Anonymitet på internet är en nödvändighet för vissa men motverkas av andra. Nu har forskare vid Karlstads universitet, KTH och Princeton hittat en ny typ av attack mot anonymitetsnätverket Tor som gör det enklare att avanonymisera och därmed övervaka användare av Tor-nätverket, rapporterar Karlstads universitet.
Tobias Pulls, forskare inom datavetenskap vid Karlstads universitet.
Tor är ett anonymiseringsnätverk som används och utvecklas världen över för att skydda internetanvändare mot övervakning. Bland annat kan det handla om att skydda medborgare i länder där staten censurerar internet och hindrar medborgarnas mänskliga rättigheter att fritt ta del av information.
Tobias Pulls, forskare inom datavetenskap vid Karlstads universitet, har tillsammans med forskare från KTH och Princeton undersökt ett nytt möjligt hot mot Tor-nätverket kopplat till DNS-övervakning.
För att surfa via Tor-nätverket använder man en speciell version av webbläsaren Firefox kallad Tor-browser. Med hjälp av den skickar användaren krypterad data mellan sig och exempelvis en webbsida så som Facebook genom Tor-nätverket. Det innebär att personer som bor i länder där till exempel Facebook är censurerat, ändå kan använda det utan att den som övervakar landets nätverk upptäcker det.
– Det vi har undersökt är hur DNS kan vara en säkerhetsrisk i Tor-nätverket. DNS är ett system som översätter domännamn till IP-adresser och tvärtom för att koppla ihop datorer och servrar över ett nätverk. Detta innebär att det i nätverk finns ställen där information om domännamn och IP-adresser lagras vilket möjliggör övervakning av den informationen, säger Tobias Pulls, forskare i datavetenskap vid Karlstads universitet.
När man använder Tor-nätverket för att surfa så skickas krypterad data in i Tor-nätverket. I det här steget kan internetleverantörer se att en viss IP-adress använder sig av Tor men inte vad det är för data som skickas eller vart den ska, det går alltså inte att se vad som görs. Genom Tor-nätverket skickas data ut till önskad tjänst, till exempel Facebook, via en så kallad exit-nod. Den som tar emot datan kan då se att den kommer ifrån Tor. Har man då möjlighet att övervaka båda ändarna av Tor, IP-adressen som skickar in data samt applikationen som tar emot den, kan man dra slutsatser och därmed avanonymisera användare på Tor-nätverket.
– Att övervaka trafik in och ut ur Tor-nätverket är egentligen inte ett nytt hot men genom att rikta in sig på DNS-trafik ser vi att det är enklare för attackerare att koppla ihop trafiken och därmed avanonymisera användare. Det är dock inte vem som helst som har tillgång till den här typen av information och det kräver ganska mycket jobb för att lyckas med att avanonymisera användare på detta sätt. Exempel på aktörer som kan ha tillgång till informationen är Google, internetleverantörer och underrättelsetjänster.