НАБОР ПРИЗНАКОВ УСТАНОВЛЕНИЯ HTTPS-СОЕДИНЕНИЯ TLS V1.3 ПРОГРАММНЫМ КОМПЛЕКСОМ «ТОР»

  • В. В. Лапшичёв Южный федеральный университет
  • О.Б. Макаревич Южный федеральный университет
Ключевые слова: Программный комплекс «Тор», обфускация данных, TLS-рукопожатие, протокол шифрования версии TLS v1.3, законное блокирование доступа

Аннотация

Пресечение незаконной деятельности пользователей сети Интернет является одной
из актуальных проблем обеспечения информационной безопасности в Российской Федера-
ции. Пресечение деятельности лиц, совершающих противоправные действия с использова-
нием цифровых технологий, в частности, при помощи анонимной сети «Тор», является
одной из задач федеральных правоохранительных органов, обеспечивающих информацион-
ную безопасность. Сложность выявления и идентификации использования программного
комплекса «Тор» в сетях передачи данных обусловлена целым рядом мер, предпринятых его
разработчиками, направленными на маскирование потока данных комплекса, среди кото-
рых использование современных алгоритмов шифрования пакетов данных. Целью работы
является создание и описание набора признаков установления https-соединения программ-
ным комплексом «Тор» в условиях применения TLS-шифрования данных протоколом версии
v1.3. Задачами работы являются подготовка и анализ материалов трафика программного
комплекса «Тор», а также создание на основе полученных данных набора признаков уста-
новления соединения между клиентом и сервером анонимной сети. В ходе анализа потока
данных анонимной сети исследовался этап установления соединения между клиентом и
входным сервером цепи узлов сети «Тор», так называемое «TLS-рукопожатие». Следует
отметить, что данная работа дополняет предыдущие исследования по тематике анализа
TLS-шифрования в части, касающейся применяемого с 2018 года протокола шифрования
TLS v1.3, описывая его особенности как часть механизма реализации анонимизации про-
граммным комплексом «Тор». Авторы предлагают использовать размер пакетов
«TLS-рукопожатия» в качестве основных признаков, несущих идентифицирующую инфор-
мацию об установлении анонимного соединения между клиентом и узлом сети «Тор». Ис-
следование выполнено при финансовой поддержке Минобрнауки России (грант ИБ) в рам-
ках научного проекта №23/2020.

Литература

1. Basynya E.A., Khitsenko V.E., Rudkovskiy A.A. Metod identifikatsii kiberprestupnikov,
ispol'zuyushchikh instrumenty setevogo analiza informatsionnykh sistem s primeneniem
tekhnologiy anonimizatsii [Method of identification of cybercriminals using tools of network
analysis of information systems using anonymization technologies], Doklady Tomskogo
gosudarstvennogo universiteta sistem upravleniya i radioelektroniki [Reports of Tomsk State
University of Control Systems and Radioelectronics], 2019, Vol. 22, No. 2, pp. 45-51. DOI:
10.21293/1818-0442-2019-22-2-45-51.
2. Rao Z., Niu W., Zhang X.S., Li H. Tor anonymous traffic identification based on gravitational
clustering. Peer-to-Peer Networking and Applications: Vol. 11, Issue 3. New York: Springer
Science+Business Media, 2017, pp. 592-601.
3. Amann J., Sommer R. Exploring Tor’s Activity Through Long-term Passive TLS Traffic
Measurement. Paper presented at the Passive and Active Measurement Conference (PAM),
Heraklion, Crete, Greece, 2016.
4. Makrushin D., Garnaeva M. Uncovering Tor users: where anonymity ends in the Darknet.
Kaspersky Lab SecureList. 18.06.2015. Available at: https://securelist.com/uncovering-Torusers-
where-anonymity-ends-in-the-darknet/70673 (accessed 03 November 2020).
5. Lazarenko A.V. Tekhnologii deanonimizatsii pol'zovateley «Tor» [Technologies of
deanonymization of users "Tor"], Novye informatsionnye tekhnologii v avtomatizirovannykh
sistemakh [New information technologies in automated systems], 2016, pp. 19. Available at:
https://cyberleninka.ru/article/v/tehnologii-deanonimizatsii-polzovateley-Tor (accessed 01 November
2020).
6. Sommer R., Amann J., Hall S. Spicy: A Unified Deep Packet Inspection Framework Dissecting
All Your Data (ICSI Technical Report), Berkeley, CA, USA, University of California, International
Computer Science Institute, 2015.
7. Ferry A.S., Isbat U.N., Balighani F.B. Detecting and blocking onion router traffic using deep
packet inspection. Paper presented at International Electronics Symposium (IES), Denpasar,
Indonesia, 2017.
8. Government Communications Headquarters. A potential technique to deanonymise users of
the Tor network. Snowden Surveillance Archive, 2011. Available at: https://snowdenarchive.
cjfe.org/greenstone/collect/snowden1/index/assoc/HASH0d08.dir/doc.pdf (accessed 01 November
2020).
9. Government Communications Headquarters. A potential technique to deanonymise users of
the Tor network – Slides. Snowden Surveillance Archive, 2011. Available at:
https://snowdenarchive.cjfe.org/greenstone/collect/snowden1/index/assoc/HA
SHf400.dir/doc.pdf (accessed 02 November 2020).
10. Government Communications Headquarters. Tor Hidden Services How Hidden is 'Hidden'?
Applied Research. Snowden Surveillance Archive, 2011. Available at: https://snowdenarchive.
cjfe.org/greenstone/collect/snowden1/index/assoc/HASH3ae6.dir/doc.pdf (accessed 02 November
2020).
11. National Security Agency. Tor - 2006 CES Summer Program. Snowden Surveillance Archive,
2006. Available at: https://snowdenarchive.cjfe.org/greenstone/collect/ snowden1/
index/assoc/HASHbefc.dir/doc.pdf (accessed 03 November 2020).
12. National Security Agency. TLS trends at GCHQ, Snowden Surveillance Archive, 2012. Available
at: https://snowdenarchive.cjfe.org/greenstone/collect/snowden1/index/assoc/HASH2236.
dir/doc.pdf (accessed 04 November 2020).
13. National Security Agency. Tor Stinks. Snowden Surveillance Archive, 2012. Available at:
https://snowdenarchive.cjfe.org/greenstone/collect/snowden1/index/assoc/
HASH7920.dir/doc.pdf (accessed 03 November 2020).
14. National Security Agency. Types of IAT - Advanced Open Source Multi-Hop. Snowden Surveillance
Archive, 2012. Available at: https://snowdenarchive.cjfe.org/greenstone/ collect/
snowden1/index/assoc/HASH01ad/bb7e08bf.dir/doc.pdf (accessed 01 November 2020).
15. National Security Agency (2013). Peeling Back the Layers of Tor with EGOTISTICAL
GIRAFFE. Snowden Surveillance Archive, 2013. Available at: https://snowdenarchive.
cjfe.org/greenstone/collect/snowden1/index/assoc/HASH32d5.dir/doc.pdf.
16. Lapshichev V.V. Makarevich O.B. Metod obnaruzheniya i identifikatsii ispol'zovaniya
programmnogo kompleksa «Tor» [Method of detection and identification of the use of the
software complex "Tor"], Informatizatsiya i svyaz' [Informatization and Communication],
2020, No. 3, pp. 17-20. DOI: 10.34219/2078-8320-2020-11-3-17-20.
17. Lapshichyov V.V., Makarevich O.B. TLS Certificate as a Sign of Establishing A Connection
With the Network Tor, The 12th International Conference on Security of Information and
Networks (SIN 2019): Proceedings of the 12th International Conference on Security of Information
and Networks, 2019, pp. 92-97. DOI: 10.1145/3357613.3357628.
18. Lapshichev V.V. TLS Certificates of the Tor Network and Their Distinctive Features, International
Journal of Systems and Software Security and Protection, 2019, Vol. 10, No. 2,
pp. 20-43. DOI: 10.4018/IJSSSP.2019070102.
19. Lapshichyov V., Makarevich O. Technology of Deep Packet Inspection For Recognition And
Blocking Traffic of the Tor Network, Bezopasnost' informatsii i komp'yuternykh setey (SIN
2019): Mater. 12-y Mezhdunarodnoy nauchnoy konferentsii [Information Security and Computer
Networks (SIN 2019): Proceedings of the 12th International Scientific Conference],
2019, pp. 24-27.
20. Lapshichyov V., Makarevich O. Algorithm for Analyzing And Blocking Access to the Tor
Network, Bezopasnost' informatsii i komp'yuternykh setey (SIN 2019): Mater. 12-y
Mezhdunarodnoy nauchnoy konferentsii [Information Security and Computer Networks (SIN
2019): Proceedings of the 12th International Scientific Conference], 2019, pp. 27-30.
Опубликован
2021-01-19
Выпуск
Раздел
РАЗДЕЛ III. ИНФОРМАЦИОННЫЙ АНАЛИЗ