b9cb3f009840b54955fc943441d5abb2876358a1
[detour.git] / README
1 ===== End-to-end correlation for Tor connections using an active timing attack =====
2
3 This is a very simple implementation of an active timing attack on Tor. Please note that
4 the Tor developers are aware of issues like this –
5 https://blog.torproject.org/blog/one-cell-enough states:
6
7 > The Tor design doesn't try to protect against an attacker who can see
8 > or measure both traffic going into the Tor network and also traffic
9 > coming out of the Tor network.
10 > [...]
11 > The way we generally explain it is that Tor tries to protect against
12 > traffic analysis, where an attacker tries to learn whom to investigate,
13 > but Tor can't protect against traffic confirmation (also known as
14 > end-to-end correlation), where an attacker tries to confirm a
15 > hypothesis by monitoring the right locations in the network and then
16 > doing the math.
17
18 That page also links to this really scary paper:
19 <http://petworkshop.org/2007/papers/PET2007_preproc_Sampled_traffic.pdf>
20
21 So, this is a known problem, but I wanted to see how easy it really is to do this,
22 and I wanted to try it myself, so I built a PoC.
23
24 The requirements are:
25  - The user points his browser to the attacker's webserver and stays on that server
26    long enough (a bit over 4 minutes in my implementation)
27  - The attacker controls the webserver or the exit node (or something between them)
28    (in my implementation, he controls the webserver)
29  - The attacker can measure the internet traffic of all possible users
30
31 In my implementation, the attacking server can encode 64 bits into a pattern
32 of data bursts – simplified, a zero becomes "first data, then nothing" and a one
33 becomes "first nothing, then data". The server then sends those data bursts back to
34 the client.
35 The attacker measures the traffic of all possible users and decodes every TCP data
36 stream back into bits using the data burst encoding. Then, he scans all the decoded
37 data for the bits he sent to the user to find out which user connected to his server
38 through Tor.
39 This is really just a simple one-day-project implementation without any sophisticated
40 stuff that would probably improve the accuracy and speed a lot.
41
42
43
44 ===== USAGE =====
45 My proof-of-concept code is at <http://git.thejh.net/?p=detour.git;a=tree>.
46 It needs libpcap and works on Linux. It probably won't work on Windows.
47
48 Compile with "./compile.sh".
49 On the server, run "./pulser". This will open an HTTP server on port 4422.
50 On the monitoring device (just run it on your computer if you just want to
51 test it for yourself), run "./pulserecord eth0" as root (replace eth0 with the
52 right interface if it's wrong).
53 Generate a new bit pattern with "./random_bits" (or anything else).
54 In the victim browser that uses Tor, navigate to "http://<your server>/<random bits>".
55 After the page has loaded in the victim browser, run
56 "./pulsehunter <random bits> | sort -n | tail"
57 (with the same bits you used in the browser) on the monitoring device. The number on
58 the left side is how many bits matched, the TCP connection data (IPs and ports) is on
59 the right side.
60
61
62
63 ===== TEST RESULTS =====
64 So, with my PoC ready, I tried it on myself in three different scenarios:
65
66  - no other traffic over Tor
67  - reading news articles over Tor
68  - watching Youtube videos over Tor (with switching to another video after the first
69    one had buffered completely)
70
71 Here are the results.
72
73
74 --- DOING NOTHING ---
75 $ ./random_bits 
76 1010101010110011101101110010110010011101000000000100101000100101
77 $ sudo rm out/*
78 $ sudo ./pulserecord eth0
79 Device: eth0
80 ^C$ ./pulsehunter 1010101010110011101101110010110010011101000000000100101000100101 | sort -n | tail
81 [...]
82 64      ***.***.***.***:59254 -> ***.***.***.***:443
83 64      ***.***.***.***:443 -> ***.***.***.***:59254
84
85 => All 64 bits correct in both directions – that's a really solid hit.
86
87
88
89 --- READING NEWS ARTICLES ---
90 $ ./random_bits 
91 1100001100001111110101110000101000111110001111010111110011011111
92 $ sudo rm out/*
93 $ sudo ./pulserecord eth0
94 Device: eth0
95 ^C$ ./pulsehunter 1100001100001111110101110000101000111110001111010111110011011111 | sort -n | tail
96 [...]
97 60      ***.***.***.***:443 -> ***.***.***.***:59254
98 61      ***.***.***.***:59254 -> ***.***.***.***:443
99
100 60 bits for incoming Tor, 61 bits for outgoing Tor. How solid is that hit? Let's ask Wolfram Alpha:
101
102 http://www.wolframalpha.com/input/?i=p%3D0.5+n%3D64&a=*MC.p%3D0!.5+n%3D64-_*Formula.dflt-&a=FSelect_**BinomialProbabilities-.dflt-&f3=60&f=BinomialProbabilities.x_60&a=*FVarOpt.1-_***BinomialProbabilities.x--.***BinomialProbabilities.l-.*BinomialProbabilities.r---.*--
103
104 probability for 61 or more bits to appear at random: 2.331*10^-15
105 Wolfram Alpha says there are roughly 1 200 000 000 personal computers on earth (as of 2011)
106 1200000000*100*2.331*10^-15 = 0.00028
107
108 => Even if you're monitoring the internet use of every personal PC on earth and every one of those PCs
109    is communicating over 100 connections at the time of interest, you're still usually not going to get
110    any false positives. This is a solid hit.
111
112
113
114 --- YOUTUBE ---
115 I watched youtube and switched to a new video when the first one finished buffering.
116
117 $ ./random_bits 
118 0101100100001100011011001001101101110000011110000011100011110000
119 $ sudo rm out/*
120 $ sudo ./pulserecord eth0
121 Device: eth0
122 ^C$ ./pulsehunter 0101100100001100011011001001101101110000011110000011100011110000 | sort -n | tail
123 [...]
124 41      ***.***.***.***:40307 -> ***.***.***.***:443
125 43      ***.***.***.***:443 -> ***.***.***.***:40307
126
127 43 is incoming Tor, 41 is outgoing Tor
128
129 http://www.wolframalpha.com/input/?i=p%3D0.5+n%3D64&a=*MC.p%3D0!.5+n%3D64-_*Formula.dflt-&a=FSelect_**BinomialProbabilities-.dflt-&f3=42&f=BinomialProbabilities.x_42&a=*FVarOpt.1-_***BinomialProbabilities.x--.***BinomialProbabilities.l-.*BinomialProbabilities.r---.*--
130
131 0.4073% probability for 43 or more bits to appear at random
132
133 => Significant, but if you look at >100 connections, you might well get some false positives.