jueves, julio 31, 2014

TOR confirma que el anonimato en la Deep Web fue roto

El proyecto TOR, una de las redes más famosas de la Deep Web, lleva tiempo siendo objetivo de los gobiernos que buscan conocer quién es quién  y dónde está cada servidor dentro de la esa red. El último que se sumaba a la lista de interesados fue el gobierno de Rusia, dado la vuelta la noticia por todo el globo terráqueo. Lo cierto es que desde hace tiempo que se conocen muchos ataques sobre la red con el objetivo de acabar con el anonimato, y que además se han puesto en práctica.

En la larga lista de ataques se encuentran los más evidentes, con la inserción de nodos de entrada y/o salida maliciosos que pudieran hacer de man in the middle entre el cliente y el nodo rogue de TOR o entre el nodo rogue de TOR y el servidor de salida, como lo que intentamos nosotros para hacer nuestra JavaScript Botnet.

Figura 1: Estructura de nodos y conexiones en la red TOR

Otro de los ataques conocidos es el de aprovecharse de alguna vulnerabilidad en el software cliente de conexión, como vimos con Tor Browser que fue utilizado por el FBI para descubrir a muchos de los usuarios de la red y hacer una macro operación en la red. Para evitar estos ataques la recomendación es conectarse a la red TOR con tu propio nodo y sin tener siquiera una conexión IP a Internet, como describe ese artículo.

Al final, hasta el software más especializado en anonimato puede tener bugs que dejen al descubierto tu punto de conexión a la red, como hemos visto recientemente con TAILS, el sistema operativo basado en Linux para conectarse a TOR que ya era objetivo de investigación por parte de la NSA y que ha tenido que actualizarse este 22 de Julio para solucionar un serio bug.

Entre la lista de ataques a TOR, uno que a mí me llamó mucha la atención fue el publicado en el paper de "Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries" donde los autores explican que si tienes un buen número de nodos rogue en TOR y eres capaz de inyectar una señal en cada paquete que envíes para medir tiempos y tipos de paquetes que puedas ir anotando cuándo vuelves a ver esa señal en otro nodo, podrías ser capaz de saber qué paquetes han pasado por los mismos nodos. 

Figura 2: Ataque de correlación de tráfico para de-anonimizar conexiones

Es decir, al final, con tráfico capturado durante varios meses haciendo análisis estadístico de los datos obtenidos en la medición de las señales podrías ser capaz de conocer cuáles son las rutas que se siguen, cuáles son los servidores y dónde se encuentran con una probabilidad del 80 % a los 6 meses de capturar tráfico.

Lo curioso es que desde el blog de TOR se habla ahora que durante 6 meses de este año 2014, es decir, desde el 30 de Enero al 4 de Julio, se ha detectado la presencia de un alto número de nodos que estaban inyectando "signals" en las cabeceras para medir tráfico y capturar rutas, lo que deja, según confirman en su artículo, todo el anonimato roto durante este periodo de tiempo.

Ahora la recomendación es actualizar el software de nodos y clientes para solucionar las debilidades que aprovechan estas técnicas de cálculo de rutas, pero claro, esto será solo para el futuro y suponiendo que dentro de 6 meses no se diga que se inyectado un bug que ha sido explotado durante este periodo de tiempo.

Tened presentes que una de las leyes de la criptografía es que con el tiempo todo sistema de seguridad acabará siendo posible romperlo, así que muchas organizaciones están trabajando en sistemas de archiving de tráfico de red. Es decir, graba todo el tráfico que puedas de la red TOR hoy y ya lo analizaremos cuando lo descifremos mañana. Avisado quedas.

Saludos Malignos!

5 comentarios:

@Barney dijo...

Muy interesante esta entrada y excelente blog. ¿Y crees, entonces, que el trabajo de estas organizaciones se verá recompensado en un futuro? Es decir, está claro que llegará el día en que un algoritmo de cifrado que ahora se considera fuerte, será vulnerado/roto pero cuando llegue el momento, quizás, la información que tengan ya estará muy desactualizada,¿no?

Anónimo dijo...

Para mi hay alguien tras el escenario diciendo "Mira todo ese tráfico, toda esa gente cree que está anónima en la red cuando en realidad están usando el resultado de un proyecto que nace de nuestro financiamiento"

Saludos

Jonathan Novel dijo...

Si sirve para pillar a la manada de descelebrados que andan por la red, como pedofilos, terroristas, asesinos, etc... me parece bien, pero si se generaliza ya no me parece también, pero que va a ser de Anonymous? XD...ahora enserio, es una pasada, no se va a poder pegar uno ni un peo delante del PC sin que se entere esta gente, pero no me estaraña que quieran saber quien cuando y como, hay gente con muy malas intenciones y si es para eso, repito, me parece bien.

Saludos!

Favila dijo...

Aparte de esto, ¿no era ya de por si sospechoso que Tor fuese un proyecto financiado por el Ejército estadounidense? Dejo dos enlaces que lo documentan:
http://pando.com/2014/07/16/tor-spooks/
http://pando.com/2014/07/22/hall-of-mirrors-wikileaks-volunteer-helped-build-tor-was-funded-by-the-pentagon/

Me interesaría mucho conocer tu opinión sobre este hecho.

Voreno dijo...

Vamos a ocultar nuestra IP mientras usamos hardware fabricado por aquellos de quienes queremos protegernos aunque puedan tener puertas traseras físicas que son invisibles a nivel software.

Entradas populares