Tor Browser的秘密(1) ——"Big Friend is watching you!"

Tor项目并不只有一个Tor程序,还有一个一直在更新着的Tor Browser Bundle[1]。很多人都认为这只是一个简单的捆绑了Tor的firefox浏览器而已,但事情远远没有这么简单:Tor Browser做了相当多的隐私保护方面的定制,最大限度的抵御了网站的追踪行为。这次联邦政府想对Tor下手,背后很可能有这些互联网公司的支持!

“Big Brother is watching you,watching you.”很熟悉吧?《1984》中最有名的一句话,现在天朝的真实写照:老大哥(政府)总是在监视着你,总是在宣传人要光明磊落(”nothing-to-hide”),但自己却总是”have-something-to-hide”,总是想方设法的扩大权力。请记住,永远都不要相信Big Brother!

现在伴随着互联网的快速扩张,Big Brother又多了一个盟友:互联网公司(Big Friend),这两位狼狈为奸一起追踪互联网用户:Big Brother直接控制ISP,部署监听系统和信息审查系统(例如棱镜和GFW)[2],进行嗅探流量分析[3]特征检测[4]等来监视追踪;而Big Friend则是通过广告cookie[5]和JavaScript脚本[6]以及Flash插件和cookie[7]还有Java插件等手段来追踪标识个性化用户,再进行大数据处理[8]以取得用户生活习惯,兴趣爱好,人际交往圈等资料以实现个性化投放广告和增强用户交互等目的。

Big Brother和Big Friend可是经常共享信息的,对于我们这些匿名者来说,这两者都是极大的威胁!虽说在隐藏IP地址的情况下Big Friend不知道你的真实身份,但它却很容易刺探到关联到你的真实身份的信息,然后Big Brother就可以用这信息进行社会工程了[9]

Tor本身可以有效防范Big Brother,但无法防范Big Friend,这是由Tor的工作原理所决定的[10]:Tor基于TCP流,工作在传输层之上应用层之下,无法左右在应用层上追踪用户的Big Friend。

“啊呀,没办法了,我们只能依靠自己了……”“如果把匿名的工作扔给用户们,那还要Tor干什么呢?”“嗯?谁?”“看看我们的Tor Browser吧!”

“你在前面说的那几样只是最常见的追踪手段,Big Friend还有不少鲜为人知的追踪手段呢,而且普通用户几乎无法防御,不过我们的Tor Browser可是几乎把一切都考虑到了呢:)”

“你们究竟做了些什么呢?”“别急,先看看到底Big Friend有多少手段追踪用户们吧!”

这里是Big Friend追踪手段大集合:
1,cookies[5]:这可以说是最常见的一种追踪手段了,网站使用cookies来标记不同的用户的行为,而且很多时候不同网站还会共用cookie(尤其是第三方广告cookie)。举个例子:我在A网站对其中的烤鸭广告起了兴趣,就点击了一下,烤鸭广告脚本(多数时候是JavaScript)就在我的PC硬盘上生成了一个cookie;然后我去了B网站,B网站读到了烤鸭广告cookie,就传送给我了定制之后的网站页面:到处都是烤鸭广告(如果没有先前那个cookie,B网站就传送默认网页,上面会有各种类型的广告).。我在A网站和B网站待的越久,相关信息就会越多,然后第三方就很容易得出一个结论:A网站的幽灵和B网站的刺客其实是同一个人,接下来就可以综合这两个账号的活动信息进行分析从而追踪我的真实身份了。

除了广告cookie,还有一种更为恐怖但更加不被人所知的cookie:OSN(Online Social Network)cookie。现在很多网站都有各种社交网站按钮,最常见的就是flike/tweet/g+1这些了,墙内对应的是山寨的人人/新浪/百度之类,不管你去不去点击,甚至不管你有没有账号,有没有去过社交网站的主站点,这些社交按钮都会自动生成cookie以追踪你[11]:这些cookie会把你去了哪些网站,干了些什么都告诉给对应的社交网站。据统计,google有28种用于追踪用户的cookie,至于墙内那些无下限的互联网流氓,情况只会更糟,而且轻易就会出卖用户数据,再加上自身安全水平不够,数据被盗也是经常发生的事,更不要说在HTTP的情况下攻击者可以轻易截取篡改cookie了。即使是在HTTPS的情况下,很多网站的第三方广告链接还是HTTP的,还是有责被攻击的风险。[12]

2,JavaScript[6]:网站的JavaScript脚本很多时候负责生成和读取cookie,不仅如此,JS脚本还有着读取用户PC屏幕信息(例如屏幕分辨率)的能力(通过提供名为DOM[13](Document Object Model)的API实现),还可以获取到用户的时区(比如天朝用户就是东8区),JS的API(应用程序编程接口)webGL[14]还会泄露显卡信息,JS还可以进行高精准度计时从而探测用户的CPU运行速率。缓存的脚本也可以用来识别用户。对于攻击者,JS也一直是被重点利用的对象,挂载恶意JS脚本进行入侵的案例数不胜数[6]。JS的强大决定了JS的危险程度很高。[12]

3,Flash插件和Flash cookie[7]:Flash插件实在是太有名了,视频播放网页游戏以及很多网站的动画效果都离不开它,但它也是个非常危险的家伙:Flash插件本身安全性欠佳,爆出过N个高危漏洞,更要命的是Flash插件很容易绕过代理设置直接与目标网站建立连接从而暴露真实IP(这是因为插件和浏览器一起工作在系统层面,不同于基于浏览器本身的扩展,插件工作的时候就像另一个独立的应用软件一样,不受浏览器沙箱的限制,从而能轻易绕过浏览器代理)!而且Flash插件工作的时候还会生成自己的Flash cookie,Flash cookie的存储路径和其他的浏览器cookie是不一样的,也就是说还不能像清理浏览器cookie一样清理掉Flash cookie。顺便说一句,很多网站就是利用了这一点,在发现用户浏览器被设置了“拒绝第三方cookie”后就自动把原先的cookie转成Flash cookie以继续追踪用户[15](Flash cookie不受浏览器控制)。

4,Java插件:Java插件和Flash插件有一样的问题,而且Java插件还会泄露系统字体信息。[12]

5,CSS[16]:CSS和HTML以及JavaScript一样都是网页设计时使用的程序语言,CSS可以用来追踪用户桌面大小,桌面工具大小,显示类型,DPI[17](每英寸点数),用户代理类型(用户使用的浏览器类型,操作系统类型等)以及其他JS能收集到的用户信息。[12]

6,HTML5[18]:HTML5是最新版的HTML语言标准,添加了很多新元素,同时也带来了新的隐私问题:HTML5会在本地硬盘上存储信息[19],可以个性化用户(也就是可以追踪用户);HTML5还新增加了Canvas语法,实现了在不需要任何外部插件的帮助下在网页上播放动态图像和视频动画,但同时Canvas就会收集用户的显卡字体库和图形库等信息,可以在很大程度上个性化一个用户(尤其是那些爱修改默认系统设置的用户),是个很大的威胁。[12]

7,HTTP Headers[5]:HTTP headers也会透露非常多的用户信息,其中信息量最大的就是User-agent和Accept-* headers,会泄露用户操作系统浏览器类型系统语言等信息,除此之外还有pipeline usage和请求模式等信息(在极端情况下,自定义的浏览器扩展也可以用来追踪用户)[12]

8,HSTS[20] 超级cookie:HSTS(HTTP严格传输安全)是一种强制浏览器使用HTTPS[21]与目标网站服务器通信的机制,可以防止中间人攻击[22]中的SSL剥离攻击(把用户的HTTPS连接强制降级为明文的HTTP连接),但在极端情况下攻击者可以利用HSTS对每个域名都存储相应标识信息的特点建立相应的cookie以追踪用户。[12]

9,其他可以用来标识并追踪用户的信息:有时不同的网站会共用以下信息:HTTP认证令牌(建立HTTP连接时用的),TLS会话ID,DOM存储信息,浏览器内容缓存,HTTP keep-alive长连接[23]和SPDY[24](对于HTTP协议的扩展,能存储身份识别信息)信息,这些都会将用户在不同网站的活动关联起来从而有利于被追踪。[12]

“天啊!这么多追踪手段,防不胜防啊!”

“别担心,Tor团队可是最大限度的把这些追踪手段都废掉了呢,至于他们具体是怎么做的,请看下一篇吧!”

最后照例附上科普文链接集合:
https://plus.google.com/u/0/109790703964908675921/about

参考资料:
1,
https://www.torproject.org/projects/torbrowser.html.en
2,监控与反监控,疯狂的共匪,为什么要谈政治https://plus.google.com/109790703964908675921/posts/EG56nVGjTd7
3,被误解的论文,流量分析,假新闻(1)https://plus.google.com/109790703964908675921/posts/9hS4mqEuRzS
4,GFW的工作原理(1)
                               ————GFW是如何识别并封锁翻墙工具的
https://plus.google.com/109790703964908675921/posts/Qs4mjSQEuh7
5,好奇的商业公司,烦人的广告,出卖你的浏览器,不要太独特https://plus.google.com/109790703964908675921/posts/HM2mjn6zrRG
6,”We Feel Safe in a Dangerous Place”(1)https://plus.google.com/109790703964908675921/posts/USnmvAgSas1
7,”We Feel Safe in a Dangerous Place”(4)https://plus.google.com/109790703964908675921/posts/ZLka9rFcDrp
8,”We Feel Safe in a Dangerous Place”(5)
                                             ————大数据,云计算,肮脏的技术

https://plus.google.com/109790703964908675921/posts/M7HphPe7t4M
9,又被关闭了的Silk Road,社会工程学,没有绝对的安全https://plus.google.com/109790703964908675921/posts/d9a2YJ4wSzT
10,真正的匿名者,TOR的原理(2)
                                            ————The Green Onions,Go!

https://plus.google.com/109790703964908675921/posts/eSdPCiPjnhn
11,Big Friend is Watching You: Analyzing Online Social
Networks Tracking Capabilities

http://conferences.sigcomm.org/sigcomm/2012/paper/wosn/p7.pdf
12,The Design and Implementation of the Tor Browser [DRAFT]
https://www.torproject.org/projects/torbrowser/design/
13,文档对象模型
https://zh.wikipedia.org/wiki/%E6%96%87%E6%A1%A3%E5%AF%B9%E8%B1%A1%E6%A8%A1%E5%9E%8B
14,WebGL
https://zh.wikipedia.org/wiki/WebGL
15,Flash Cookies and Privacy
http://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID1446862_code364326.pdf?abstractid=1446862&mirid=1
16,层叠样式表
https://zh.wikipedia.org/wiki/%E5%B1%82%E5%8F%A0%E6%A0%B7%E5%BC%8F%E8%A1%A8
17,每英寸点数
https://zh.wikipedia.org/wiki/%E6%AF%8F%E8%8B%B1%E5%AF%B8%E7%82%B9%E6%95%B0
18,HTML5
https://zh.wikipedia.org/wiki/HTML5
19,FLASH  COOKIES AND PRIVACY II:NOW WITH HTML5 AND  ETAG  RESPAWNING
https://www.futureofprivacy.org/wp-content/uploads/2011/07/Flash%20Cookies%20and%20Privacy%20II%20Now%20with%20HTML5%20and%20ETag%20Respawning.pdf
20,HTTP严格传输安全
https://zh.wikipedia.org/wiki/HTTP%E4%B8%A5%E6%A0%BC%E4%BC%A0%E8%BE%93%E5%AE%89%E5%85%A8
21,SSL/TLS的原理以及互联网究竟是如何工作的(3)
                                    ————TLS的专场!

https://plus.google.com/109790703964908675921/posts/NwWoGQ9mcDY
22,SSL/TLS的原理以及互联网究竟是如何工作的(4)
                                                        ————中间人攻击,当心!

https://plus.google.com/109790703964908675921/posts/3U3iMGDNZiB
23,HTTP持久连接
https://zh.wikipedia.org/wiki/HTTP%E6%8C%81%E4%B9%85%E8%BF%9E%E6%8E%A5
24,SPDY
https://zh.wikipedia.org/wiki/SPDY

原文:https://plus.google.com/109790703964908675921/posts/MfMqFXmGMQk

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s