EgotisticalGiraffe — Tor De-anonymization
ה-NSA תקף את Tor! חשיפת מסמכי סנודן: מבצע "ג'ירפה אגואיסטית" לדה-אנונימיזציה של גולשים דרך פירצת דפדפן.
רקע
רשת Tor, המכונה גם "רשת הבצל" (The Onion Router), היא טכנולוגיה המאפשרת גלישה אנונימית באינטרנט על ידי ניתוב מוצפן של תעבורת המשתמש דרך סדרה של צמתים המופעלים על ידי מתנדבים ברחבי העולם. מטרתה המרכזית היא להגן על פרטיות המשתמשים, להסתיר את מיקומם הפיזי ואת היסטוריית הגלישה שלהם מפני מעקב וניתוח תעבורה. בשל יכולותיה, הרשת משמשת קשת רחבה של אנשים: החל מאזרחים במדינות דיקטטוריות, דרך עיתונאים ופעילי זכויות אדם, וכלה בגורמים פליליים המבקשים להסתיר את פעילותם. עבור סוכנויות מודיעין כמו הסוכנות לביטחון לאומי של ארה"ב (NSA), האנונימיות שמספקת הרשת היוותה אתגר מודיעיני משמעותי, והובילה לפיתוח שיטות התקפיות במטרה לעקוף אותה.
תוכן המסמך
אחד המסמכים המרכזיים שהודלפו על ידי אדוארד סנודן ושפכו אור על מאמצים אלה הוא מצגת פנימית של ה-NSA הנושאת את שם הקוד "EgotisticalGiraffe" (ג'ירפה אגואיסטית). המצגת, שנוצרה במסגרת תוכנית רחבה יותר לתקיפת משתמשי טכנולוגיות הצפנה, מתארת טכניקת תקיפה ספציפית שנועדה לבצע "דה-אנונימיזציה" – חשיפת זהותו האמיתית של משתמש ברשת Tor.
השיטה לא התמקדה בפיצוח התשתית המוצפנת של הרשת עצמה, אלא בנקודת התורפה החלשה ביותר בשרשרת: דפדפן המשתמש. באותה תקופה, חבילת הגלישה של Tor (Tor Browser Bundle) התבססה על גרסה מסוימת של דפדפן פיירפוקס (Firefox ESR 17). טכניקת "EgotisticalGiraffe" נועדה לנצל פרצת אבטחה ידועה (אך שטרם תוקנה בכל הגרסאות) בדפדפן זה.
ההתקפה פעלה באופן הבא: כאשר משתמש Tor שהיה מטרה של ה-NSA גלש לאתרים מסוימים, שרתי ה-NSA, שהיו ממוקמים בצמתים מרכזיים של האינטרנט, זיהו את תעבורת ה-Tor שלו והזריקו קוד זדוני לתשובה שהוחזרה מהאתר. הקוד ניצל את הפרצה בדפדפן פיירפוקס וגרם לו, ללא ידיעת המשתמש, ליצור חיבור ישיר לשרת מחוץ לרשת Tor. חיבור ישיר זה חשף באופן מיידי את כתובת ה-IP האמיתית של המשתמש, ולעיתים גם פרטים מזהים נוספים כמו כתובת ה-MAC של כרטיס הרשת שלו, ובכך שם קץ לאנונימיות שלו. הנתונים שנאספו נשלחו למערכת שרתים של ה-NSA שזכתה לשם הקוד "FoxAcid".
חשיפה ופרסום
המסמך המתאר את "EgotisticalGiraffe" הודלף על ידי אדוארד סנודן ופורסם לראשונה ב-4 באוקטובר 2013, במסגרת תחקיר משותף של העיתון "הגארדיאן" ו"הוושינגטון פוסט". הפרסום חולל זעזוע בקהילת אבטחת המידע והפרטיות, שכן הוא היווה הוכחה קונקרטית ונדירה לכך שסוכנויות ביון מממשל דמוקרטי פועלות באופן אקטיבי כדי לערער את אחת מטכנולוגיות הפרטיות החשובות ביותר בעולם.
השלכות
לחשיפה היו השלכות מרחיקות לכת. במישור הטכני המיידי, התברר כי פרצת האבטחה הספציפית שנוצלה על ידי "EgotisticalGiraffe" כבר תוקנה בגרסאות חדשות יותר של חבילת הגלישה של Tor שהיו זמינות בעת הפרסום. הדבר המחיש את מרוץ החימוש המתמיד בין המפתחים לסוכנויות המודיעין ואת החשיבות הקריטית של עדכון תוכנה.
במישור האסטרטגי, החשיפה המחישה באופן חד וברור כי ה-NSA לא ראתה ברשת Tor מכשול בלתי עביר, אלא אתגר שיש לפעול נגדו באופן אקטיבי. היא הראתה כי במקום לנסות לשבור את ההצפנה החזקה של הרשת, הסוכנות העדיפה לתקוף את "החוליה החלשה" – תוכנת הקצה. הדבר עורר דיון ציבורי נוקב סביב הלגיטימיות של תקיפת משתמשים רק בשל העובדה שהם מבקשים לשמור על פרטיותם, והעלה חשש כי גם משתמשים לגיטימיים עלולים ליפול קורבן למעקב. בעקבות הפרסום, פרויקט Tor והקהילה סביבו הגבירו את מאמציהם לאבטחת הדפדפן, לביצוע ביקורות קוד קפדניות יותר ולחינוך המשתמשים לגבי שיטות הגנה.
מקור: דיווחים פומביים על הדלפות סנודן (2013–2014)
