulatiivinen. Samankaltaista ominaisuuksia hyödyntävää menetelmää ovat esittäneet myös Zhang ym konservatiivisemmassa skenaariossa, jossa hyökkääjällä on suojapiste hallinnassaan. Suurimmassa osassa globaalin tason deanonymisointimenetelmiä on kuitenkin kyse liikennekorrelaation löytämisestä verkon kahden pisteen välillä. Esimerkki tällaista hyökkäysmallia koskevasta käytännön tutkimuksesta on tutkijoiden O Gorman ja Blott 2007 esittämä laaajan mittakaavan mallinnus, jossa mitattiin liikennevirtojen ja korrelaation onnistumisen suhdetta. Liikennekorrelaatiota hyödyntävät deanonymisointimenetelmät ovat pääasiallinen matalan latenssin anonymisointiverkkojen hyökkäystapa (Nasr, Bahramali ja Houmansadr 2018). Liikennekorrelaatiota voidaan hyödyntää osana uhkamallin sisäpuolisia hyökkäyksiä, ja globaalin tason hyökkäyksissä se on lähestulkon ainoa oleellinen asia deanonymisoinnin onnistumiseksi. On tosin huomattava, että suurta osaa korrelaatiota hyödyntävistä menetelmistä ei voida käyttää sellaisenaan piilotettujen palveluiden deanonymisointiin. Jos uhkatekijä pystyyy valvomaan matalan latenssin verkossa kaikkia pisteitä, tarvitaan ainoastaan tehokas liikennekorrelaation havaitsemiseen käytettävä algoritmi liikenteen osapuolien selvittämiseen riippumatta verkon rakenteesta tai vaikkapa reitin hyppyjen määrästä. Käytännössä Tor-verkon koko aiheuttaa kuitenkin jo nykyisellään suuren haasteen korrelaatiohyökkäyksille, sillä se tekee liikenteestä monimutkaista ja kohinaista (Nasr, Bahramali ja Houmansadr 2018). Nurmi ja Niemelä 2017 ovat demonstroineet tutkimuksessaan erittäin yksinkertaista korrelaatioon perustuvaa deanonymisointiskenaariota. Siinä he pitivät hallussaan kymmentä Torverkon välityspistettä, jotka toimivat suojapisteinä sadalle piilotetulle palvelulle (ja näin ollen tunsivat piilotettujen palveluiden IP-osoitteet). Hallitsemansa asiakasohjelman avulla he lähettivät sellaista HTTP-liikennettä piilotetuille palveluille, joka Tor-verkossa muotoutui helposti tunnistettaviksi liikenneintervalleiksi (kts. kuvio 2). Suojapisteiden välitysliikennettä seuraamalla he onnistuivat tunnistamaan lähettämänsä liikenteen ja siten löytämään korre- 16

21 laation piilotetulle palvelulle lähetetyn liikenteen ja sitä vastaanottavan IP-osoitteen välillä. Kuvio 2: Liikennekorrelaation havaitseminen asiakkaan ja suojapisteen välillä (Nurmi ja Niemelä 2017; Nurmi 2019). Tutkimuksessa käytetyt suojapisteet ja piilotetut palvelut olivat tutkimusta varten luotuja, jolloin korrelaation löytäminen on triviaalia. Todellisen Tor-verkon ja aitojen piilottujen palveluiden liikennemäärät ovat potentiaalisesti paljon suurempia, mikä tekee tietyn liikenneintervallin löytämisestä vaikeaa ilman erittäin kehittyneitä algoritmeja (Nasr, Bahramali ja Houmansadr 2018). Kehittyneemmätkin korrelaatioon perustuvat deanonymisointimenetelmät toimivat siitä huolimatta samalla periaatteella. Edellä mainituista syistä liikennevirtojen korrelaation havaitsemiseen käytetyn menetelmän tai algoritmin tehokkuus ja tarkkuus on itse asiassa yksi tärkeimmistä deanonymisointimenetelmän suorituskykyyn vaikuttavista asioista. Nasr, Bahramali ja Houmansadr 2018 tutkimuksessaan ovat esittäneet, että monet korrelaatioon perustuvista deanonymisointimenetelmistä (esimerkiksi tutkijoiden Sun ym esittämä RAPTOR) ovat osoittautuneet epätarkoiksi. Heidän mukaansa niissä korrelaation etsimiseen käytetyt algoritmit ovat käytännöllisiä yleisluontoiseen ja ennustettavaan liikenteen seurantaan, mutta eivät sovellu erityisen hyvin Tor-verkon epälineaariseen ja monimutkaiseen liikenteeseen. Tutkimuksessaan he ovat käyttäneet korrelaation löytämiseen DeepCorr:ksi kutsumaansa menetelmää, joka perustuu Tor-verkon liikenteen karakteristointiin neuroverkkojen avulla. Siinä tarkoitus on löytää syväoppimisen avulla korrelaatiofunktio, joka pätee nimenomaan Tor-verkon liikentee- 17

22 seen riippumatta siitä, minkä reitin kautta seurattava liikennevirta on kulkenut. DeepCorr on luonteeltaan kokeellinen menetelmä korrelaation havaitsemiseen, mutta sen tutkimustulokset ovat mielenkiintoisia. Tutkijoiden mukaan DeepCorr suoriutuu merkittävästi aikaisempia korrelaatioalgoritmejä paremmin tarkkuuden osalta. Esimerkkinä he mainitsevat mittaamansa 60 % parannuksen aikaisempiin algoritmeihin nähden havainnoidulla 300 paketin liikennevirralla, saaden oikeiden positiivisten tulosten osuudeksi 80 %. Vaikka DeepCorr-tutkimuksessa käytetyt datamäärät ovat hyvin rajallisia ja menetelmän soveltaminen hyökkäykseen tuskin olisi sellaisenaan käytännöllistä, tutkimusaihe on tärkeä avaus koneoppimisen soveltamisesta Tor-verkon liikenteen analysointiin. DeepCorr hyödyntää koneoppimista juuri sellaisessa ongelmassa, joka on koneoppimiselle omiaan ja jossa tilastolliset menetelmät eivät välttämättä ole tehokkaita jatkuvan muutoksen takia. Iteratiiviseksi rakennettuna, siis useassa erässä tehtävä liikennevirtojen jalostaminen korrelaation löytämiseksi, voi olla niin tehokasta että Tor-verkon arkkitehtuuria on lopulta kovennettava sitä vastaan. 18

23 5 Deanonymisoinnin vastatoimet Anonymisointiverkko voitaisiin rakentaa myös siten, että solut lähetettäisiin sekoitetussa järjestyksessä (engl. mixing), niiden välitykseen lisättäisiin keinotekoista viivettä (engl. shaping) tai lähettämällä varsinaisten solujen välissä keinotekoisia täytesoluja (engl. padding cells) reitin pisteiden välillä. Tällaisen verkon toteuttaminen ei kuitenkaan ole ongelmatonta muun muassa kasvaneen latenssin takia. Tutkijat Acquisti, Dingledine ja Syverson 2003 tutkimuksessaan esittivät havainnon, jonka mukaan anonymiteetin parantaminen vähentää anonymisointiverkon houkuttelevuutta, jos se vaikuttaa suorituskykyyn heikentävästi. Solujen sekoittaminen olisi väistämättä monimutkainen ja viiveitä lisäävä menetelmä, eikä se välttämättä estä korrelaatiohyökkäyksiä. Liikenteen muotoilu keinotekoisia viiveitä lisäämällä taas on Tor-verkon käyttämän TCP-protokollan takia hankalaa toteuttaa, sillä TCP reagoi liian pitkiin viiveisiin. Murdoch ja Danezis 2005 tutkimuksessaan esittivät kaksi spekulatiivista vaihtoehtoa liikennevirtojen muotoiluun korrelaation estämiseksi: täydellisen yhdenmukaiset liikennevirrat tai sen vastakohta, interferenssiltään mahdollisimman satunnainen verkkoliikenne jokaiselta verkon pisteeltä. Jälkimmäisen vaihtoehdon välitön seuraus olisi latenssin kasvaminen, mutta ensimmäistä vaihtoehtoa ei tiettävästi ole tutkittu kattavasti. Koska Tor-verkon tarkoituksena ei kuitenkaan ole puolustautua globaalia uhkatekijää vastaan, on pidettävä varsin todennäköisenä, että näitä menetelmiä ei jatkossakaan tulla ottamaan siinä käyttöön suorituskykyhaitan vuoksi. Täytesolujen lisääminen sen sijaan on varteenotettava menetelmä myös Tor-verkossa, ja sitä esitetään tutkimuskirjallisuudessa usein ratkaisuksi korrelaatiohyökkäyksiä vastaan. Tutkijoiden Diaz, Murdoch ja Troncoso 2010 tutkimuksen mukaan ratkaisu ei olisi triviaali, sillä täytesolujen määrä kasvaa nopeasti suhteettoman suureksi kasvattaen verkon kuormaa ilman älykästä ennaltaehkäisyä. Tällä hetkellä Tor tukee linkkikohtaisten (välityspisteeltä toiselle) ja reittikohtaisten (päästä päähän) täytesolujen lähettämistä. Lisäksi on otettu käyttöön kokeellisia ratkaisuita niin sanotun adaptiivisen täydentämisen käyttämiseksi verkkosivujen tunnistushyökkäyksiä (engl. website fingerprinting) vastaan (Juarez ym. 2016). Näitä täydennysmenetelmiä voidaan käyttää lisäksi esimerkiksi yhteyden ylläpitoon, mut- 19

24 ta automaattisesti niitä ei nykyisessä Tor-verkossa hyödynnetä (Perry ja Kadianakis 2019). Sitä paitsi kumpaakaan kahdesta ensiksi mainitusta täytesolutyypistä ei voida käyttää korrelaatiohyökkäysten estämiseen, sillä linkkikohtainen solu voidaan tunnistaa täytesoluksi välityspisteellä, ja reittikohtaisia soluja voi lähettää vain liikenteen alkupiste (Diaz, Murdoch ja Troncoso 2010). Toisin kuin esimerkiksi Nurmi 2019 väitöskirjassaan antaa ymmärtää, Tor ei siis automaattisesti tue sellaista täytesolujen välittämistä, josta olisi hyötyä kaikkien korrelaatiohyökkästen estämisessä (Nasr, Bahramali ja Houmansadr 2018). Kokeellisen, tutkijoiden Juarez ym esittämän adaptiivinen menetelmän soveltuvuudesta korrelaatiohyökkästen estämiseen piilotettujen palveluiden deanonymisoinnissa ei ole toistaiseksi kattavaa tutkimustietoa. Täytesolujen tehokas käyttö on kuitenkin potentiaalisesti ainoa menetelmä, jolla Torverkon anonymiteettiä voidaan arkkitehtuurin näkökulmasta oleellisesti parantaa, joten sitä koskevaa tutkimustietoa voitaneen odottaa lähitulevaisuudessa. Eräs Tor-verkon käyttäjän anonymiteettiin vahvasti vaikuttava asia on asiakasohjelman käyttämä reitinvalinta-algoritmi. Kuten tutkijat Wan ym tutkimuksessaan esittävät, satunnaisuuteen perustuvan reitinvalinnan sijaan on mahdollista käyttää myös sijaintiin perustuvia algoritmeja esimerkiksi latenssin parantamiseksi (Wan ym. 2019), mutta nämä voivat altistaa käyttäjän uusille hyökkäyksille. Tutkimuksessa on esitetty myös korjaava algoritmi vastatoimena menetelmälle. Lisäksi tutkijoiden Hanley ym esittämä parannettu suojapisteen valinta-algoritmi on osoitus lupaavalta vaikuttavasta kehityksestä reitinvalinnan turvallisuuden parantamiseksi. Koska kyseessä on uhkamallin sisäinen haavoittuvuus, on luultavaa, että näillä tutkimustuloksilla on vaikutusta Tor-verkon kehitykseen. On kuitenkin epäselvää, olisiko esitetyistä algoritmeista apua edelleen kehittyneempiä hyökkäyksiä, kuten DeepCorrmenetelmää hyödyntävää korrelaatiohyökkäystä vastaan. Tor-verkon laajeneminen on sen turvallisuutta lisäävä tekijä jo yksinään. Esimerkiksi tutkijoiden Ling ym esittämä menetelmä vaatii, että uhkatekijällä on käytännössä hyvin merkittävä osa verkon suojapisteiksi kelpaavista pisteistä hallinnassaan ollakseen tehokas sellaisenaan. Niinpä verkon pisteiden lisääntyminen tekee vastaavanlaisten hyökkäysten toteuttamisesta haasteellista mille tahansa yksittäiselle toimijalle. 20

25 6 Johtopäätökset ja jatkotutkimus Deanonymisointihyökkäyksen varteenotettavuus vaikuttaa tutkimusten valossa olevan hyvin riippuvainen Tor-verkon senhetkisistä ominaisuuksista. Tor-verkossa ei vaikuta olevan sellaisia deanonymisoinnille altistavia rakenteellisia ongelmia, joita ei olisi mahdollista paikata arkkitehtuuria parantamalla. On kuitenkin huomioitava, että kaikkiin tälläkään hetkellä tunnettuihin menetelmiin ei ole odotettavissa vastatoimia niin pitkään, kun Tor-verkon uhkamalli ei huomioi globaalia uhkatekijää. Lisäksi jotkut haavoittuvuudet vaikuttavat olevan niin vaikeita korjata aiheuttamatta muuta suorituskykyhaittaa, että niihin ei ole vielä esitetty kunnollista ratkaisua. Käytännöllisesti katsoen parhaimmatkin tällä hetkellä tunnetuista Tor-verkon arkkitehtuuriin perustuvista deanonymisointimenetelmistä vaikuttavat edellyttävän varsin mittavia resursseja, eivätkä ne siten ole triviaaleja toteuttaa. Hyvin resursoidulle uhkatekijälle piilotettujen palveluiden deanonymisointi opportunistinen tai kohdennettu on kuitenkin vielä nykyisinkin täysin mahdollista. Lisäksi on huomioitava, että tässä tutkielmassa ei ole käsitelty esimerkiksi käyttäjän huolellisuuteen liittyviä deanonymisointimenetelmiä, jotka ovat potentiaalisesti jopa merkittävämpi uhka piilotettujen palveluiden anonymiteetille (Nurmi 2019). Käytännössä uhkamallin sisäpuolinen piilotetun palvelun deanonymisointihyökkäys vaatisi useiden menetelmien yhdistämistä arkkitehtuurin sisä- ja ulkopuolelta. Uhkamallin ulkopuolinen hyökkäys taas luultavasti vaatisi nykyisin kehittynyttä koneoppimista onnistuakseen. Deanononymisointia koskevaa jatkotutkimusta olisi mahdollista kehittää vertailemalla kerrosarkkitehtuurissa Tor-verkon päällä toimivien protokollien anonymiteettiä uhkaavia haavoittuvuuksia. Tällaisia menetelmiä on esitellyt suppeasti muun muassa Nurmi ja Niemelä 2017, mutta aihepiiristä vaikuttaa olevan suhteelisen vähän ajantasaista kokoavaa tutkimusta. Toisaalta arkkitehtuurin uhkamallin sisä- ja ulkopuolisia deanonymisointimenetelmiä yhdistelevällä kokeellisella tutkimuksella voisi olla merkittävää vaikutusta Tor-verkon tulevaisuuden kannalta. 21

26 Lähteet Acquisti, Alessandro, Roger Dingledine ja Paul Syverson On the Economics of Anonymity. Teoksessa Financial Cryptography, doi: / _7. Biryukov, Alex, ja Ivan Pustogarov Bitcoin over Tor isn t a Good Idea, doi: /sp Biryukov, Alex, Ivan Pustogarov ja Ralf-Philipp Weinmann Trawling for Tor Hidden Services: Detection, Measurement, Deanonymization. Teoksessa 2013 IEEE Symposium on Security and Privacy, doi: /sp Cambiaso, Enrico, Ivan Vaccari, Luca Patti ja Maurizio Aiello Darknet Security: A Categorization of Attacks to the Tor Network. Teoksessa In Proceedings of the Third Italian Conference on Cyber Security. doi: /zenodo Day, John, ja Hubert Zimmermann The OSI reference model. Proceedings of the IEEE 71 (12): Diaz, Claudia, Steven Murdoch ja Carmela Troncoso Impact of Network Topology on Anonymity and Overhead in Low-Latency Anonymity Networks. Teoksessa Privacy Enhancing Technologies: 10th International Symposium, PETS, 6205: doi: / _11. Dingledine, Roger, Nicholas Hopper, George Kadianakis ja Nick Mathewson One Fast Guard for Life ( or 9 months ). Dingledine, Roger, Nick Mathewson ja Paul Syverson Tor: The Second-Generation Onion Router. Teoksessa Proceedings of the 13th Conference on USENIX Security Symposium, nide 13. SSYM 04. USA: USENIX Association. Elices, Juan, ja Fernando Pérez-González Locating Tor hidden services through an interval-based traffic-correlation attack, doi: /cns

27 Europol Internet Organized Crime Threat Assesment Saatavilla WWW-muodossa, s/internet-organised-crime-threat-assessment-iocta-2019, viitattu Evans, Nathan, Roger Dingledine ja Christian Grothoff A Practical Congestion Attack on Tor Using Long Paths. Teoksessa In 18th USENIX Security Symposium, USENIX Association. Goldschlag, David M., Michael G. Reed ja Paul F. Syverson Hiding Routing Information. Teoksessa Proceedings of the First International Workshop on Information Hiding, doi: / _37. Hanley, Hans, Yixin Sun, Sameer Wagh ja Prateek Mittal DPSelect: A Differential Privacy Based Guard Relay Selection Algorithm for Tor. Proceedings on Privacy Enhancing Technologies 2019 (2): doi: /popets Jansen, Rob, Florian Tschorsch, Aaron Johnson ja Björn Scheuermann The Sniper Attack: Anonymously Deanonymizing and Disabling the Tor Network. Teoksessa Proceedings of the Network and Distributed Security Symposium - NDSS 14. IEEE, helmikuu. Juarez, Marc, Mohsen Imani, Mike Perry, Claudia Diaz ja Matthew Wright Toward an Efficient Website Fingerprinting Defense, 9878: doi: / _2. Ling, Zhen, Junzhou Luo, Kui Wu ja Xinwen Fu Protocol-level Hidden Server Discovery, doi: /infcom Manils, Pere, Chaabane Abdelberi, Stevens Blond, Mohamed Ali Kaafar, Claude Castelluccia, Arnaud Legout ja Walid Dabbous Compromising Tor Anonymity Exploiting P2P Information Leakage. Murdoch, S. J., ja G. Danezis Low-cost traffic analysis of Tor. Teoksessa 2005 IEEE Symposium on Security and Privacy (S&P 05), doi: /sp Nasr, Milad, Alireza Bahramali ja Amir Houmansadr DeepCorr: Strong Flow Correlation Attacks on Tor Using Deep Learning. doi: /ndss

28 Nepal, Sabita, Saurav Dahal ja Seokjoo Shin Deanonymizing schemes of hidden services in tor network: A survey, doi: /icoin Nurmi, Juha Understanding the Usage of Anonymous Onion Services: Empirical Experiments to Study Criminal Activities in the Tor Network. Tohtorinväitöskirja, Tampereen Yliopisto. Nurmi, Juha, ja Mikko S. Niemelä Tor de-anonymisation techniques. Teoksessa Network and System Security, Lecture Notes in Computer Science. Springer. O Gorman, Gavin, ja Stephen Blott Large Scale Simulation of Tor: Modelling a Global Passive Adversary. Teoksessa Annual Asian Computing Science Conference, doi: / _5. Perry, Mike, ja George Kadianakis Tor Padding Specification. Saatavilla WWWmuodossa, https : / / github. com / torproject / torspec / blob / master / padding-spec.txt, viitattu Sun, Yixin, Anne Edmundson, Laurent Vanbever, Oscar Li, Jennifer Rexford, Mung Chiang ja Prateek Mittal RAPTOR: Routing Attacks on Privacy in Tor. Teoksessa 24th USENIX Security Symposium (USENIX Security 15), ISBN: The Tor Project Tor Rendezvous Specification. Saatavilla WWW-muodossa, https: //gitweb.torproject.org/torspec.git/tree/rend- spec- v3.txt, viitattu Tor Metrics. Saatavilla WWW-muodossa, viitattu Wan, Gerry, Aaron Johnson, Ryan Wails, Sameer Wagh ja Prateek Mittal Guard Placement Attacks on Path Selection Algorithms for Tor. Proceedings on Privacy Enhancing Technologies 2019 (4): doi: /popets Zhang, Lu, Junzhou Luo, Ming Yang ja Gaofeng He Application-level attack against Tor s hidden service : doi: /icpca Øverlier, Lasse, ja Paul Syverson Locating hidden servers. Teoksessa 2006 IEEE Symposium on Security and Privacy (S P 06), doi: /sp