El proyecto TOR, una de las redes más famosas de la Deep Web,
lleva tiempo siendo objetivo de los gobiernos que buscan conocer quién
es quién y dónde está cada servidor dentro de la esa red. El último que
se sumaba a la lista de interesados fue el gobierno de Rusia, dado la vuelta la noticia por todo el globo terráqueo.
Lo cierto es que desde hace tiempo que se conocen muchos ataques sobre
la red con el objetivo de acabar con el
anonimato, y que además se han
puesto en práctica.
En la larga lista de ataques se encuentran los más evidentes, con la inserción de nodos de entrada y/o salida maliciosos que pudieran hacer de man in the middle entre el cliente y el nodo rogue de TOR o entre el nodo rogue de TOR y el servidor de salida, como lo que intentamos nosotros para hacer nuestra JavaScript Botnet.
Otro de los ataques conocidos es el de aprovecharse de alguna vulnerabilidad en el software cliente de conexión, como vimos con Tor Browser
que fue utilizado por el FBI para descubrir a muchos de los usuarios de
la red y hacer una macro operación en la red. Para evitar estos ataques
la recomendación es conectarse a la red TOR con tu propio nodo y sin tener siquiera una conexión IP a Internet, como describe ese artículo.
Al final, hasta el software más especializado en
anonimato puede tener
bugs que dejen al descubierto tu punto de conexión a la red, como hemos
visto recientemente con TAILS, el sistema operativo basado en Linux para conectarse a TOR que ya era objetivo de investigación por parte de la NSA y que ha tenido que actualizarse este 22 de Julio para solucionar un serio bug.
Entre la lista de ataques a TOR, uno que a mí me llamó mucha la atención fue el publicado en el paper de "Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries"
donde los autores explican que si tienes un buen número de nodos rogue
en TOR y eres capaz de inyectar una señal en cada paquete que envíes
para medir tiempos y tipos de paquetes que puedas ir anotando cuándo
vuelves a ver esa señal en otro nodo, podrías ser capaz de saber qué
paquetes han pasado por los mismos nodos.
 |
| Figura 1: Ataque de correlación de tráfico para de-anonimizar conexiones |
Es decir, al final, con tráfico capturado durante varios meses haciendo
análisis estadístico de los datos obtenidos en la medición de las
señales podrías ser capaz de conocer cuáles son las rutas que se siguen,
cuáles son los servidores y dónde se encuentran con una probabilidad
del 80 % a los 6 meses de capturar tráfico.
Lo curioso es que desde el blog de TOR
se habla ahora que durante 6 meses de este año 2014, es decir, desde el
30 de Enero al 4 de Julio, se ha detectado la presencia de un alto
número de nodos que estaban inyectando
"signals" en las cabeceras
para medir tráfico y capturar rutas, lo que deja, según confirman en su
artículo, todo el
anonimato roto durante este periodo de tiempo.
 |
| Figura 2: Confirmación del ataque en el blog oficial de TOR |
Ahora la recomendación es actualizar el software de nodos y clientes
para solucionar las debilidades que aprovechan estas técnicas de cálculo
de rutas, pero claro, esto será solo para el futuro y suponiendo que
dentro de 6 meses no se diga que se inyectado un bug que ha sido
explotado durante este periodo de tiempo.
Tened presentes que una de las leyes de la criptografía
es que con el tiempo todo sistema de seguridad acabará siendo posible
romperlo, así que muchas organizaciones están trabajando en sistemas de
archiving de tráfico de red. Es decir, graba todo el tráfico que puedas
de la red TOR hoy y ya lo analizaremos cuando lo descifremos mañana.
Avisado quedas.
Fuente: El Lado del Mal
