Cały świat możesz szpiegować za pomocą swojego laptopa – taką tezę obroniło pięciu specjalistów z Francuskiego Instytutu Informatyki, którzy przez 103 dni monitorowali większość użytkowników BitTorrenta w Sieci – 148 mln adresów IP. W tym czasie, jak informują, zidentyfikowali adresy IP większości dostawców treści (osób wstawiających torrenty). Udało im się też zrekonstruować historię transferu plików większości użytkowników, którzy w okresie, gdy prowadzony był nadzór, wymienili się ponad dwoma miliardami plików.

Nie pomogła nawet anonimizacja zapewniana przez system trasowania cebulowego – badacze uzyskali adresy IP ponad 70% użytkowników BitTorrenta, łączących się z trackerami przez Tora. Możliwe było też połączenie zidentyfikowanego adresu IP z adresami IP używanymi przez inne aplikacje danego użytkownika w cebulowym systemie trasowania.

Jak to możliwe, że BitTorrent okazał się takim zagrożeniem dla prywatności użytkowników? Problem tkwi w samej konstrukcji protokołu – np. praktycznie każdy tracker BitTorrenta daje dostęp do żądań scrape-all, pozwalających na zwrócenie identyfikatorów wszystkich śledzonych przez niego torrentów, liczby użytkowników je rozsiewających, czy liczby użytkowników, którzy pobrali pełny plik. Wykorzystując scrape-all, napastnik może poznać całą listę rozprowadzanych przez trackera plików. Potem wystarczy exploitować kolejną funkcję trackera – announce started/stopped, aby poznać adresy IP osób zaangażowanych w wymianę plików.

Sytuacja taka jest problemem nie tylko dla piratów – BitTorrent znajduje coraz więcej zastosowań w czysto legalnych mechanizmach dystrybucji treści. Luki w jego systemie prywatności mogą sprawić, że „z przyczyn prawnych nie będzie możliwe takie jego wykorzystanie” – twierdzą francuscy specjaliści.

Więcej na ten temat można przeczytać w udostępnionych artykułach Francuzów (w języku angielskim). Pliki PDF, PS i TEX dostępne są na stronie www-sop.inria.fr/members/Arnaud.Legout/Projects/bluebear.html.

Źródło: www-sop.inria.fr