I Captcha semplificano l'identificazione degli utenti Web anonimi?

Attività Commerciale
Una segnalazione di bug anonima pubblicata su Cryptome con sfumature scure.

Una segnalazione di bug anonima pubblicata su Cryptome con sfumature scure.

A volte, leggi i commenti.

Ci sono stati molti voti positivi negli ultimi due giorni su siti come HackerNews E Reddit per un post su Cryptome . Il post suggerisce che i siti contraggono con CloudFlare rendere inavvertitamente più semplice identificare i visitatori utilizzando il browser Tor; tuttavia, i lettori che vanno oltre il titolo troveranno più commenti che chiedono se c'è davvero qualcosa di nuovo nel post.

Il cofondatore di Cryptome John Young ha confermato via e-mail che il messaggio proveniva da un corrispondente anonimo, che ha scritto: L'insistenza di Cloudflare nel risolvere enigmi reCAPTCHA quando i visitatori provengono dai nodi di uscita Tor verso uno dei 2 milioni di siti web che Cloudflare 'protegge' può essere molto determinante per l'analisi del traffico e la de-anonimizzazione degli utenti Tor.

Sotto il post di Hacker News, ha scritto @tedunangst, non ho visto nulla che lo renda unico per ReCaptcha. Qualsiasi modello di traffico in grado di rilevare le impronte digitali che può essere osservato andare e venire funzionerà.

I captcha vengono generati dalla nostra parte. È tramite una connessione sicura, ha detto Matthew Prince, CEO di CloudFlare in una telefonata. Non riesco a pensare in alcun modo che ciò possa fornire informazioni aggiuntive che ti consentano di triangolare l'utente Tor.

CloudFlare fornisce sicurezza e miglioramento delle prestazioni dei siti Web ai clienti di tutto il mondo. È noto, in particolare, per contrastare gli attacchi Denial of Service (DOS). Per proteggere i propri clienti, conserva un registro degli indirizzi IP noti per essere utilizzati per spam, botnet e altri comportamenti dannosi. Se un visitatore arriva a un sito utilizzando un browser meno sicuro, CloudFlare può identificare quel visitatore come un essere umano e non gli fornirà un captcha.

Tuttavia, Tor è un browser che rende anonimi gli utenti indirizzando il loro traffico attraverso più server, sotto livelli di crittografia, in modo che CloudFlare non possa identificarli come umani. Ecco perché spesso richiede a questi utenti di completare un file ReCaptcha (quei test in cui ti viene chiesto di identificare tutte le foto con la zuppa o tutti i segnali stradali, realizzati da Google (GOOGL)), per dimostrare che sono umani. Ciò peggiora l'esperienza dell'utente, creando tensione tra gli utenti Tor e CloudFlare, come ha riportato Motherboard .

Questo nuovo rapporto solleva un'ulteriore domanda: i ReCaptcha rendono gli utenti Tor più facili da identificare in a attacco di analisi del traffico ? In questi attacchi, qualcuno con un ampio grado di visibilità sulla rete (ovvero qualcuno con molte risorse, come un grande ISP, una compagnia di telecomunicazioni o uno stato-nazione) può abbinare attività e punti di ingresso e punti di uscita, in per abbinare gli utenti ai siti web visitati.

Nel 2014, un gruppo di ricercatori ha condotto uno studio sperimentale e controllato sui dispositivi su una rete Tor in laboratorio, testando se perturbazioni artificiali nel flusso del traffico al punto di ingresso potrebbero essere rilevati al punto di uscita.

Il post di Cryptome sostiene che i ReCaptcha creano una perturbazione artificiale simile. L’idea è in qualche modo simile a quella che abbiamo esplorato, Sambuddho Chakravarty, autore principale dello studio del 2014, ha scritto lo Startracker in una e-mail. Ci sono molti fattori coinvolti: frequenza di campionamento, posizione dell'avversario, nodi di entrata e di uscita utilizzati e larghezza di banda raggiunta dal cliente, durata dell'esperimento, ecc.

Successivamente allo studio, un post sul blog sul progetto Tor ha scritto: La struttura della rete Tor, tuttavia, non protegge da un attacco mirato da parte di un avversario passivo globale (come la NSA).

Non si tratta di una novità, ha scritto Roger Dingledine, co-fondatore di Tor, in una email allo Startracker, tramite un portavoce.

Prince ha riconosciuto la frustrazione della comunità Tor nei confronti delle difese della sua azienda un post sul blog di marzo . Da allora, ha affermato che CloudFlare ha collaborato con Tor e il proprietario di ReCaptcha, Google, per migliorare l'esperienza utente per gli utenti web che desiderano navigare in modo anonimo. Ad esempio, ci siamo assicurati che un utente Tor non riceva mai più di un captcha, ha affermato.

Prince non crede che i captcha rendano più semplice per un avversario con un'ampia visione della rete rendere anonimi gli utenti Tor, ma si è offerto volontario che la sua azienda si attiverebbe per tamponare tale fuga di notizie se fossero state trovate prove.