Tor, Almanya’nın ‘zamanlama saldırısından’ sonra hâlâ güvende mi? Cevap: Her şey karmaşık…

Yirmi yılı aşkın deneyime sahip deneyimli bir siber güvenlik uzmanı olarak Tor ve Ricochet-Refresh gibi teknolojilerdeki gelişmelerin gerçekten büyüleyici olduğunu söylemeliyim. Gizlilik savunucuları ile gizliliği baltalamak isteyenler arasında devam eden kedi-fare oyunu, her iki tarafın da dayanıklılığının bir kanıtıdır.

2021 yılı, Alman yetkililerin bir karanlık ağ suç sitesinin yöneticisini tanımlamak için kullandıkları metodolojiye ilişkin yeni bilgilerin açığa çıkmasına tanık oldu ve Tor ağının gizliliğindeki önemli bir zayıflığı ortaya çıkardı.

Eylül 2024 tarihli bir rapora göre, yetkililerin zaman analizi kullanarak ve sunucuları hackleyerek çocuk pornografisi karanlık ağ sitesi “Boystown”un şüpheli operatörü “Andres G”nin IP adresini takip etmiş olabileceğine inanılıyor. Ancak kullanılan kesin yöntemler yetkililer tarafından açıklanmadı.

Tor, kesin bir bilgiye sahip olmadığını belirtiyor ancak Alman yetkililerin operasyonunda, yakalanan kişinin kullandığı, Ricochet olarak bilinen eski bir sohbet aracının istismar edilmiş olabileceğine inanıyor.

Alman medya kuruluşlarındaki haberlere tepki olarak Tor, bir blog girişinde kullanıcıların internette güvenli ve anonim gezinmek için tarayıcılarını kullanmaya devam edebileceklerini belirtti.

Aktarıcıları ve veri kapasitesini geliştirmenin ötesinde, Tor ağ ekibi son zamanlarda savunma sistemlerini desteklemek, hızı artırmak ve genel performansı artırmak için önemli güncellemeler uyguladı. Bu, Tor’un Stratejik İletişim Direktörü Pavel Zoneff tarafından CryptoMoon ile yaptığı görüşme sırasında paylaşıldı.

Tor’un ağını inceleyen bir araştırmacı olarak savunmasının inkar edilemez şekilde güçlendirildiğini doğrulayabilirim. Ancak bunu tamamen nüfuza karşı dayanıklı olarak etiketlemek daha incelikli bir bakış açısıdır.

CEO Michal Pospieszalski’ye göre, trafiği her iki uca bağlayabileceğiniz başlangıç, varış ve stratejik noktalardaki veri hareketlerini denetleyebiliyorsanız, bu tür veri akışlarına zamanlama analizi saldırıları gerçekleştirmek her zaman mümkün olur. Bir güvenlik altyapısı şirketi olan MatterFi’den.

“Bu, Tor’un yükseltmelerinin bunu olağanüstü derecede zorlaştırdığını gösteriyor ancak bunun imkansız olduğu söylenemez.”

Tor’un modası geçmiş savunma hattına nüfuz

Panorama ve araştırmacı YouTube kanalı STRG_F’ye göre, davayla ilgili belgeleri incelediler ancak zamanlama analizlerinin ardındaki metodoloji hakkında ayrıntılı bilgi vermediler. Bununla birlikte, bu soruşturmanın, Andreas G.

Zoneff’a göre, The Tor Project’ten elde edilen verilere dayanarak, artık üretilmeyen Ricochet yazılımını kullanan bir kişinin, bir güvenlik keşif saldırısı nedeniyle anonimliğinin tehlikeye girmiş olabileceğine inanılıyor.

Web sitelerine göz atmak için Tor kullanıldığında, trafik genellikle üç düğüm grubundan geçer: giriş (veya koruma) düğümleri, orta röleler ve son olarak çıkış düğümleri. Koruma düğümü bu devrede kullanıcının IP adresini bilen tek düğümdür.

Tor ağında gizlenen Ricochet gibi hizmetler için herhangi bir çıkış düğümü yoktur. Bunun yerine bağlantılar Tor ağının kendi içinde, bir buluşma noktasında kurulur. Bu, verilerin ağdan çıkıp internete girmediği anlamına gelir. Bu buluşma noktası, iki kullanıcı (Ricochet kullanıcıları gibi) arasındaki anonim iletişimi kolaylaştırır.

Tor, Almanya'nın 'zamanlama saldırısından' sonra hâlâ güvende mi? Cevap: Her şey karmaşık...

Ricochet’nin daha önceki bir sürümüne yönelik teorik bir saldırıda yetkililer, Tor ağındaki birkaç önemli düğümü manipüle etmeyi hedefleyebilir. Bunu yaparak, sistem aracılığıyla iletilen verileri yakalama ve ele geçirme olasılıklarını artıracaklar.

Bu tür saldırılara Sybil saldırısı adı veriliyor ve cüzdan kurtarma firması Brute Brothers’ın CEO’suna göre önemli miktarda kaynak gerektiriyor.

Bu yöntem yerine kullanıcının Ricochet adresini çok sayıda istek veya paketle doldurmayı seçebilirler. Bu eylem, kullanıcıyı yeni Tor devreleri başlatmaya zorlar. Tor her devre için yeni bir aktarıcı (orta düğüm) atadığından, amaç sonunda yetkililer tarafından işletilen kötü niyetli bir orta düğüm aracılığıyla bağlantı kurmaktır. Bu tür düğümleri ne kadar çok kontrol ederlerse, bu stratejide başarı olasılıkları da o kadar artar.

Potansiyel olarak zararlı bir aracı sunucuya bağlantı kurulduğunda, yetkililerin kullanıcının IP adresini hızlı bir şekilde doğrudan tespit etmesi zor olabilir. Bununla birlikte, saldırıya uğramış ara sunucudan geçen veri akışını, ilk (koruyucu) düğümde fark edilen trafik modelleri ile karşılaştırmak için zamanlama analizini kullanabilirler.

Zamana dayalı analiz, veri paketlerinin bir düğümden diğerine gitmesi için geçen sürenin titizlikle değerlendirilmesini gerektirir. Bu zaman ölçümlerini inceleyerek, şüpheli kişi tarafından hangi gözetim düğümünün kullanılmış olabileceğini potansiyel olarak belirlemek mümkündür.

Koruma düğümünün yeri belirlendiğinde ilgili yetkililer, o koruma düğümüne bağlı İnternet Servis Sağlayıcısından (İSS) kullanıcının ilgili IP adresini isteyebilir.

Bu, hedefin anonimliğini etkili bir şekilde ortadan kaldıracaktır.

CryptoMoon, aşağıdaki yaklaşımın Alman yetkililer tarafından kesin olarak uygulandığını iddia etmiyor, bunun yerine bunu kolluk kuvvetlerinin bir şüpheliyi nasıl tespit edebileceğini gösteren potansiyel bir senaryo olarak sunuyor.

Tor, şüpheli saldırı vektörünün güncelliğini kaybetmiş olabileceğini söylüyor

Tor’un yapısındaki son güncellemeler, bu tür Sybil saldırılarının gerçekleştirilmesini çok daha zorlaştırıyor. 

Güvenli ve gizli Web3 araçlarının oluşturulmasında uzmanlaşmış bir kuruluş olan Secret Foundation’da bir analist olarak, çoğu zaman müşterilerimizin bazılarının kendilerine özgü zorluklara veya gezinmeleri gereken hassasiyetlere sahip olabileceğini görüyorum.

“Güvenlik açıkları her zaman bulunacak ve sorumlu ekipler tarafından mümkün olan en kısa sürede kapatılacak.”

2019, orijinal Ricochet’in sonlandırılmasına ve ardından Ricochet-Refresh ile değiştirilmesine tanık oldu. Bu yeni yineleme, benzer türdeki saldırılarla mücadele etmeyi amaçlayan bir tasarım olan “öncü” sistemi içeriyor.

Bir Sybil saldırı vektörü, orta düğümlerin rastgele örneklenmesinden yararlanır. 

Güncellenen Vanguard tasarımında devreler artık dönüş zamanlamalarının rastgele değiştirildiği röle gruplarına tahsis ediliyor.

Bu, bir devre içindeki tüm atlamaların bir grup düğüme sabitlendiği anlamına gelir.

Tor, Almanya'nın 'zamanlama saldırısından' sonra hâlâ güvende mi? Cevap: Her şey karmaşık...

Böyle bir senaryoda, kötü niyetli varlıkların Ricochet-Refresh sistemindeki bir kullanıcıya yönelik akın etkileşimleri amacıyla zararlı düğümler kurması durumunda, bu mesajlar tuzak düğümlerine bağlanamayacaktır.

Uygulanan herhangi bir güvenlik önlemi için her zaman karşılık gelen bir karşı eylem veya yanıt vardır” diye belirtti Weinberger.

Acil tehdidi önemli ölçüde azaltmış olsalar da, bunun tamamen bağışık olmadığını anlamak önemlidir” diye belirtti ve ayrıca gelişmiş ülkelerin, geniş kaynakları nedeniyle kullanıcıların maskesini düşürmede daha başarılı olabileceğini açıkladı.

Tor düğümü açısından zengin Almanya

Tor’un gizlilik özellikleri, düğümleri dünya çapında merkezi değilse daha güçlü hale gelir. 

Zoneff, mümkünse bireylerin Tor ağını genişletmek ve zenginleştirmek için gönüllü olarak bant genişliği ve aktarmalar sağlayarak yardım etmelerini önerdi. Bunu yaparak Tor ağı içindeki çeşitli donanım, yazılım ve coğrafi bileşenleri koruyacağız ve bu da onun istikrarını ve güvenliğini artıracaktır.

Şu anda Tor’un aktarıcılarının büyük bir kısmı Almanya’da.

Tor, Almanya'nın 'zamanlama saldırısından' sonra hâlâ güvende mi? Cevap: Her şey karmaşık...

Tor Metrics verilerine göre, 18 Ekim itibarıyla Almanya, her 500 Tor geçiş düğümünden yaklaşık 232’sine ev sahipliği yapıyordu. Ek olarak Almanya, bant genişliği ve sunucu kapasitesi gibi faktörleri hesaba katan bir ölçüm olan en yüksek fikir birliği ağırlığına sahip olarak dünya çapında tanınmaktadır.

Ağ içindeki toplam seçim ağırlığının yaklaşık %36,73’ü toplu olarak Alman rölelerine atfedilmektedir.

Weinberger’e göre, bir kullanıcı bir yetki alanıyla bağlantı kurduğunda, kendisine daha yakın olan bir sunucuyu seçmek için fiziksel konumuna bağlı değildir.

Tor istemcisinin daha yavaş olana göre üstün performansa sahip bir koruma düğümü seçme eğiliminde olduğunu belirtti. Bu göz önüne alındığında, güçlü ulusların uzun bir süre boyunca istikrarlı ve yüksek bant genişliğine sahip koruma düğümleri işletebileceğini ve onlara bağlanan çok sayıda Tor kullanıcısını çekmeyi hedefleyebileceğini varsaymak mantıklı olacaktır.

ABD en çok bayrak yarışına sahip ikinci ülke olmasına rağmen (1.778), daha az sayıda bayrak yarışına (784) rağmen fikir birliği ağırlığında ikinci sırada yer alan Hollanda’dır.

Pospieszalski’ye göre zamanlama analizi saldırıları gerçekleştirmek için bir hükümetin mevcut ağ sistemine kendi düğümlerini yerleştirme yeteneğine sahip olması avantajlıdır. Bir hükümetin bunu kendi topraklarında başarması daha kolaydır.

Tor ağı, düğümlerin ülkeler arasında eşit dağılımından oluşuyorsa, sınır ötesi araştırmalar için ayrıntılı zamanlama analizi yapmak büyük çaba gerektirecektir.

Kullanıcılar için güvenli ancak suçlular tetikte olmalı

Tor’un gelişmiş güvenlik önlemleri, ulus devletlerin veya becerikli kuruluşların kullanıcıları üzerinde zamanlama analizi yapmasını zorlaştırıyor, ancak böyle bir etkinliği imkansız kılmadığını da belirtmek çok önemli.

Ayrıca teknolojik gelişmeler kullanıcıların anonimliğini kaldırmak için daha fazla silah sağlıyor.

Pospieszalski’ye göre, esasen, çok miktarda veri toplama noktasına ve üstün işleme yeteneklerine sahip bir yapay zeka sistemi, zaman analizinde başarılı olacaktır; öyle ki, böyle bir gelişmenin hali hazırda bir yerlerde kapalı kapılar ardında saklanmış olması şaşırtıcı olmayabilir.

Tor’un, daha yüksek düzeyde gizlilik koruması talep eden bireyler için anonimlik sağlaması hâlâ güvenli mi?

Daha basit bir ifadeyle, CryptoMoon ile konuşan uzmanlar, düzenli kullanıcıların kripto para birimlerini güvenli bir şekilde kullanmaya devam edebilecekleri sonucuna vardı. Ancak teknolojideki ilerlemeler, karanlık ağda faaliyet gösteren suçluların yasadışı faaliyetlerine sürekli meydan okuyor.

Gizlilik konusu oldukça merak uyandırıcı ve hem ana akım sektördeki hem de hükümetteki bazı savunucular arasında bir çekişme konusu olurken, diğerleri Web3 ortamındaki gizliliğin kötü niyetli kişiler tarafından istismar edilebileceğini savunuyor.” Loud’un belirttiği gibi.

Tarama sırasında anonimlik devam edebilir mi? Muhtemelen. Bu, öngörülemeyen olayların önümüzdeki yıllarda nihai sonucu şekillendirebileceği bir yarışma gibidir.

2024-10-18 15:04