揭密:美国国安局(NSA)是如何攻击和监听在线匿名网络Tor的
Tor是一个匿名网络,专门防范流量过滤、嗅探分析,让用户免受其害。Tor在由“onion routers”(洋葱)组成的表层网(overlay network)上进行通信,可以实现匿名对外连接、匿名隐藏服务。
本文将揭密美国国安局NSA如何实现对Tor网络的入侵以及对Tor用户的监控。监控Tor网络是NSA当前最主要的工作之一,由SID(一个专门研究应用漏洞的部门)来完成。大致过程包括发现目标,利用浏览器漏洞发起中间人攻击,重定向访问,捕获数据和行为。
一直以来,对NSA来说,在线匿名网络Tor都是一个高优先级的目标。攻击Tor这项工作由NSA的应用漏洞组负责,其隶属于系统指挥部。
美国国安局(NSA)及英国政府通信总部(Government Communications Headquarter,GCHQ)于2012年6月发布名为Tor Stinks的演示稿文件,文件中两国政府单位提及监听Tor网络困难重重,文中表示
“无法辨识出所有Tor用户的身份。而以人工分析后,我们得以辨识非常小部份的Tor用户。”
所以第一步是寻找Tor用户:NSA依靠美国电信的帮助,通过监控因特网来实现。NSA建立了一套指纹识别系统(代号Turbulence, Turmoil 和 Tumult)用于检测从Tor网络至特殊服务器的http流量。上个月,巴西电视台新闻中播放了一个NSA的工具,其已经拥有了通过监听因特网流量识别Tor用户的能力。
在识别Tor用户以后,NSA利用其秘密服务器重定向用户的访问至FoxAcid。FoxAcid是NSA开发的一款中间人系统。
Tor是一个精心制作的匿名网络工具,因而要想攻破它事实上是非常困难的。所以,NSA并不是直接攻击Tor应用程序,而是利用Tor用户Firefox浏览器的漏洞进行攻击。
讲到这里,经常关注Freebuf、有一定网络安全知识的小伙伴们一定会问:使用Tor的用户一般也是经验丰富的技术能手,他们肯定会关闭一些可能导致漏洞的服务,比如脚本、Flash,要想从浏览器端攻破也非易事啊?答案是:没错,但NSA拥有一系列高端洋气上档次、低调奢华有内涵的Firefox原生漏洞……
为了吸引目标访问FoxAcid服务器,NSA依靠与美国电信公司的秘密合作关系。在Turmoil系统中,NSA在因特网骨干网中部署了秘密服务器(代号Quantum)。这个部署能够保证Quantum响应速度高于其他网站。凭借访问速度的优势,可以使得其响应速度高于原始服务器,Quantum服务器在用户的http包中注入攻击payload或阻止用户访问。从技术上来讲,是一个典型的“中间人攻击”案例。
文章还提到,中国政府也使用类似的中间人技术阻止用户访问未经审查的网站。