Helpottavatko Captchat anonyymien verkkokäyttäjien tunnistamista?

Liiketoimintaa
Cryptomeen lähetetty anonyymi vikaraportti tummalla pohjasävyllä.

Cryptomeen lähetetty anonyymi vikaraportti tummalla pohjasävyllä.

Joskus kannattaa lukea kommentteja.

Parin viime päivän aikana on annettu paljon kannatusta sellaisilla sivustoilla kuin HackerNews ja Reddit varten postaus Cryptomesta . Viesti ehdottaa, että sivustot tekevät sopimuksen CloudFlare helpottaa vahingossa vierailijoiden tunnistamista Tor-selaimella; Kuitenkin lukijat, jotka ohittavat otsikon, löytävät useita kommentteja, joissa kysytään, onko viestissä todella jotain uutta.

Cryptomen perustaja John Young vahvisti sähköpostitse, että viesti tuli nimettömältä kirjeenvaihtajalta, joka kirjoitti, että Cloudflaren vaatimus ratkaista reCAPTCHA-arvoituksia vierailijoiden saapuessa Torin poistumissolmuista yhdelle 2 miljoonasta Cloudflaren 'suojaamasta' verkkosivustosta voi olla erittäin hyödyllistä. Tor-käyttäjien liikenteen analysointiin ja anonymisoinnin poistamiseen.

Hacker News -viestin alla @tedunangst kirjoitti, etten nähnyt mitään, mikä tekisi siitä ainutlaatuisen ReCaptchalle. Mikä tahansa sormenjäljellä varustettu liikennekuvio, joka voidaan havaita tulevan ja menevän, toimii.

Captchat syntyvät meidän puolellamme. Se on suojatun yhteyden kautta, CloudFlaren toimitusjohtaja Matthew Prince sanoi puhelussa. En voi ajatella, että tämä antaisi lisätietoa, jonka avulla voit kolmioida Tor-käyttäjän.

CloudFlare tarjoaa verkkosivustojen suorituskyvyn parantamista ja turvallisuutta asiakkaille ympäri maailmaa. Se tunnetaan erityisesti palvelunestohyökkäysten (DOS) estämisestä. Asiakkaidensa suojelemiseksi se pitää kirjaa IP-osoitteista, joita tiedetään käytettävän roskapostiin, bottiverkkoihin ja muuhun haitalliseen toimintaan. Jos vierailija saapuu sivustolle vähemmän turvallisella selaimella, CloudFlare voi tunnistaa vierailijan ihmiseksi eikä anna hänelle captchaa.

Kuitenkin, Tor on selain, joka anonymisoi käyttäjät ohjaamalla heidän liikenteensä useiden palvelimien kautta salauskerrosten alle, joten CloudFlare ei voi tunnistaa heitä ihmisiksi. Tästä syystä se vaatii usein näitä käyttäjiä suorittamaan a ReCaptcha (ne testit, joissa sinua pyydetään tunnistamaan kaikki valokuvat keitolla tai katukylteillä, Googlen (GOOGL) tekemät ), todistamaan, että ne ovat ihmisiä. Tämä heikentää käyttökokemusta luoden jännitteitä Tor-käyttäjien ja CloudFlaren välillä, kuten emolevy on raportoinut .

Tämä uusi raportti herättää lisäkysymyksen: helpottavatko ReCaptchat Tor-käyttäjien tunnistamista a liikenneanalyysihyökkäys ? Näissä hyökkäyksissä joku, jolla on suuri näkyvyys verkossa (eli henkilö, jolla on paljon resursseja, kuten suuri Internet-palveluntarjoaja, televiestintä tai kansallisvaltio), voi kohdistaa toiminta- ja tulo- ja poistumispisteitä. jotta käyttäjät yhdistetään vierailemiin verkkosivustoihin.

Vuonna 2014 ryhmä tutkijoita suoritti kokeellisen, kontrolloidun tutkimuksen laboratoriopohjaisessa Tor-verkossa olevista laitteista. keinotekoisia häiriöitä liikennevirrassa tulopisteessä voidaan havaita poistumispisteessä.

Cryptome-julkaisu väittää, että ReCaptchat luovat samanlaisen, keinotekoisen häiriön. Ajatus on jossain määrin samanlainen kuin tutkimme, Sambuddho Chakravarty, vuoden 2014 tutkimuksen johtava kirjoittaja, kirjoitti Startrackerille sähköpostissa. Mukana on monia tekijöitä – näytteenottotaajuus, vastustajan sijainti, käytetyt tulo- ja poistumissolmut sekä asiakkaan saavuttama kaistanleveys, kokeilun kesto jne.

Tutkimuksen jälkeen, blogikirjoitus Tor-projektista kirjoitti: Tor-verkkosuunnittelu ei kuitenkaan suojaa globaalin passiivisen vihollisen (kuten NSA) kohdistetulta hyökkäykseltä.

Tämä ei ole mitään uutta, Roger Dingledine, Torin perustaja, kirjoitti Startrackerille sähköpostissa tiedottajan kautta.

Prince myönsi Tor-yhteisöjen turhautuneisuuden yrityksensä puolustukseen maaliskuun blogikirjoitus . Siitä lähtien hän sanoi, että CloudFlare on tehnyt yhteistyötä Torin ja ReCaptchan omistajan Googlen kanssa parantaakseen käyttökokemusta sellaisille verkkokäyttäjille, jotka haluavat selata nimettömänä. Olemme esimerkiksi varmistaneet, että Tor-käyttäjä ei koskaan saa enempää kuin yhtä captchaa, hän sanoi.

Prince ei usko, että captchat helpottaisivat vastustajaa, jolla on laaja näkymä verkkoon, poistaa Tor-käyttäjien anonymisoinnit, mutta hän tarjoutui vapaaehtoisesti, että hänen yrityksensä ryhtyisi toimiin tällaisen vuodon tukkeuttamiseksi, jos todisteita löydettäisiin.