The Onion Router: een overzicht

Transcriptie

1 The Onion Router: een overzicht Kaj-Ivar van der Wijst Utrecht University 1 Introductie Het TOR netwerk, ook wel The Onion Router genoemd, biedt gebruikers de mogelijkheid om anoniem te communiceren. In dit verslag bekijken we eerst de doelen van TOR. Vervolgens leggen we uit hoe het systeem werkt. Hierbij onderscheiden we data die anoniem wordt verzonden (anonimiteit van de gebruiker) met hidden services, waarbij de aanbieder van informatie anoniem wil blijven. Daarna behandelen we een overzicht van de mogelijke gebruikers van het TOR netwerk, en sluiten we af met mogelijke aanvallen op het netwerk. 2 Doel van het TOR netwerk Het TOR netwerk is ontwikkelt om anonieme communicatie mogelijk te maken. Oorspronkelijk begon de ontwikkeling ervan door de Amerikaanse marine, in het Naval Research Laboratory ([5]) in Het doel was om militaire communicatie te beveiligen bij opdrachten in het buitenland, waar de internetverbindingen niet betrouwbaar waren. Het project werd vervolgens publiek gemaakt in Het Electronic Frontier Foundation (bekend van de DES Deep Crack) heeft het project toen opgepakt. Er was een groeiende vraag aan anonieme communicatie buiten militaire gebieden. Activisten in autoritaire regimes wilden toch hun stem laten horen, burgers moesten anoniem melding van misdaad of criminaliteit kunnen doen, klokkenluiders wilden anoniem bestanden kunnen lekken. Het TOR netwerk biedt precies deze mogelijkheid: bij zorgvuldig gebruik van de dienst wordt anonimiteit gegarandeerd. Aan het eind van 20ste eeuw bestonden er al een paar anonimiteitgevende systemen, maar die hadden erg veel nadelen. Het TOR netwerk moest sneller, veiliger en flexibieler worden, zodat een zo breed mogelijk scala aan gebruikers van de dienst gebruik kon maken. 3 Werking: data anoniem verzenden TOR gebruikt een groot netwerk aan vrijwillige servers om anonimiteit van gebruikers te verzekeren. Stel, een gebruiker, Alice, wilt een website bezoeken zonder dat iemand hier achter komt, ook niet de website zelf. Alice gaat dan een verbinding maken met een reeks servers (genaamd Onion Routers, OR s), met telkens een nieuwe laag encryptie. Dit zorgt ervoor dat, ook al wordt er een server afgeluisterd, de data nog steeds veilig is. Na een korte algemene opzet, beschrijven we in wat voor vorm data wordt verstuurd. Hierna omschrijven we hoe een verbinding (circuit) tot stand komt. Uiteindelijk kijken we hoe data wordt verstuurd over deze Onion Routers (OR s). De informatie hieronder verschaft komt voornamelijk uit [3]. Deze paper is geschreven voor het vak Security, INFOB3SEC. 1

2 Figuur 1: Het TOR netwerk: Alice begint met het opvragen van de beschikbare OR s van de directory. Hieruit kiest ze er een paar, waar ze dan een verbinding mee maakt, die haar uiteindelijk leidt tot de website. 3.1 Algemene opzet Bij het opstarten van een TOR applicatie moet Alice eerst een lijst opgehaald met beschikbare servers (onion routers, hierna OR s genoemd). Deze haalt Alice uit een Directory. Vervolgens kiest Alice een reeks OR s, en legt daarmee een verbinding aan, tot ze uiteindelijk bij de website komt. Dit is te zien in figuur 1. Om elke verbinding veilig te maken, wordt elke dataoverdracht binnen het TOR netwerk versleuteld met TLS (public key encryption). Elke OR heeft zijn eigen, permanente public key. Daarnaast worden er per verbinding tijdelijke sleutels aangemaakt. Doordat deze sleutels bij het sluiten van een verbinding worden verwijderd, biedt dit systeem perfect forward secrecy Eenheid van data: de cell In TOR wordt alle data verzonden in eenheden van 512 bytes: de TOR cell. Deze bevatten een header, met bijvoorbeeld informatie over wat de volgende OR is, en wat voor een commando er uitgevoerd moet worden door de ontvanger, en de payload (de data zelf). Er bestaan twee types cells: de control cells en de relay cells. Een visualisatie van deze cells is te zien in figuur 2. Control cells worden gebruikt voor het opzetten van een circuit, een TLS verbinding tussen verschillende OR s. De header is dan een circuit ID (CircID), die per verbinding tussen OR s anders is, en een commando. Het commando vertelt tegen de ontvanger wat er moet gebeuren. De meest voorkomende commando s zijn create, created en destroy. Relay cells zijn juist voor het versturen van data. Ze bevatten een uitgebreidere header (zoals de lengte van het bericht). Het grootste verschil is dat er een digest wordt meegestuurd: een check om te kijken of de data niet veranderd is. Relay cells worden pas verstuurd als er een TLS-verbinding is tussen twee OR s. We behandelen in dit artikel de commando s relay extend, relay extended en relay data. 3.3 Opzetten van een circuit Om een circuit op te zetten, haalt Alice eerst een lijst met OR s van de directory. Dan begint ze met het opzetten van een verbinding met de eerste OR, OR1, door middel van het Diffie- 1 Perfect forward secrecy betekent dat als er op een later tijdstip de private keys van een server worden gekraakt, de eerder afgetapte data nog steeds niet kan worden ontcijferd. 2

3 Figuur 2: Cells: TOR gebruikt om te communiceren altijd pakketjes (cells) van 512 bytes. Deze zijn er in twee soorten: control cells om circuits op te zetten, en relay cells om de data zelf te versturen. (Visualisatie zoals beschreven in [3]) Hellman protocol: 1. Alice maakt een tijdelijke sleutel X 1 voor deze verbinding. 2. Alice stuurt een control cell met commando create (create cell) naar OR1, met als data de eerste helft g X 1 van de Diffie-Hellman handshake. g X 1 wordt versleuteld met de permanente public key van OR1. 3. OR1 maakt ook een tijdelijke Y 1. Alice en OR1 beschikken nu over de gezamenlijke sleutel g X 1Y 1. Vervolgens stuurt OR1 een created cell met als data g Y 1 en een hash van g X 1Y 1. De hash dient ter verificatie door Alice dat ze daadwerkelijk aan het communiceren is met OR1. Uit g X 1Y 1 worden nu twee symmetrische sleutels afgeleid, voor elke communicatierichting één. Communicatie tussen Alice en OR1 gebeurt nu via AES met deze sleutels. Dit is het principe van een TLS verbinding. Nu wil Alice haar circuit vergroten door een verbinding te maken met OR2. Hiertoe maakt ze weer een tijdelijke X 2, en versleutelt g X 2, nu met de public key van OR2. Alice stuurt dan een relay extend cell naar OR1, met als data de versleutelde g X 2Y 2. OR1 kan dit niet ontcijferen, maar stuurt het wel door in een create cell naar OR2. OR2 antwoordt op zijn beurt weer met een created cell naar OR1, met daarin g Y 2 en een hash. OR1 stuurt dit weer door naar Alice in een relay extended cell. OR2 kan dus niet weten of OR1 de oorspronkelijke zender van de data is, of dat het een relay router is. Elke relay router bevat nu, naast een gedeelde sleutel g X iy i met Alice, ook twee circuit ID s, waarmee de OR weet welke OR er vóór hem in het circuit is, en welke erna komt. Informatie over andere OR s in het circuit hebben ze dus nooit. Dit is zichtbaar gemaakt in figuur Versturen van data Alice kan nu data versturen via het eerder beschreven circuit. De data die ze wilt versturen gaat ze achtereenvolgens versleutelen met de gedeelde sleutel van de laatste OR, de een na laatste OR, tot de eerste. Dit verstuurt ze dan naar OR1 in een relay data cell. OR1 ontcijfert de data. Als blijkt dat de data nog steeds versleuteld is, kijkt hij naar welke OR het vervolgens verstuurt moet worden. OR1 verandert de circuit ID naar de circid van de volgende verbinding, en stuurt de data ook weer in een relay data cell naar OR2. Als de laatste OR de data ontcijfert, voert hij het commando uit (bijvoorbeeld een HTTP request). Omdat er steeds een nieuwe encryptielaag wordt weggehaald, wordt de cell ook wel een onion genoemd. Elke laag wordt als een laag van een ui weggeschild. Dit proces is ook te zien in figuur 4. 3

4 Figuur 3: Informatiebekendheid bij verschillende OR s: elke OR beschikt over een gedeelde sleutel g X iy i met Alice, en weet alleen van wie hij data krijgt (circid i) en naar wie hij iets moet sturen (circid i + 1). Figuur 4: Versturen van data via 3 OR s: Alice versleutelt de data achtereenvolgens met de gedeelde sleutels g X 3Y 3, g X 2Y 2 en g X 1Y 1, en stuurt de cell naar OR1. Die ontcijfert de eerste laag, en zoekt naar welke OR hij het door moet sturen (dit kan dankzij circid1). OR2 haalt dan de tweede encryptielaag eraf, en stuurt het door naar OR3. Die ontcijfert als laatste de data, en voert de data uit. 4

5 Terugsturen van data Alice moet uiteraard ook nog antwoord krijgen van de website die ze bezoekt. Dit gebeurt via precies de tegenovergestelde weg. De website antwoordt naar de laatste OR. Die versleutelt de data met zijn gedeelde sleutel met Alice (g X NY N ), en stuurt hem naar de vorige OR. Die versleutelt hem opnieuw met zijn gedeelde sleutel, en stuurt hem weer terug. Als het eenmaal weer bij Alice terecht is gekomen, kan zij de data ontcijferen met de sleutels g X 1Y 1, g X 2Y 2 tot g X NY N. Controleren op inhoud Het TOR systeem zorgt ervoor dat inhoud niet kan worden veranderd. Hiervoor wordt er bij het maken van de onion bij Alice een hash aangemaakt die afhangt van alle OR s in het circuit, en van de data zelf. Hiervan worden de eerste 4 bytes opgestuurd in de digest van de relay cell. Bij de exit node wordt dit gecheckt. 4 Werking: hidden services In sectie 3 hebben we besproken hoe een gebruiker anoniem een website kan bezoeken. Sinds 2004 is het echter ook mogelijk om in het TOR netwerk anonieme internet services aan te bieden, zoals een website hosten. De website is dan alleen toegankelijk via TOR, en er kan niet worden getraceerd op welke fysieke locatie de website zich bevindt. Deze informatie is vooral tot stand gekomen dankzij [1]. Er zijn vier stappen nodig om hidden services te gebruiken. Deze zijn gevisualiseerd in figuur 5. Stel Bob wil een hidden service draaien, en Alice wil hiermee verbinding maken. Bob zorgt ervoor dat er een aantal introduction points (voortaan IP) beschikbaar zijn waar hij een Tor verbinding mee heeft. Hierop gaat hij telkens kijken of er iemand verbinding met zijn website wil maken. Alice kan dan een bericht achterlaten op een IP van Bob met een rendezvous point (voortaan RP), een adres in het netwerk waar ze beiden verbinding naar gaan maken. 1. Bob moet ten eerste zijn proxy instellen zodat zijn website alleen te bereiken is via het TOR netwerk. Daarna kiest hij een aantal OR s op het netwerk, die hij gaat gebruiken als introduction points (IP s), en een publieke URL (in de vorm x.onion, met x een afgeleide van de hash van zijn public key). De IP s zijn de plekken waar gebruikers kunnen zeggen dat ze verbinding willen maken met de hidden service. Bob stuurt dan zijn publieke URL en de adressen van zijn IP s naar een hidden service directory (HSDir), die publiek toegankelijk is binnen het TOR netwerk. 2. Alice is erachter gekomen dat de hidden service van Bob de url x.onion heeft. Dan vraagt ze aan de hidden service directory welke introduction points hierbij horen. Vervolgens maakt ze een TOR verbinding naar een rendezvous point (RP). Dit is een OR waar uiteindelijk zowel Alice als Bob een verbinding naar zullen hebben. 3. Alice kiest een van de introduction points, en verstuurt daarnaar het adres van haar rendezvous point, met de melding dat ze graag verbinding wil met Bob. 4. Als Bob accepteert om een verbinding te maken, maakt hij een Tor circuit naar het gegeven rendezvous point. Alice en Bob kunnen nu volledig anoniem communiceren, zonder dat ze van elkaar kunnen weten waar ze fysiek zitten. 5

6 Figuur 5: De vier stappen die nodig zijn zodat Alice kan communiceren met de hidden service van Bob. 6

7 5 Gebruik van het TOR netwerk De mogelijkheid om anoniem op het internet te surfen is een mogelijkheid die voor heel veel mensen erg interessant is. Anonimiteit is niet alleen voordelig voor legale doeleindes, maar is ook erg aantrekkelijk voor criminelen. Momenteel wordt het TOR netwerk gebruikt door ongeveer 2.5 miljoen dagelijkse gebruikers [9] en ongeveer 6500 onion routers, die door vrijwilligers worden gedraaid. 5.1 Legaal Oorspronkelijk had het TOR netwerk als doel de volgende groepen te dienen, zoals bekend werd uit een presentatie van het Naval Research Laboratory in 2004: Sociaal gevoelige informatie (websites over ziektes of slachtoffers van huiselijk geweld) Anoniem misdaad melden Politieke activisten in landen met beperkte persvrijheid Klokkenluiders (al is de legaliteit hiervan discutabel). Het is ironisch dat dit punt wordt aangekaart in een presentatie door de US Marine, terwijl drie jaar later een interne, top secret, presentatie door de NSA wordt gegeven, genaamd Tor stinks (zoals blijkt uit een door Edward Snowden uitgelekt document [6]). Normale burgers die hun privacy belangrijk vinden. 5.2 Illegaal Zoals hiervoor al genoemd, is het TOR netwerk uitermate geschikt voor illegale praktijken. Gebruikers kunnen niet worden getraceerd, dus zijn er ook geen grenzen op wat er op gedaan kan worden. Dit blijkt al heel duidelijk als we kijken naar het aantal hidden services per categorie, zoals uitgezocht door Dr. G. Owen, van de University of Portsmouth ([10]). Deze resultaten zijn te zien in tabel 1. Categorie Percentage Categorie Percentage Drugs 15.4 Hacking 4.25 Online markten 9 Hosting 3.5 Fraude 9 Porno 2.75 Bitcoin 6.2 Blog 2.75 Mail 5.7 Directories 2.5 Wiki 5.2 Boeken 2.5 Klokkenluiders 5.2 Misbruik 2.2 Namaak 5.2 Onbekend 2.2 Forum 4.75 Chat 2.2 Anonimiteit 4.5 Wapens 1.4 Zoekmachines 4.25 Gokken 0.4 Tabel 1: Percentage van hidden services per categorie. Dit houdt geen rekening met de hoeveelheid bezoekers naar deze websites. Voor veiligheidsdiensten biedt dit een zeer groot probleem. Hierdoor zijn er veel geluiden die ertoe dringen om TOR te verbieden. Voorstanders van TOR zeggen dan weer dat deze 7

8 illegale activiteit toch wel zou bestaan, ook al was TOR er niet. Af en toe zijn er gevallen van gebruikers die opgepakt zijn, ondanks dat ze TOR gebruikten, maar dan komt het tot nu toe neer op traditioneel politiespeurwerk ([8]). 6 Veiligheid en mogelijke risico s Er zijn verschillende aanvallen mogelijk op het TOR netwerk. Voorlopig is er echter nog geen bewijs dat het netwerk onveilig is. Hieronder behandelen we er een paar. Afluisteren van exit nodes De kracht van het TOR netwerk komt doordat er een zeer groot netwerk aan onion routers (OR s) wordt gebruikt. Deze worden opgezet op vrijwillige basis. Echter is dit ook weer een risico, zoals bewezen door Dan Egerstad, een Zweedse security consultant [11]. Door zelf meerdere onion routers als exit nodes te leveren, kan al het netwerk dat daar doorheen komt worden afgeluisterd. Als een verbinding met een website niet veilig was, kunnen s, wachtwoorden en meer worden afgeluisterd. Dit kan makkelijk worden verholpen door alleen gevoelige informatie te versturen naar websites die TLS encryptie gebruiken (https websites). DNS leakage Zoals omschreven is door Gautam et al [4], is DNS leakage een belangrijk probleem. Bij het opzoeken van een website moet de hostname (zoals uu.nl) worden omgezet naar een IP adres ( ). Dit heet DNS resolution, en gebeurt op DNS servers. Als een programma dat TOR wilt gebruiken niet goed geconfigureerd is, gebeurt de DNS resolution standaard op een publieke, onbeveiligde server van de ISP van de gebruiker. Er kan dus worden gekeken welke websites via TOR worden bezocht. Om dit te voorkomen zijn browsers als The TOR Browser standaard uitgerust met een proxy die ervoor zorgt dat er nooit DNS resolution plaats hoeft te vinden. Bij het gebruik van een een SSH verbinding naar een server, is het echter nog steeds een probleem: hier kan DNS leakage plaatsvinden. Bad Apple Attack In 2011 werd een mogelijke aanval bekend dankzij onderzoekers van het Franse onderzoeksinstituut Inria [2], dat onveilig TOR gebruik door één applicatie (bijvoorbeeld BitTorrent) ook ervoor kan zorgen dat de identiteit bij andere gebruikte TOR applicaties (zoals de TOR browser) bekend kan worden. Eén onveilige applicatie is dan al genoeg: dit is de bad apple. Een groot deel van het TOR netwerk (meer dan 40%) wordt gebruikt door BitTorrent gebruikers, die hun torrents downloaden via een TOR proxy. Dit is opvallend, omdat de meeste populaire BitTorrent clients helemaal niet goed met TOR overweg kunnen. Ofwel negeren BitTorrent clients simpelweg de proxy (zoals bij utorrent of Vuze), ofwel ze gebruiken het wel, maar sturen direct het IP adres van de gebruiker mee. Het IP adres wordt weliswaar anoniem verzonden, maar dit is uiteraard niet de bedoeling. BitTorrent over TOR is dus onveilig. Dit is echter bekend, en er wordt daarom ook sterk afgeraden om BitTorrent via TOR te gebruiken. Een nieuw probleem ontstaat echter wanneer een gebruiker BitTorrent gebruikt en tegelijkertijd de TOR Browser gebruikt, die wel veilig is. TOR is zo gebouwd dat data van verschillende applicaties over een zelfde TOR circuit wordt 8

9 verzonden. Dit betekent dat zelfs de veilige informatie over de TOR Browser informatie lekt over de gebruiker. Timing analysis Er kan ervan uit worden gegaan dat de communicatie in het TOR netwerk zelf veilig is, aangezien dit met AES versleuteld is. Echter is het wel mogelijk om de buitenkanten van het netwerk te monitoren: al het uitgaande verkeer kan in principe worden bekeken. Door te kijken wat voor een soort data er op een precies tijdstip in het netwerk gaat, en wat voor een data er meteen erna uitkomt, kan worden afgeleid dat de data van dezelfde gebruiker komt. Dit soort aanvallen heten Timing analysis [7]. Er bestaan verschillende methodes om deze aanval tegen te gaan. Ten eerste kan er gebruik worden gemaakt van dummy packets, die af en toe over het netwerk worden gestuurd. Deze bevatten verder geen informatie, maar zorgen er wel voor dat er moeilijker een correlatie te vinden is tussen het ingangsnetwerk en het uitgaand netwerk. Verder kunnen ook dummy packets mee worden gestuurd die halverwege worden verwijderd. De hoeveelheid data tussen ingangs- en uitgaand netwerk is dan ook anders. 7 Conclusie Het is nu duidelijker geworden hoe het TOR netwerk precies de mogelijkheid biedt aan gebruikers om anoniem te blijven (door een circuit aan te liggen via verschillende onion routers, en de data te versleutelen met gedeelde sleutels van elke OR), en hoe hidden services mogelijk zijn (door gebruik te maken van introduction points en rendezvous points). Dit systeem wordt vooralsnog beschouwd als veilig, mits er zorgvuldig met software om wordt gegaan. Omdat veel groepen grote belangen hebben zowel bij het in stand houden van het netwerk als bij het kraken ervan, wordt er veel onderzoek gedaan naar de veiligheid. Wellicht komt er in de toekomst informatie boven waaruit blijkt dat het alsnog niet veilig is. Referenties [1] A. Biryukov, I. Pustogarov, and R. Weinmann, Trawling for tor hidden services: Detection, measurement, deanonymization, in Security and Privacy (SP), 2013 IEEE Symposium on, IEEE, 2013, pp [2] S. L. Blond, P. Manils, C. Abdelberi, M. A. D. Kaafar, C. Castelluccia, A. Legout, and W. Dabbous, One bad apple spoils the bunch: exploiting p2p applications to trace and profile tor users, arxiv preprint arxiv: , (2011). [3] R. Dingledine, N. Mathewson, and P. Syverson, Tor: The second-generation onion router, tech. rep., DTIC Document, [4] S. Gautam and N. Gupta, Tor security: Prohibit dns leakage through torsocks. [5] D. M. Goldschlag, M. G. Reed, and P. F. Syverson, Hiding routing information, in Information Hiding, Springer, 1996, pp

10 [6] T. Guardian, Tor stinks presentation: leaked NSA document, in The Guardian, 4 okt. 2013, tor-stinks-nsa-presentation-document. [7] InfoSecInstitute, Timing analysis in anonymous systems, in infosecinstitute.com/timing-analysis-attacks/. [8] B. Insider, Harvard student used tor for bomb threat, in Business Insider, 18 dec. 2013, [9] T. Kriechbaumer and C. Nath, The darknet and online anonymity, in British House of Parliament, POST-PN-488, [10] G. Owen, Tor: Hidden services and deanonymisation, in Talk at CCC Congress 2014, -_tor_hidden_services_and_deanonymisation_-_dr_gareth_owen. [11] K. Zetter, Rogue nodes turn tor anonymizer into eavesdropper s paradise, in Wired, 10 Sept. 2007, 10