domingo, 3 de agosto de 2014

TOR confirma que el anonimato en la Deep Web fue roto

TOR, una de las redes más famosas de la Deep Web, lleva tiempo siendo objetivo de los gobiernos que buscan conocer quién es quién  y dónde está cada servidor dentro de la esa red. El último que se sumaba a la lista de interesados fue el gobierno de Rusia, dado la vuelta la noticia por todo el globo terráqueo. Lo cierto es que desde hace tiempo que se conocen muchos ataques sobre la red con el objetivo de acabar con el anonimato, y que además se han puesto en práctica.

En la larga lista de ataques se encuentran los más evidentes, con la inserción de nodos de entrada y/o salida maliciosos que pudieran hacer de man in the middle entre el cliente y el nodo rogue de TOR o entre el nodo rogue de TOR y el servidor de salida, como lo que intentamos nosotros para hacer nuestra JavaScript Botnet.



Figura 1: Estructura de nodos y conexiones en la red TOR



Otro de los ataques conocidos es el de aprovecharse de alguna vulnerabilidad en el software cliente de conexión, como vimos con Tor Browser que fue utilizado por el FBI para descubrir a muchos de los usuarios de la red y hacer una macro operación en la red. Para evitar estos ataques la recomendación es conectarse a la red TOR con tu propio nodo y sin tener siquiera una conexión IP a Internet, como describe ese artículo.
 Al final, hasta el software más especializado en anonimato puede tener bugs que dejen al descubierto tu punto de conexión a la red, como hemos visto recientemente con TAILS, el sistema operativo basado en Linux para conectarse a TOR que ya era objetivo de investigación por parte de la NSA y que ha tenido que actualizarse este 22 de Julio para solucionar un serio bug.


Entre la lista de ataques a TOR, uno que a mí me llamó mucha la atención fue el publicado en el paper de "Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries" donde los autores explican que si tienes un buen número de nodos rogue en TOR y eres capaz de inyectar una señal en cada paquete que envíes para medir tiempos y tipos de paquetes que puedas ir anotando cuándo vuelves a ver esa señal en otro nodo, podrías ser capaz de saber qué paquetes han pasado por los mismos nodos.



Figura 2: Ataque de correlación de tráfico para de-anonimizar conexiones



Es decir, al final, con tráfico capturado durante varios meses haciendo análisis estadístico de los datos obtenidos en la medición de las señales podrías ser capaz de conocer cuáles son las rutas que se siguen, cuáles son los servidores y dónde se encuentran con una probabilidad del 80 % a los 6 meses de capturar tráfico.

Lo curioso es que desde el blog de TOR se habla ahora que durante 6 meses de este año 2014, es decir, desde el 30 de Enero al 4 de Julio, se ha detectado la presencia de un alto número de nodos que estaban inyectando "signals" en las cabeceras para medir tráfico y capturar rutas, lo que deja, según confirman en su artículo, todo el anonimato roto durante este periodo de tiempo.




Figura 3: Confirmación del ataque en el blog oficial de TOR

Ahora la recomendación es actualizar el software de nodos y clientes para solucionar las debilidades que aprovechan estas técnicas de cálculo de rutas, pero claro, esto será solo para el futuro y suponiendo que dentro de 6 meses no se diga que se inyectado un bug que ha sido explotado durante este periodo de tiempo.

Tened presentes que una de las leyes de la criptografía es que con el tiempo todo sistema de seguridad acabará siendo posible romperlo, así que muchas organizaciones están trabajando en sistemas de archiving de tráfico de red. Es decir, graba todo el tráfico que puedas de la red TOR hoy y ya lo analizaremos cuando lo descifremos mañana. Avisado quedas.

Fuente: http://www.identi.li/index.php?topic=329166

No hay comentarios:

Publicar un comentario