Капча CloudFlare может применяться для деанонимизации пользователей Tor
Крупнейшая сеть доставки контента CloudFlare подозревается в участии в программе по деанонимизации пользователей Tor. CloudFlare обеспечивает трансляцию трафика для примерно 2 млн сайтов и может анализировать трафик к данным сайтам из сети Tor, контролируя этап обращения к сайтам после выхода из цепочки анонимизации в сети Tor. В свою очередь интернет-провайдеры могут контролировать отправку трафика в Tor, что позволяет спецслужбам при желании получить доступ к информации о трафике перед и после анонимизации в Tor.
Проходящий через Tor трафик зашифрован и не подвластен для прямого анализа, но теоретически имеется возможность применения косвенных методов для сопоставления трафика до и после сети Tor, что позволяет с определенной долей вероятности привязать входящие в Tor и выходящие из Tor запросы. В частности, для идентификации трафика может использоваться манипуляции размером пакетов и задержками между их отправкой. Например, отправив с сервера большую серию пакетов разной длины и с разными задержками можно определить корреляцию изменения размера и задержек в поступающем пользователю шифрованном трафике.
Что касается CloudFlare, то исследователи обратили внимание на то, что при обращении через Tor к некоторым сайтам, работающим через CloudFlare, последний требует подтверждения операции через ввод капчи (используется reCAPTCHA). При этом между компьютером пользователя и сервером CloudFlare происходит достаточно активный обмен пакетами - на каждый клик на картинке капчи-головоломки генерируется около 50 сетевых пакетов, половина из которых уходит со стороны пользователя (выполняется JavaScript reCAPTCHA в браузере), а половина со стороны сервера CloudFlare.
Обмен данными длится менее секунды и искажения, вносимые процессом смешивания пакетов в Tor (джиттер), несущественны. При этом группа пакетов имеет предсказуемую длину и шаблон отправки, что позволяет легко использовать данные параметры как сигнатуру для определения одного и того же клика на картинке, как на стороне анализатора трафика в ISP, так и на стороне анализатора в Cloudflare, без необходимости расшифровки информации. Одновременно через Cloudflare могут работать тысячи пользователей, но подтверждение по капче на этом фоне достаточно редкое и не пересекающиеся событие, которым можно управлять на стороне Cloudflare.
