miércoles, septiembre 04, 2013

Bloqueo de conexiones autenticadas desde la red TOR

La red TOR fue creada para garantizar anonimato y privacidad en Internet. Algo, que visto lo que está sucediendo en los últimos tiempos parece que ya no es tan así. Estas características de privacidad y anonimato en la red pueden ser utilizados para evadir situaciones de censura en regímenes totalitarios que se conviertan en los enemigos de Internet, pero también por gente mala que los use para cometer sus fechorías o para delinquir a gusto. Las dos caras de la moneda para una misma red.

Para algunos servicios de Internet también se ha convertido en un problema, ya que desde la red TOR han recibido ataques de defacement o robo de datos por medio de cuentas de clientes comprometidas. Esto ha llevado a muchas organizaciones a pensar en dejar de dar servicio a las conexiones que vengan desde la citada red TOR.

Yo he ido a ver algunos bancos, y no parece que pongan muchas trabas a la hora de acceder a la web a través de un cliente TOR ya que he podido conectarme en 2 bancos distintos con mis credenciales sin ninguna alerta. Por supuesto ellos luego tienen muchos sistemas antifraude cuando se pretendan hacer los movimientos de capitales pero la verdad es que me hubiera gustado ver que bloquean el acceso desde la red TOR a poder ver información personal de mi cuenta. La siguiente fase sería hacer una transferencia y comprobar si permite hacer ese movimiento. 

Figura 1: Web del Bank of America visto desde la red TOR

Si una empresa tiene cuentas de clientes que puedan ser comprometidas, y quiere evitar las conexiones desde la red TOR como medida extra de protección para evitar esquemas de Fraude Online, puede hacerlo fácilmente. Solo necesita crear un validación contra la dirección IP de conexión para ver si procede de la red TOR. La información de las direcciones que conforman la red en cada instante es pública. Con el cliente de conexión es posible acceder a todas las direcciones IP de la red.

Figura 2: Vista de la red TOR desde el cliente TOR de Vidalia

Además, hay proyectos que proveen con listados en formatos CSV de todos los servidores de la red actualizados en cada momento, y que informan de si una dirección viene o no de la red TOR, como Tor Network Status.

Figura 3: Opciones de verificación de direcciones IP con TOR Network Status

Por supuesto, si pretendes crear un filtrado para tu web que evite que alguien se conecte a tu servicio desde una dirección IP de la red TOR, procura no enviar la dirección IP de los clientes que llegan a tu red a ningún servicio externo, ya que estarías haciendo un leak. Pero sí que puedes crear un servicio que descargue las listas cada cierto tiempo y comprobar en local si la dirección IP de conexión de una determinada cuenta viene de la red TOR. Tal vez te sirva para detectar identidades de tus clientes robas.

Saludos Malignos!

4 comentarios:

droope dijo...

Hola maligno,

Me extrania mucho de usted, un verdadero experto, sugiera un baneo por ip para prevenir accesos por tor.

No serviria mucho, pues el atacante puede pagar por un VPN a traves de tor, y luego atacar el banco TOR -> VPN -> banco.

Saludos anonimos,
Pedro

Maligno dijo...

@Pedro, en el mundo del fraude online TOR es uno de los médios que se miran, igual que las VPN o los servidores Proxy. En todos los casos se hacen comprobaciones de origen y se sube el scoring de fraude de una transacción.

En el caso de TOR es demasiado claro como para no tomarlo en serio. De hecho, he consultado a algunos amigos y en banca se mira si viene de TOR. En las webs de servicios normales también lo tendría en cuenta yo.... por seguridad de mis clientes.

Saludos!

Daniel Ferreira dijo...

Hola Chema, ya que pones una screenshot del Bank of America de EEUU, te comento que al menos su competidor, el Chase Bank (igual o más grande), sí hace estas validaciones, pero no solamente si te conectas a la red Tor.

Es decir, utilizan una técnica de fingerprint con tu localización de país (obtenida de la ip) + user-agent del navegador de tus entradas frecuentes; y si no coincide no te deja ver nada. Te envía un email o un SMS para que verifiques la conexión.

Creo que este sistema es más fiable que sólo restringir a la red Tor, porque por el mismo trabajo incluye bloqueos para estafadores que se conecten por VPN, Proxy o con conexión directa pero desde otro país.

Saludos!
Daniel

Anónimo dijo...

Buenas!

Has comentado listas CSV... ¿Has probado TorDNSEL o TorBEL?

Salu2 :D

Entradas populares