Reality Check for Tor Website Fingerprinting in the Open World

Questo studio dimostra che gli attacchi di impronta digitale dei siti web su Tor rimangono altamente efficaci anche in scenari reali di mondo aperto, grazie a un nuovo metodo di raccolta dati su larga scala che rivela la robustezza degli attacchi più avanzati, la superiorità dei classificatori indipendenti dal timing e l'efficacia persistente anche con la tecnica di splitting del traffico Conflux.

L'essenziale

Immagina di voler inviare una lettera segreta a un amico, ma non vuoi che nessuno sappia chi sei né a chi la stai scrivendo. Per farlo, usi un sistema di corrieri molto speciale chiamato Tor. Invece di inviare la lettera direttamente, la fai passare attraverso tre stazioni di posta diverse (il "Guard", il "Middle" e l'"Exit"), ognuna delle quali la imbusta di nuovo in una busta più grande. Alla fine, solo l'ultima stazione sa dove va la lettera, ma non sa chi l'ha spedita. È come un gioco di "passaparola" con buste multiple: nessuno può vedere l'intero percorso.

Tuttavia, c'è un trucco. Anche se il contenuto della lettera è nascosto, il modo in cui la lettera viene spedita (quanto è pesante, quanto tempo ci mette ad arrivare, in che ordine arrivano i fogli) lascia delle "impronte digitali".

Ecco di cosa parla questo studio, spiegato come se fosse una storia:

1. Il Problema: L'Investigatore Privato e il Laboratorio Finto

Per anni, gli scienziati hanno cercato di capire se queste "impronte digitali" (chiamate Website Fingerprinting) potessero rivelare chi sta visitando quale sito web.
Fino a poco tempo fa, facevano questi esperimenti in laboratorio. Immagina di essere un investigatore che studia come si muove un ladro, ma lo fai in una stanza vuota dove il ladro cammina sempre allo stesso passo, senza mai inciampare e senza mai essere disturbato dal traffico.
Il risultato? Gli investigatori dicevano: "È facilissimo! Riconosciamo il ladro al 99%!". Ma nella vita reale, il mondo è caotico: c'è traffico, pioggia, il ladro corre, si ferma, e le sue scarpe fanno rumore in modo diverso. Molti pensavano che, nella realtà, questi attacchi non funzionassero davvero.

2. La Nuova Idea: Mettere l'Investigatore al "Posto Giusto"

Gli autori di questo studio (dall'Università Simon Fraser) hanno detto: "Aspettate, proviamo a guardare la situazione da un punto di vista diverso".
Invece di guardare il ladro dalla strada (come fa un normale spione), hanno deciso di diventare loro stessi una stazione di posta interna (il "Guard").

• L'analogia: Immagina di essere il primo postino che riceve la lettera dal mittente. Tu sai chi è il mittente (il suo indirizzo IP), ma non sai ancora dove va la lettera.
• Il trucco della privacy: Hanno creato un sistema geniale. Hanno usato dei robot per visitare siti specifici (per sapere come "suona" il traffico di quei siti) e hanno mescolato questi dati con traffico reale di migliaia di utenti Tor che non sapevano di essere osservati. Ma hanno fatto una cosa fondamentale: hanno cancellato tutti i nomi e gli indirizzi. Hanno guardato solo il "ritmo" dei pacchetti, non chi li ha inviati. È come ascoltare una conversazione in una stanza rumorosa senza mai guardare chi parla.

3. La Scoperta Sconvolgente: Funziona Davvero!

Il risultato è stato scioccante. Anche nel caos della vita reale, con utenti che aprono decine di schede, guardano video e navigano in modo disordinato, l'attacco funziona ancora benissimo.

• Il risultato: Il miglior "investigatore" (un'intelligenza artificiale chiamata Deep Fingerprinting) è riuscito a indovinare quale sito stava visitando l'utente nel 95% dei casi, anche quando c'erano molti "falsi positivi" (cioè quando l'investigatore pensava che l'utente stesse visitando un sito che invece non era).
• La lezione: Non importa quanto sia rumoroso il mondo reale; l'impronta digitale del sito web è ancora lì, nascosta nel ritmo dei dati.

4. Il Nuovo Nemico: "Conflux" (Il Corriere che si divide)

Tor ha introdotto una nuova difesa chiamata Conflux.

• L'analogia: Prima, un utente inviava la sua lettera su un unico corridoio. Con Conflux, il mittente divide la lettera in due metà e le invia su due corridoi diversi contemporaneamente, per essere più veloce.
• Il problema: Se l'investigatore (il Guard) riesce a vedere solo uno dei due corridoi, sembra che l'attacco fallisca. È come se l'investigatore vedesse solo metà della lettera: non riesce a capire chi l'ha scritta.
• La sorpresa: Gli scienziati hanno scoperto che non è una difesa perfetta. Se l'investigatore è "potente" (cioè se la sua stazione di posta è più vicina al mittente e più veloce degli altri), riesce a catturare la prima metà della lettera (che è la più importante e ricca di informazioni). In questo modo, riesce a ricostruire l'identità anche con il nuovo sistema.

5. Perché è Importante?

Questo studio ci dice due cose fondamentali:

1. Non siamo al sicuro: Anche con le protezioni attuali, un avversario intelligente che controlla una stazione di posta interna può ancora scoprire cosa stai facendo su Tor, specialmente se usa l'intelligenza artificiale moderna.
2. La privacy è una corsa contro il tempo: Gli autori non stanno cercando di "rompere" Tor per fare del male, ma stanno suonando l'allarme. Stanno dicendo: "Ehi, le nostre difese attuali non bastano più contro questi metodi sofisticati. Dobbiamo inventare qualcosa di meglio".

In sintesi:
Immagina di indossare un cappuccio per non farti riconoscere in una folla. Questo studio dice che, anche se il cappuccio funziona, se qualcuno ascolta il ritmo dei tuoi passi e sa esattamente come cammini quando vai al bar o in biblioteca, potrebbe comunque indovinare dove stai andando. E se provi a correre su due gambe diverse (Conflux) per confonderlo, un osservatore molto veloce potrebbe comunque vedere il tuo primo passo e capire tutto.

È un invito a migliorare il "cappuccio" e il modo di camminare, perché la privacy è un diritto che va protetto con strumenti sempre più forti.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Reality Check for Tor Website Fingerprinting in the Open World" di Shadbeh et al., presentato in italiano.

1. Il Problema

Il Website Fingerprinting (WF) è un attacco che cerca di inferire la destinazione di un utente (il sito web visitato) analizzando i metadati del traffico cifrato di Tor, come il timing dei pacchetti e la direzione del flusso. Sebbene molti studi di laboratorio abbiano dimostrato un'alta efficacia di questi attacchi, la loro reale applicabilità nel "mondo reale" è stata oggetto di dibattito.
Le critiche principali ai lavori precedenti includono:

• Ambienti di laboratorio non realistici: Spesso si basano su traffico sintetico che non cattura le fluttuazioni di rete, il rumore di fondo o le abitudini di navigazione complesse (es. schede multiple, attività di background).
• Setting "Open World" incompleti: Molti studi non riescono a simulare correttamente un ambiente in cui la maggior parte del traffico è non monitorato (basso base rate), rendendo difficile distinguere tra falsi positivi e veri positivi.
• Disallineamento nel training: Studi recenti (es. Cherubin et al.) hanno mostrato performance scarse quando si addestrano modelli su dati raccolti ai nodi di uscita (dove il traffico è visibile) e si testano sui nodi di ingresso, a causa di distorsioni temporali e di etichettatura (dominio vs pagina).

2. Metodologia Proposta

Gli autori introducono una nuova metodologia privacy-preserving che cambia il punto di vista dell'avversario: invece di osservare il traffico dal lato del client (ISP) o dal nodo di uscita, l'avversario controlla un nodo Guard di Tor.

Punti Chiave della Metodologia:

• Vantage Point (Guard Relay): L'attaccante controlla un nodo Guard reale. Questo offre vantaggi unici: può identificare i circuiti individuali tramite gli ID di circuito, demultiplexare il traffico di più pagine caricate simultaneamente (risolvendo il problema delle "schede multiple") e rimuovere i dati di controllo del protocollo.
• Dataset Ibrido e su Larga Scala:
  • Traffico Non Monitorato (Open World): Raccolto direttamente dal nodo Guard da utenti Tor reali. Nessun IP o destinazione è registrato. I metadati (ID canale, ID circuito, direzione, timestamp) vengono puliti e anonimizzati.
  • Traffico Monitorato (Sintetico): Raccolto tramite client controllati in diverse località geografiche (Canada, Australia, Regno Unito) che visitano pagine specifiche. Questi dati forniscono le etichette di verità fondamentale (ground truth) a livello di pagina web.
• Dataset: È stato raccolto un dataset su larga scala di oltre 800.000 tracce. Il dataset è diviso in due fasi: Pre-Conflux (prima dell'implementazione del protocollo di splitting del traffico di Tor) e Post-Conflux.
• Privacy: Il processo è rigorosamente protetto. Non vengono salvati indirizzi IP reali o destinazioni per il traffico non monitorato. Gli ID di circuito sono effimeri e locali al nodo, rendendo impossibile il tracciamento degli utenti.

3. Contributi Principali

1. Nuova Metodologia Guard-Adversary: Un approccio che combina traffico reale non monitorato (dal Guard) e traffico monitorato sintetico (addestramento), eliminando i vantaggi irrealistici dei laboratori e gli svantaggi dei precedenti studi su larga scala (come la mancanza di etichette a livello di pagina).
2. Valutazione dell'Attacco Guard: Prima analisi sistematica che dimostra come un nodo Guard, grazie alla sua capacità di demultiplexare i circuiti, possa condurre attacchi WF efficaci anche in scenari reali.
3. Benchmark in Open World Reale: Dimostrazione che gli attacchi WF moderni rimangono altamente efficaci contro il traffico Tor reale, anche in condizioni di rete eterogenee (cross-network).
4. Studio su Conflux: Prima valutazione sistematica dell'impatto del protocollo Conflux (che divide il traffico su più circuiti o "gambe") sugli attacchi WF.

4. Risultati Sperimentali

Efficacia in Open World (Pre-Conflux)

• Gli attacchi WF rimangono una minaccia reale. L'attacco Deep Fingerprinting (DF) ha raggiunto prestazioni eccezionali in condizioni cross-network (addestramento in Australia, test in Canada):
  • Precisione (r-precision a r=10): 0.956
  • Recall: 0.922
  • F1 Score: 0.939
• Robustezza: DF si è dimostrato il più robusto ai cambiamenti di rete (jitter, latenza) rispetto ad altri stati dell'arte come Robust Fingerprinting (RF) o Holmes, che hanno mostrato un crollo delle prestazioni in scenari cross-network a causa della loro dipendenza da feature temporali sensibili.
• Robustezza ai Set di Training: Gli attacchi funzionano bene anche con set di training piccoli (circa 70 tracce per pagina).
• Deriva del Concetto (Concept Drift): I modelli mostrano una degradazione graduale nel tempo (6 mesi), ma rimangono efficaci, specialmente se addestrati su dati reali non monitorati.

Impatto di Conflux (Post-Conflux)

• Degradazione: Quando il traffico è diviso su due circuiti (Conflux) e l'attaccante osserva solo una singola "gamba" (leg), le prestazioni crollano drasticamente (es. F1 di DF scende da 0.939 a 0.379).
• Il Fattore "Guard Potente": Gli autori hanno simulato un nodo Guard con un vantaggio di latenza (RTT più basso rispetto ad altri guard). Poiché Tor usa una strategia di scheduling LowRTT (preferisce la gamba con RTT più basso), un guard "potente" ha maggiori probabilità di essere la gamba primaria e di osservare l'inizio del caricamento della pagina.
  • Con un vantaggio di latenza moderato (128 ms), il recall di DF sale da 0.189 a 0.736.
  • L'attacco RF mostra una maggiore resilienza anche sulle tracce non complete, raggiungendo un recall di 0.881 con un vantaggio di latenza.

Analisi Temporale

• I classificatori indipendenti dal timing (come DF, che usa solo la sequenza di direzione dei pacchetti) sono significativamente più robusti alla variabilità di rete rispetto a quelli che dipendono fortemente dal timing.

5. Significato e Implicazioni

• Rilevanza della Minaccia: Il lavoro smentisce l'idea che gli attacchi WF siano solo un problema di laboratorio. Dimostra che, con una metodologia corretta e un punto di vista strategico (Guard), la de-anonimizzazione è una minaccia concreta e praticabile.
• Limiti di Conflux: Sebbene Conflux riduca l'efficacia degli attacchi osservando una singola gamba, non è una soluzione definitiva ("silver bullet"). Un avversario con risorse (un Guard con bassa latenza) può sfruttare lo scheduling di Tor per recuperare gran parte dell'efficacia dell'attacco.
• Sviluppo Futuro: Il paper suggerisce che le future difese di Tor dovrebbero concentrarsi su algoritmi di scheduling che mitigano i bias di latenza e su tecniche che rendano il traffico meno distinguibile anche in scenari di splitting.
• Etica e Open Science: Gli autori hanno rilasciato dataset e codice (Open Science), ma con restrizioni temporanee e accordi di utilizzo per proteggere la privacy degli utenti reali, bilanciando la necessità di ricerca con la sicurezza degli utenti.

In sintesi, il paper fornisce una "realtà" (reality check) severa per la comunità di Tor: gli attacchi di impronta digitale dei siti web sono ancora molto efficaci nel mondo reale, specialmente se l'avversario controlla un nodo di ingresso strategico, e le attuali contromisure come Conflux offrono solo una protezione parziale.