miércoles, noviembre 12, 2014

¿Cómo se puede romper el anonimato en TOR?

Dentro del concepto de Deep Web, que representa todas esas partes de Internet alejadas del mainstream, existe muchas redes. Algunas de ellas como CJDNS y su Hypberboria que necesitan contar con la confianza de sus miembros para dejarte entrar, otras directamente la propia web pero usando accesos escondidos en conexiones que se abren con port knocking, por puertos privados o que necesitan de credenciales especiales y otras tan populares hoy en día como la red TOR.

Figura 1: ¿Cómo se puede romper el anonimato en la red TOR?

Esta última, la red que utiliza The Onion Routing, se construye bajo las premisas de dar anonimato y privacidad tanto a clientes como servidores, y por ello ha sido lugar habitual de activistas políticos, hackers en busca de intimidad en sus acciones y, también cibercriminales con el más variopinto conjunto de negocios, que pueden ir desde la venta de identidad, drogas, asesinos a sueldos o cosas aún peores.

Por supuesto, los cuerpos de seguridad, las agencias de inteligencia y muchos gobiernos, han querido romper en la red TOR ese anonimato y privacidad, por lo que se han visto muchísimos ataques distintos. Desde el uso de exploits en el software cliente de conexión, al conocimiento de los usuarios de la red mucho antes de que lo fueran, pasando por la colocación de nodos falsos de salida, como el que vimos hace poco que infectaba los ficheros binarios que se descargaban.

Figura 2: Esquema de funcionamiento de The Onion Routing

El propio proyecto TOR reconoció que todo el tráfico que había circulado por la red durante los seis primeros meses del año había estado en riesgo, y por tanto, el anonimato estuvo comprometido en la red TOR tanto para clientes como para servidores. Las técnicas que se usaron para romper el anonimato fueron las de la correlación pasiva de tráfico de red, técnicas que habían sido explicadas tiempo atrás en un trabajo en inglés.

Ahora, el trabajo que analizaba dichos ataques ha sido traducido al español por Juan Eljach y Gustavo Rendón, para que sea más fácil de leer por los menos duchos en la lengua inglesa. He subido una copia en formato PDF a mi cuenta de SlideShare, y la tenéis disponible aquí para su lectura.


La red TOR no para de crecer. Los bancos no están cortando las conexiones a sus sistemas de e-banking, y la propia Facebook - antítesis del anonimato en favor de la socialización de la red - ha abierto ya un nodo directamente en la red TOR. Dentro de poco ya TOR va a ser mainstream, así que más te vale conocer todo lo que puedas de ella, así que después de este documento, debes leer: "Users Get Routed:Traffic Correlation on Tor by Realistic Adversaries".

Saludos Malignos!

6 comentarios:

  1. Una forma de "desanonimizar" el tráfico de tor es aprovechar el desfase horario del reloj de sistema. Si un ordenador no se sincroniza periódicamente con un servidor NTP, su reloj tendrá un cierto desfase respecto a la hora real, que será único para ese ordenador y que por tanto le identificará por mucho cifrado y tor que se ponga en medio.

    Evidentemente requiere una vulnerabilidad previa (no tener el reloj en hora), pero seguro que hay un gran porcentaje de ordenadores que cumplen los requisitos.

    ResponderEliminar
    Respuestas
    1. Para disminuir esa posibilidad es bueno "Eliminar la Sincronización Automática de Hora y Fecha" en la configuacion del sistema y usar TOR complementado con PROXIES (Privoxy, POLIPO, etc...) y Clientes VPN (Como OpenVPN). Además existe una alternativa a TOR Browser llamada I2P, que es casi tan efectiva como la red TOR...

      Eliminar
  2. ¿Serías tan amable de dejar el documento traducido en PDF? sinceramente, no entiendo el motivo de publicarlo únicamente en slideshare.

    Muchas Gracias.

    PD: Es la pereza de tener que leerlo en inglés ;-)

    ResponderEliminar
  3. @Jesus, si hay mucho desfase horario la propia red no te dejha conectarte, eso si, si "solo son unas horas" si que funcionaria lo que comentas.

    ResponderEliminar
  4. @crow, normalmente el desfase es de apenas unos segundos, o minutos como mucho. Pero la gracia es que ese desfase es único para cada ordenador, y por tanto identifica unívocamente a un ordenador, por mucho cifrado que use.

    Pongamos que alguien se conecta con Tor y toda la parafernalia, y tiene un desfase de 3,45654 segundos respecto a la hora oficial. Si al día siguiente, desde el mismo ordenador, se conecta a Facebook o a cualquier web no segura que tengamos "monitorizada", veremos que tiene el mismo desfase, y como la web no es segura lo identificaremos. A partir de aquí, cualquier acceso por Tor y compañía dejará de ser anónimo.

    ResponderEliminar
  5. Buenos días, ¿podrías dejar el documento para su descarga directa sin necesidad estar registrado en linkedin u otra red social?

    Saludos!

    ResponderEliminar