RAPTOR - El anonimato en la red TOR (Deep Web) comprometido desde los Sistemas Autónomos
Las dos características principales que dan soporte a la red TOR (The Onion Routing) son el cifrado de los datos entre los nodos de la red (para garantizar la privacidad) y el anonimato de las comunicaciones, haciendo que el cliente no sepa en qué dirección IP se encuentra realmente el servidor y que el servidor no sepa en qué dirección IP se encuentra el cliente. Esta red es una de las que dan soporte principal a la Deep Web y por eso ha estado bajo ataque desde su concepción. Para romper este anonimato se han visto muchos técnicas en el pasado - algunas haciendo reconocer al proyecto que había sido roto el anonimato por completo - , como comprometer los nodos de entrada y/o salida de la red, o realizar ataques de correlación estadística de tráfico para poder localizar qué dirección IP se encuentra en cada una de las direcciones de la red TOR. Ahora, investigadores han publicado Raptor, un paper que explica cómo romper el anonimato de la red TOR controlando un Sistema Autónomo completo.
Para atacar el anonimato de la red TOR, los investigadores se plantean un escenario en el que el atacante controle un Sistema Autónomo, lo que le da una posición relevante sobre el tráfico de la red. Al final, cada sistema autónomo es eso, una red de gran tamaño que se comporta de forma autónoma en cuanto a su enrutamiento interno, y controla el encaminamiento de tráfico hacia y desde otros sistemas autónomos por medio de protocolos de enrutamiento de frontera llamados BGP (Border Gateway Protocols).
Figura 2: Descripción del paper de RAPTOR |
Teniendo esta posición, los investigadores se basan en cuatro escenarios en los que un atacante que controle el tráfico y enrutamiento de un sistema autónomo puede romper el anonimato y conocer entre qué dos pares se está produciendo la comunicación. En el primer de los casos, aprovechándose de la escala y teniendo acceso al tráfico de datos que se envía desde el cliente TOR al nodo de entrada y desde el nodo de salida al servidor publicado en la red TOR. En todo momento se trata de ver las direcciones IP de las conexiones y no el contenido de la conexión.
Figura 3: Escenario de ataque 1- Se ve el tráfico de entrada y salida de los nodos |
En un segundo escenario, los investigadores fueron capaces de romper el anonimato de la conexión si eran capaces de acceder al tráfico de entrada del cliente y a las respuestas TCP ACK enviadas desde el servidor web. Hay que tener en cuenta que las rutas en TOR son cambiantes en cada caso.
Figura 4: Escenario 2 - Se ve el tráfico de la conexión de entrada y las repuestas TCP ACK |
De igual forma, en un tercer escenario, desde el sistema autónomo, accediendo al tráfico de que va del nodo de salida TOR al servidor publicado y a las respuestas TCP ACK que van hacia el cliente TOR, también fueron capaces de romper el anonimato.
Figura 5: Escenario 3 - Se accede a los datos de la conexión de salida y las respuestas TCP ACK al cliente |
El último escenario se basa solo en tráfico TCP ACK, permitiendo que se pueda acceder a las direcciones IP tanto del servidor como del cliente solo correlando los mensajes de acknowledge de la comunicación TCP.
Figura 6: Escenario 4 - se accede solo al tráfico de las respuestas TCP ACK |
Para hacer este experimento utilizaron un sistema autónomo con 50 clientes TOR y 50 servidores web que publicaban un fichero de 100 MB. Correlando el tráfico, obtuvieron según sus datos, un porcentaje de éxito que osciló entre el 94% y el 96 %. Tal y como describen en el paper, un atacante controlando un sistema autónomo de gran tamaño podría llegar a romper el anonimato de más del 90% de las conexiones, dejando TOR bastante tocado.
Saludos Malignos!
6 comentarios:
Entiendo que ese supuesto se desarrolla en un entorno de un (1) sistema autónomo controlado por un atacante en el que residen tanto el servidor como el cliente.
Creo que eso sería dificilmente extrapolable a un entorno de mas de 50000 sistemas autonomos http://bgp.he.net/report/netstats , en el que además el servidor y el cliente no tienen porque estar en el mismo sistema autónomo.
Creo que este tipo de ataque solo le sirve a la NSA, dado que tienes que tener dos nodos TOR en el sistema autonomo, por lo que entramos en un juego de probabilidades,en el cual para incrementarlas tendrías que manejar muchos nodos TOR, pero una empresa común que ni siquiera sabe que es TOR (pensemos en la conferencia de Lorenzo sobre las memorias de un perito forense) seguramente jamás sabrá quien lo atacó
¿Qué opinas de la tesis de Yasha Levine sobre TOR?
http://www.lamarea.com/2014/12/27/yasha-levine-en-2013-tor-recibio-el-90-de-su-financiacion-del-gobierno-estadounidense/
(Resumiendo: en realidad su fin primario sería anonimizar las comunicaciones de los espías estadounidenses, para lo cual es conveniente que lo use más gente aparte de esos espías.)
Muy buen post, muy interesante! un detalle, creo que BGP es un protocolo, no protocolos. Saludos!
"Tal y como describen en el paper, un atacante controlando un sistema autónomo de gran tamaño podría llegar a romper el anonimato de más del 90% de las conexiones, dejando TOR bastante tocado." ¿Unas supercomputadoras como las que [supuestamente] tienen en la N-S-A funcionarían para ese proposito?... Si es así, y las condiciones [cuasi conspiparanoicas] se cumplen, entonces la red TOR ya se encuentra comprometida hace tiempo.
Publicar un comentario