заражении мостов TOR c дальнейшей слежкой за пользователями, в том числе подменой ключей шифрования. Поиск мостов и их взлом также считаются малореализуемой задачей;

– выводе из строя сторожевых узлов с помощью DDoS-атак. В настоящее время эта уязвимость стала неактуальной, поскольку разработчики проекта TOR максимально скрывают адреса сторожевых узлов.

В третьем случае уязвимость связана с работой пользователей через TOR с системой Bitcoin. Методика использует уязвимость протокола криптовалюты, которая позволяет клиентам осуществлять свободный сбор статистики и произвольный выбор узлов. Поэтому атакующий, используя даже незначительное в общей массе количество случайных соединений, может собрать достаточно информации для последующего ее анализа. После накопления определенного массива данных, применяя DoS-атаку на сеть Bitcoin, можно деанонимизировать не менее половины ее пользователей. Так как в системе Bitcoin по умолчанию применяется бан IP-адресов, причастных к DoS-атакам, атака через выходные узлы TOR позволяет последовательно выводить из строя клиентов, работающих через эту анонимную сеть. И как следствие, становится возможным выделение тех IP-адресов, которые не работают с клиентом, выходящим в сеть через TOR. Опасность этой атаки заключается в том, что она работает, даже если соединения с Bitcoin зашифрованы. Однако атака неэффективна в случае краткосрочных действий пользователей в сервисе Bitcoin, не говоря о том, что работа с виртуальной валютой не является нарушением закона.

Новые исследования на тему уязвимостей TOR публикуются регулярно, однако в большинстве своем уязвимости или носят краткосрочный характер, то есть легко устраняются, или могут быть использованы только при каких-то ограничениях и (или) в малых сегментах сети.

В настоящий момент TOR остается одной из самых защищенных систем. В разных странах (в т. ч. силовыми ведомствами) ведутся работы по модификации TOR или использованию дополнительных программ вкупе с TOR с целью создания более защищенной системы.

Таким образом, система TOR является неотъемлемой частью «теневого интернета» и используется преимущественно для ведения незаконной деятельности, а также ухода от правосудия, в том числе при атаках на СЭБ. Несмотря на это, различные коммерческие и государственные организации (преимущественно из США) продолжают спонсировать данный проект под предлогом защиты прав человека. Технология работы сети, а также ее постоянное развитие не позволяют в полной мере противоборствовать незаконным действиям, совершаемым в ее рамках. А топология самой системы исключает возможность предотвратить ее использование, деанонимизировать большую часть пользователей, взломать сеть или вывести ее из строя, что заставляет применять инновационный подход к противодействию подобным сетям.

3.3. Описание сети I2P и принцип ее работы

Умеющий ходить – не оставляет следов, умеющий говорить – не совершает ошибок, умеющий запирать дверь – не пользуется замками, но запирает их так крепко, что открыть их невозможно.

Лао-цзы (Ли Эр), древнекитайский философ

Второй по популярности сетью в «теневом интернете» является I2P. Если TOR изначально создавалась именно для анонимной работы в интернете, представляет собой цепочку proxy-серверов и как результат развития позволяет теперь создавать веб-сайты не с ICANN-именами, то I2P представляет собой одну большую VPN-сеть, где шифруются IP-адреса и формируются тоннели разной длины. И основная цель такой сети – как раз анонимное высказывание своих мыслей в сообществе: работа в интернете из этой сети не может быть анонимной.

I2P была создана в 2003 г. и активно развивается вплоть до настоящего времени. Некоторые примеры веб-сайтов данной сети (на момент публикации веб-сайты могут быть не доступны):

– silkroadreloaded.i2p – продажа наркотиков;

– http://bitcoin4cash.i2p/ – покупка криптовалюты;

– http://duck.i2p/ – криптоказино.

Концептуальными элементами сети I2P являются:

– маршрутизаторы, которые участвуют в построении тоннелей;

– тоннели;

– сетевая база данных.

Первый элемент и является по сути элементом, анонимизирующим пользователей, так как работает не с реальными адресами, а с I2P-адресами каждого приложения, которое запущено у пользователя, обращающегося к маршрутизатору. Маршрутизаторы имеют как реальные IP-адреса, так и BP-адреса.

Второй элемент – это путь через цепочку маршрутизаторов. Тоннель выстраивается от отправителя к получателю данных. Если получатель планирует передать данные обратно отправителю, то выстраивается другой тоннель. Поэтому клиент всегда имеет входящий и исходящий тоннели (рис. 37).

Третий элемент – это базы, где хранятся сведения о маршрутизаторах и тоннелях (которые обновляются в режиме реального времени). При выстраивании тоннеля из базы берутся сведения о входящих и исходящих тоннелях получателя.

Основной принцип работы сети: любой клиент – это маршрутизатор. IP-адреса клиентов/маршрутизатор зашифрованы алгоритмом AES. Клиент знает только адреса ближайших маршрутизаторов.

Кроме технологии анонимизации работы пользователей, в данной сети все сообщения шифруются на четырех уровнях: сквозное, чесночное, тоннельное шифрование, а также шифрование транспортного уровня.

Главная особенность сети I2P заключается в том, что маршрутизация и построение тоннеля осуществляются не по общесетевым правилам, а по принципу передачи сообщения через API от одного клиента к другому: в начале происходит расшифровка части сообщения Java-приложением маршрутизатора, а затем узнается следующий маршрутизатор и пересылается нерасшифрованный вариант.

Рис. 37. Принцип работы сети I2P

Главной уязвимостью I2P, по мнению различных экспертов, является возможность перехвата всего тоннеля. Для обеспечения анонимности внутри I2P применяются тоннели, представляющие собой цепочки маршрутизаторов, через которые передаются сообщения. Тоннели бывают исходящие и входящие. Исходящие предназначены для сокрытия местоположения отправителя, а входящие – получателя. Потому LeaseSet’ы и представляют собой список входных узлов и идентификаторов входящих тоннелей, информация об исходящих тоннелях не публикуется. Местоположение второго конца тоннеля держится в секрете. Для получения ответов клиент посылает серверу собственный LeaseSet. Каким путем проложен тоннель и соответственно на каком узле находится его второй конец – известно только создателю тоннеля. Все промежуточные участники тоннеля знают лишь следующий узел, которому следует передать перешифрованное сообщение. Но это в теории – на практике же промежуточные узлы также знают, откуда пришло сообщение, потому что сообщения между узлами передаются по обычному интернету и узнать IP-адрес отправителя не составляет труда. Далее при достаточном размере базы можно найти и RouterInfo.

Таким образом, если промежуточный узел тоннеля принадлежит злоумышленнику, то он немедленно узнает и двух своих соседей, что компрометирует одно- или двухшаговые тоннели, поскольку позволяет отследить всю цепочку. Теоретически можно увеличить длину тоннелей вплоть до восьми узлов, практически же каждый дополнительный узел резко замедляет скорость работы и надежность, поскольку присутствие узла онлайн на все время существования тоннеля не гарантировано. Поэтому в настоящий момент в I2P используются трехшаговые тоннели.

Таким образом, для успешной деанонимизации узла злоумышленнику следует узнать маршрут любого из тоннелей в любой момент – для этого достаточно, чтобы два узла одного тоннеля были ему доступны. При нынешнем размере сети в несколько тысяч узлов такой сценарий вполне по силам крупным структурам. Если в деанонимизации серверов ранее описанный перехват reseeding^ мало поможет, поскольку серверы выбирают узлы входящих тоннелей сами, то для выявления клиентов, посещающих «неблагонадежные» ресурсы, данный метод идеален: все узлы, в том числе выходные, используемые клиентом для построения его исходящих тоннелей, будут априори принадлежать злоумышленнику. Тем самым сразу