Niewidzialni
Przegląd sieci typu P2P zapewniających anonimowość
Nils Durner, Nathan S. Evans, Christian Grothoff, Paweł Wilk
Media systematycznie donoszą, że nawet w krajach uchodzących za demokratyczne przedstawiciele aparatu państwa śledzą aktywność internetową krytycznie nastawionych dziennikarzy. Poza tym przy występującym dziś w wielu firmach ograniczonym zaufaniu do pracowników, także w biznesie pojawiło się większe zainteresowanie takim dostępem do Internetu, który zapewniałby użytkownikowi anonimowość.
Poczucie prywatności to bardzo cenne dobro w społeczeństwie szklanych domów, w którym sfera prywatna praktycznie nie istnieje. W związku z tym prawie wszyscy starają się chronić swoje dane. Blogerzy muszą uważać, żeby nie nazwano ich terrorystami i nie rozpoczęto na nich testów wprowadzanych przy okazji większych zamachów przepisów i rozporządzeń. Z kolei przedsiębiorstwa poszukują informacji o klientach, a jednocześnie chcą chronić dane pracowników i dostawców przed oczyma konkurencji, instytucje publiczne natomiast muszą chronić nie tylko dane, ale też źródła informacji. Jeśli chodzi o przeciętnych obywateli, to oni również potrzebują przestrzeni, w której mogliby w pełni korzystać z uprawnień, jakie powinna dawać im demokracja.
Co to jest anonimizacja?
Na początek krótka definicja: anonimizacja to zdolność takiego rozdzielenia działań danej osoby od jej tożsamości, że nie jest możliwe ich ponowne powiązanie. Działania tej osoby nie muszą być przy tym niezgodne z prawem. Przykładem może tu być wymiana informacji dotyczących ryzyka w przedsiębiorstwach, w której anonimizacja zapewnia, że wizerunek firm zabierających głos w dyskusji nie będzie narażony na szwank.
W celu ilościowego zbadania poziomu anonimowości naukowcy sięgają po kilka rodzajów mierników. Pierwszy z nich to liczba podejrzanych osób. W tym przypadku całkowita anonimowość oznaczałaby, że w kręgu potencjalnych sprawców danej czynności byłaby cała populacja ludzka. Jeżeli dana czynność była wykonana online, wówczas w grę wchodzą jedynie osoby mające dostęp do Sieci. Im mniejsza jest dana społeczność posługująca się konkretnym medium, tym mniejszy poziom anonimowości. Dlatego też sieci mające niewielu użytkowników są jej słabym gwarantem.
Drugi miernik jest nieco bardziej wyrafinowany. Zakłada on, że na podstawie obserwacji danego działania każdemu użytkownikowi można przypisać określony współczynnik prawdopodobieństwa bycia sprawcą (współczynnik sprawstwa). Idealna anonimowość byłaby osiągnięta wówczas, gdyby w przypadku n liczby podejrzanych każdy z nich miał przyporządkowany wskaźnik prawdopodobnego sprawstwa wynoszący 1/n. Wielkość współczynnika sprawstwa dla wybranego użytkownika informuje nas o poziomie oferowanej anonimowości.
Innym probierzem, który w świecie naukowym cieszy się sporą popularnością, jest entropia rozkładu prawdopodobieństwa[1]. Patrząc na niego z perspektywy teorii informacji, stanowi on ciekawy model badawczy, jednak w praktyce współczynnik sprawstwa odgrywa ważniejszą rolę, ponieważ obliczanie prawdopodobieństwa może być podstawą wyroku sądowego.
Zwykle to zdolności i umiejętności napastnika są czynnikami decydującymi o naszym bezpieczeństwie w Sieci. Realistyczny model dla sieci typu P2P, służących do udostępniania zasobów, musi uwzględniać aktywnego przeciwnika. Może on tak jak każdy brać udział w otwartej komunikacji i zadając bezpośrednie pytania, uzyskać wrażliwe informacje.
W jednej sieci z wrogiem
Ataki, które autorzy tego artykułu wykonali swego czasu na sieci posługujące się protokołami z rodziny Darknet Routing Protocol[2], takie jak Freenet oraz Stealthnet[3], należały właśnie do tej kategorii. Każdy użytkownik, dysponujący określoną wiedzą techniczną oraz zwykłym łączem internetowym typu DSL, mógł wstrzyknąć dowolny kod do oprogramowania anonimizującego używanego przez swojego partnera komunikacji sieciowej. Oczywiście wcześniej intruz musiał wejść do sieci typu P2P jako pozornie zwyczajny użytkownik, a następnie zaatakować cudzy system. Główną barierą dla tego typu ataków może być ograniczona moc obliczeniowa po stronie napastnika, który musi działać w ramach protokołu komunikacyjnego i może nie być w stanie śledzić czy kontrolować bezpośredniej komunikacji między dwoma węzłami.
Podczas gdy większość prac badawczych ogranicza się do weryfikowania konkretnych przypadków powyższego modelu, praktyka wymaga wypracowania rozwiązań idących dalej, tzn. takich systemów, które byłyby odporne na ataki hakerów. Mamy tu na przykład na myśli napastników albo wybiórczo zakłócających komunikację między zwykłymi użytkownikami, albo wręcz kontrolujących ich komputery (za pomocą rootkitów czy keyloggerów). Jeśli napastnik jest w stanie nakłonić pojedynczego użytkownika do korzystania w ramach P2P tylko z systemów kontrolowanych przez siebie, to nie można już mówić o anonimowości. W stworzonym w ten sposób wirtualnym segmencie sieci będzie tylko jeden użytkownik (podejrzany), a w związku z tym natychmiast będzie jasne, kto jest odpowiedzialny za określoną aktywność.
Jeden ze scenariuszy przejęcia kontroli wiąże się z konfiskatą węzła komunikacyjnego przez organy ścigania. Obowiązujące w większości europejskich krajów przepisy dotyczące przechowywania danych dotyczą także informacji związanych z usługami zapewniającymi użytkownikom anonimowość. Jednak zupełnie niezależnie do stanu prawnego obowiązującego w poszczególnych państwach może zaistnieć sytuacja, w której dany komputer trafi w ręce policji. Dlatego też nie bez znaczenia pozostaje odpowiedź na pytanie, czy tą drogą możliwe jest rozszyfrowanie tożsamości użytkowników sieci, którzy pragnęli zachować anonimowość.
[1] Rafał Sztencel, "Entropia: nieporządek czy fantazja?", 2006, Uniwersytet Warszawski
[2] Nathan S. Evans, Chris Gauthier-Dickey, Christian Grothof, "Routing in the Dark – Pitch black", 2007, IEEE Computer Society, s. 305–314
[3] Nils Durner, Nathan Evans i Christian Grothof, "YouRShare: De-anonymizing the rshare network", 2007, Colorado Research Institute for Security and Privacy
- Podziel się
