Efficiënte Defensies tegen Verkeersanalyse voor Anonieme Communicatie met Lage Latentie

Website fingerprinting is een verzameling van netwerkanalysetechnieken waarmee een lokale afluisteraar kan afleiden welke webpagina’s een gebruiker bezoekt via een versleuteld kanaal. Deze technieken gebruiken classificatie op basis van machinaal leren om te profiteren van eigenschappen van metagegevens van het netwerkverkeer, zoals de lengte en timing van netwerkpakketten. Van website fingerprinting is aangetoond dat het de privacy ondermijnt die geboden wordt door privacybevorderende technologieën, zoals HTTPS, versleutelde proxy’s en VPN’s, en zelfs anonieme communicatienetwerken zoals Tor.

Dit proefschrift bundelt een reeks studies over de methodologie die gebruikt wordt om de effectiviteit van website fingerprinting technieken te evalueren. De overkoepelende bijdrage van deze studies is dat ze de evaluatie van website fingerprinting technieken systematiseren, wat een accurate beoordeling van de performantie van website fingerprinting aanvallen toelaat, en bijgevolg de ontwikkeling van tegenmaatregelen om ze te verhinderen informeert.

Onze eerste stap was het beoordelen van bestaand werk en het in vraag stellen van aannames in de evaluatiemethodes van bestaande website fingerprinting aanvallen. We argumenteren dat zulke aannames niet noodzakelijk gelden in realiteit: het zijn vereenvoudigingen, gemaakt in een proefomgeving, die niet noodzakelijk van toepassing zijn bij een uitrol in de echte wereld. We beoordelen de impact van deze aannames op de effectiviteit van de aanvallen en tonen aan dat het succes van de aanval aanzienlijk afneemt als de aannames niet gelden.

We identificeren vooroordelen in de methoden die eerder werk gebruikt om de prestatie van een aanval te evalueren. Ten eerste tonen we aan dat zulke evaluaties het effect van de base rate van de website op hun meting van de voorspellingsfout over het hoofd zien. Ten tweede meet eerder werk enkel de centrale tendens van classificatieperformantie, ondanks zijn hoge variantie over verschillende websites. We kwantificeren het effect van zulke vooroordelen en concluderen dat ze de visie op de effectiviteit van de aanval scheeftrekken, waardoor het succes van de tegenstander in de praktijk wordt overschat.

Daarenboven hebben we het bedreigingsmodel onderzocht dat gebruikt wordt in eerdere studies. Hierbij hebben we verschillende varianten beschouwd om nieuwe bedreigingen te ontdekken die mogelijk gemaakt worden door website fingerprinting technieken. Ten eerste laten we zien hoe website fingerprinting gebruikt kan worden vanuit Tor middenknopen om kwetsbare doelwitten te vinden en de populariteit van Tor onion-diensten te meten. Ten tweede tonen we aan dat website fingerprinting doeltreffend is tegen DNS over HTTPS, een gestandaardiseerd protocol om DNS te versleutelen dat momenteel op grote schaal geadopteerd wordt door providers zoals Google en Cloudflare.

Wat het ontwikkelen van verdedigingsmechanismen betreft, hebben we de resultaten uit bovenstaande onderzoeken toegepast om een lichtgewicht verdedigingsmechanisme op netwerkniveau te ontwikkelen dat latency overhead in de communicatie elimineert. We hebben dit verdedigingsmechanisme gespecifieerd voor Tor en geëvalueerd in realistische scenario’s. Uit onze evaluatie blijkt dat het verdedigingsmechanisme voldoende effectief is in zulke scenario’s, de nauwkeurigheid van de aanval neemt af van 90% tot 20%. Deze studie heeft bijgedragen aan de implementatie van een veralgemening van dit verdedigingsmechanisme in Tor.

We ontwerpen twee nieuwe verdedigingsmechanismen op de applicatielaag: één als browser add-on, en een andere op de server. Deze laatste is de eerste tegenmaatregel tegen website fingerprinting die geïmplementeerd is op de server. We tonen aan dat deze verdedigingsmechanismen doeltreffend zijn – de aanval bereikt slechts 10% nauwkeurigheid in de aanwezigheid van ons server-side verdedigingsmechanisme. Bovendien bieden ze aanzienlijke voordelen tegenover netwerk-niveau verdedigingsmechanismen: ze zijn efficiënter en eenvoudiger te implementeren.

Ten slotte was een centraal onderdeel van ons werk het bestuderen van eigenschappen van netwerkverkeer die benut worden door de aanval. Meer specifiek hebben we deze netwerkverkeerseigenschappen gemapt op high-level website-eigenschappen die ons een betere intuïtie verschaffen over waarom de aanvallen effectief zijn. We hebben onze inzichten uitgewerkt als richtlijnen die websitebeheerders kunnen implementeren om hun sites te beschermen. Bovendien hebben we een meta-lerend classificatie-algoritme ontwikkeld, gebaseerd op website-eigenschappen, dat ons een gebruiksvriendelijke tool verschaft om de blootstelling van sites aan de aanval in te schatten. Freedom of the Press heeft onze richtlijnen geïmplementeerd op SecureDrop, hun klokkenluidersplatform.

Dit proefschrift heeft bijgedragen aan het definiëren van de bedreiging die website fingerprinting vormt voor de privacy van internetgebruikers. Ten eerste door de nauwkeurigheid van de huidige evaluatiemethoden te verbeteren, ten tweede door het aanvalsoppervlak te onderzoeken dat mogelijk gemaakt wordt door website fingerprinting en ten slotte door het ontwerpen en testen van tegenmaatregelen. Daardoor heeft ons onderzoek de implementatie gestart van verdedigingsmechanismen om internetgebruikers te beschermen tegen website fingerprinting in reële systemen zoals Tor, SecureDrop, Google, Cloudflare en Mozilla.