Hatena::ブログ(Diary)

winny.info別館 RSSフィード

winny.infoの更新してない日記です。

2003 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 11 |
2005 | 01 | 03 | 05 | 07 | 10 | 11 | 12 |
2006 | 03 | 04 | 06 | 10 | 12 |
2008 | 04 | 09 |
2009 | 10 |
2013 | 07 |

2006-03-05

トラフィック解析

最近、本当にファイル共有アプリケーションを利用した情報漏洩型ウイルスが酷いので、改めて分かりやすく書いておきますね。

Winnyは大規模なトラフィック解析には勝てません。

ネットエージェントさんなどがやっているように、あるファイルを誰が最初にWinnyで公開したかを追うことは、今では十分に実現可能です。キャッシュによる匿名効果は、あくまで「過去は分からない」というだけであり、多数の地点で継続的に記録を続けている強力な監視者がいるような場合には著しく効果が薄れます。所詮は、「目をつけられなければ勝ち」という程度だと思ってください。

また、おそらく内閣官房情報セキュリティセンター(NISC)も同様の調査を行っていることでしょう。おそらくはより大規模に。

ばれないだろうと思って軽い気持ちでウイルスを改変・配布するのは絶対に辞めてください。

補足

多数の地点からWinnyの検索ネットワークを定常的に観測し、統計的に処理することで、このような解析ができます。

  • ある時点で「あるファイル(ハッシュ値)」のキャッシュを持っているノードの数は、確率的に推測できる
  • それを保存し、時系列で並べることで、一次公開者を絞りこむことができる

地点を増やしていくことで絞り込みの確度を高めることができます。

電子投票等にも使われる匿名通信路の研究において、このようなトラフィック解析に関する議論は多くなされているわけですが、Winnyの提供する匿名性(情報公開者の特定性)はこのような位置づけというわけです。

追記 (2006-03-13)

そうそう、これを張るべきでしたね。

トラフィック解析を回避するための「運用策」が存在することも確かですが、ノードの細かい挙動に基づくトラフィック解析は相当に強力です、と念を押しておくに止めておきます。

たこしゃぶたこしゃぶ 2006/03/06 23:40 例の本では悪戯って、かるーく書いてましたけどねえ...
やってる人たちは必死っぽいですねえ
趣味の域を超えて。

hogehogehogehoge 2006/03/09 02:23 > それを保存し、時系列で並べることで、一次公開者を絞りこむことができる
そりゃそうでしょうけど、
1次公開者を特定してそれとして証明することは不可能じゃないんですかね?

重要ファイルを公開するホストAがあって、
ホストBがネットエージェントさんが感知する前に
重要ファイルをDLしてキャッシュ化する。
ホストAはその後にネットから切断すれば、
重要ファイル流失の嫌疑はホストBの管理者になる。

いくら、ネットエージェントさんが監視ホストを仕込んだとしても
一時流失先を一意のホストに決定することは不可能でしょう。
決定できない限り、罪には問えない(と思うんですけど・・・)ので、
軽い気持ちで悪意のある行動をとっても罪には問われません
・・・という結論になると思うのですが、違いますか?

unkkkkkkkkkounkkkkkkkkko 2006/03/09 05:41 その検知システムが各ファイルの情報をどれだけのタイムスケール、
どれだけの精度で取得することができるか、で変わりますね。
ウイルスを混入させたファイルを転送するのにかかる時間よりも短いタイムスケールで各個の情報が取得でき、
さらにWinnyネットワーク全体をほぼ見落としなく監視できるのであれば有力な情報になり得ると思います。
後者は監視地点を増やすことで解決できますが、前者はそうならないのが難しい所ですか。
これらが実現できなければ、hogehogeさんの指摘には反論できないかもしれませんね。

anonymousanonymous 2006/03/13 10:29 一次公開者を特定できるほど完璧に絞り込めなくてもいいのよ、捜査令状を取るに足るだけの十分な状況証拠さえあればね。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証


Access:

flowmap.jp