Además, cuando se publicaron los
documentos de la NSA relativos a X-Keyscore,
había alguna cosa que llamaba especialmente la atención, y era que se
utilizaba el uso de cifrado por un determinado usuario o conexión como
un indicador de
"nos interesa investigarlo", así que el anonimato de la red
TOR parece un objetivo más que suculento a atacar.
 |
| Figura 1: Terrorista en la pregunta, cifrado en la respuesta |
 |
| Figura 2: Nodos de la red TOR |
Otra de las técnicas que
recogía Hache a sugerencia de @trufae era la posibilidad de que hubiera
DNS leaks en el sistema operativo a la hora de buscar los dominios
.onion. La fuga de información se producidría si se busca el nombre de un dominio
.onion antes por los servidores de
Internet para luego pasar a al uso de cliente
TOR. Esto no debería pasar, pero si la manera en que funciona el cliente
TOR que se está utilizando no es la correcta, podría quedar un registro de las consultas
.onion solicitadas para resolver desde una determinada conexión.
Sin embargo, la más peligrosa de estas técnicas por lo difícil que es
defenderse de ella, es para mí es el estudio del tráfico de red de forma
pasiva en la red TOR mediante la correlación de datos. Es decir, analizar el tráfico que se genera desde una determinada conexión TOR y ser capaz de, estudiándolo de forma pasiva, saber quién está detrás de una determinada conexión.
 |
| Figura 3: Paper que estudia los ataques pasivos de correlación en la red TOR |
En estos ataques, recogidos en el paper "
Analyzing the E ectiveness of Passive Correlation Attacks
on the Tor Anonymity Network" el atacante se aprovecha de poder convertirse en un
router de la red
TOR
e inspeccionar el tráfico, e intenta reconocer el origen de la red sin
necesidad de ser el nodo inicial de la conexión. Es decir, sería un
Rogue Router en la red
TOR
pero sin realizar ninguna acción que lo convierta en sospechoso y que
le haga caer en alguno de los tests de seguridad, como el de
detección de DNS Hijacking.
 |
| Figura 4: Detección de nodo rogue TOR con DNS-Hijacking |
La pregunta, es... ¿realmente son efectivas estas técnicas? Pues parece
que sí. Según el último paper que va a ser leído en un congreso en
Noviembre, pero que uno de los autores ha publicado en su página web
personal - titulado "
Users Get Routed:Traffic Correlation on Tor by Realistic Adversaries" - la efectividad de estos análisis son bastante efectivas. Según los datos que publican,
una
conexión de la red TOR podría ser de-anonimizada en unos tres meses con
un 50 % de probabilidades de éxito y en 6 meses con un 80%.
 |
| Figura 5: Efectividad de los ataques de correlación pasiva en la red TOR |
Además, el trabajo habla de que el uso de la propuesta de sistemas de Congestion Awareness en TOR incrementaría drásticamente esas probabilidades y que si el "adversario" controla varios nodos de la red TOR los porcentajes se incrementaría aún más en velocidad y probabilidades.
 |
| Figura 6: Puntos de interceptación de tráfico de X-Keyscore |
Ahora, teniendo en cuenta de que tras las revelaciones de
X-KeyScore se ha podido ver que la
NSA estaba guardando durante un mes un alto porcentaje del tráfico de todo
Internet, y que el tráfico de
TOR es infinitamente inferior al tráfico de
Internet global,
¿es posible que alguien esté capturando y analizando todo el tráfico de la red TOR para aplicar estos algoritmos de correlación?
http://www.elladodelmal.com
Chema Alonso
