lunes, septiembre 02, 2013

¿Cómo ser anónimo en Internet? La red TOR bajo sospecha

Tras los últimos acontecimientos en la red TOR en los que se ha demostrado que un exploit para Mozilla Firefox estaba siendo utilizado para comprometer el anonimato del popular TOR Browser o tras la detención de nuestro amigo Hache por estar investigando en la red TOR todo el mundo se pregunta si realmente es posible ser anónimo en esa red o no.

Además, cuando se publicaron los documentos de la NSA relativos a X-Keyscore, había alguna cosa que llamaba especialmente la atención, y era que se utilizaba el uso de cifrado por un determinado usuario o conexión como un indicador de "nos interesa investigarlo", así que el anonimato de la red TOR parece un objetivo más que suculento a atacar.

Figura 1: Terrorista en la pregunta, cifrado en la respuesta

Entre las técnicas de investigar el anonimato de la red TOR, el uso de Nodos Rogue TOR que se conviertan en un man in the middle y el uso de exploits para los navegadores desde servidores en la red TOR controlados son los más evidentes por haber sido utilizados ya.  En este último caso, en el caso de los servidores controlados, no sólo habría que preocuparse de el uso de exploits, sino del uso de técnicas de WebBrowsing fingerprinting que hicieran huellas digitales de las conexiones o que infectaran la caché del navegador con cookies de seguimiento o las famosas e-Tag.

Figura 2: Nodos de la red TOR

Otra de las técnicas que recogía Hache a sugerencia de @trufae era la posibilidad de que hubiera DNS leaks en el sistema operativo a la hora de buscar los dominios .onion. La fuga de información se producidría si se busca el nombre de un dominio .onion antes por los servidores de Internet para luego pasar a al uso de cliente TOR. Esto no debería pasar, pero si la manera en que funciona el cliente TOR que se está utilizando no es la correcta, podría quedar un registro de las consultas .onion solicitadas para resolver desde una determinada conexión.

Sin embargo, la más peligrosa de estas técnicas por lo difícil que es defenderse de ella, es para mí es el estudio del tráfico de red de forma pasiva en la red TOR mediante la correlación de datos. Es decir, analizar el tráfico que se genera desde una determinada conexión TOR y ser capaz de, estudiándolo de forma pasiva, saber quién está detrás de una determinada conexión.

Figura 3: Paper que estudia los ataques pasivos de correlación en la red TOR

En estos ataques, recogidos en el paper "Analyzing the E ectiveness of Passive Correlation Attacks on the Tor Anonymity Network" el atacante se aprovecha de poder convertirse en un router de la red TOR e inspeccionar el tráfico, e intenta reconocer el origen de la red sin necesidad de ser el nodo inicial de la conexión. Es decir, sería un Rogue Router en la red TOR pero sin realizar ninguna acción que lo convierta en sospechoso y que le haga caer en alguno de los tests de seguridad, como el de detección de DNS Hijacking.

Figura 4: Detección de nodo rogue TOR con DNS-Hijacking

La pregunta, es... ¿realmente son efectivas estas técnicas? Pues parece que sí. Según el último paper que va a ser leído en un congreso en Noviembre, pero que uno de los autores ha publicado en su página web personal - titulado "Users Get Routed:Traffic Correlation on Tor by Realistic Adversaries" - la efectividad de estos análisis son bastante efectivas. Según los datos que publican, una conexión de la red TOR podría ser de-anonimizada en unos tres meses con un 50 % de probabilidades de éxito y en 6 meses con un 80%.

Figura 5: Efectividad de los ataques de correlación pasiva en la red TOR

Además, el trabajo habla de que el uso de la propuesta de sistemas de  Congestion Awareness en TOR incrementaría drásticamente esas probabilidades y que si el "adversario" controla varios nodos de la red TOR los porcentajes se incrementaría aún más en velocidad y probabilidades.

Figura 6: Puntos de interceptación de tráfico de X-Keyscore

Ahora, teniendo en cuenta de que tras las revelaciones de X-KeyScore se ha podido ver que la NSA estaba guardando durante un mes un alto porcentaje del tráfico de todo Internet, y que el tráfico de TOR es infinitamente inferior al tráfico de Internet global, ¿es posible que alguien esté capturando y analizando todo el tráfico de la red TOR para aplicar estos algoritmos de correlación?

Saludos Malignos!

6 comentarios:

Alexandro Sánchez Bach dijo...

Quizás exista alguna relación con esto:
http://arstechnica.com/security/2013/08/tor-usage-doubles-in-under-a-week-and-no-one-knows-why/

Anónimo dijo...

Tiene que haber una backdoor fijo, les habrán pagado bien a los autores para silenciarles. Mucha mierda la que se mueve por esa red, y me parece estupendo que se pueda revelar la verdadera identidad de sus usuarios.

Niño Orsino dijo...

"Todo sistema de seguridad es tan seguro como su punto más débil".

Excelente entrada !
Yo creo que tiene que haber una legislación gubernamental que promueva el uso de la tecnología "Do not track", pues el usuario tiene que tener la última palabra.

PD: Con esta entrada desconfió hasta del sistema operativo anónimo Whonix...

w_h_d dijo...

Hola,
¿alguna posible solución a los problemas de tracking que se comentan? Sé que es imposible evitar todos (empezando por el análisis pasivo de tráfico), pero me imagino que habrá alguno que sí sea posible evitar por parte del usuario.
Gracias por el blog, haces un gran trabajo :)

Un saludo!

Anónimo dijo...

Interesante post,

También se habla de una posible backdoor en el sistema de update del microcode de intel, intel no da mucha información al respecto y eso hace sospechar.

Aunque es una teoría difícil de verificar, están analizando los chequeos de integridad.


http://cryptome.org/2013/07/intel-bed-nsa.htm

--
@sha0coder

KRISHN dijo...

Como comentario adicional quiero decirles que no se les olvide que el proyecto TOR partió desde la misma defensa de los Estados Unidos, desde la misma Marina americana, por lo tanto QUE NO LES SORPRENDA QUE DESDE TOR SE ENVIEN DATOS A SERVIDORES SECRETOS DE LA NSA.
¡¡SALUDOSS!!

Entradas populares