Zona de Descargas

Contáctenos

Facebook

Twitter

ARTICULOS

  • La seguridad de TOR comprometida

 

El 4 de julio de 2014, se identifico un grupo de relays que, se asumio ,intentaban quitar el anonimato de los usuarios. Estos relays parecen haber tomado como objetivo a las personas que operan o acceden a los servicios ocultos de Tor. El ataque implicó la modificación de encabezados del protocolo Tor para realizar ataques de confirmación de tráfico.

 

Los relays atacantes se unieron a la red el 30 de enero de 2014, y los retiramos de la red el 4 de julio. Aunque no sabemos cuándo empezaron a atacar, los usuarios que operaban o accedían a los servicios ocultos, desde principios de febrero hasta el 4 de julio, deben asumir que se vieron afectados.

 

Por desgracia, aún no está claro lo que incluye la palabra “afectar”. Sabemos que el ataque estaba orientado a usuarios que buscaban descriptores de servicios ocultos, pero los atacantes probablemente no pudieron ver el tráfico a nivel de aplicación (por ejemplo, qué páginas se cargaban o incluso si los usuarios visitaron el servicio oculto que buscaban). Probablemente, el ataque también implicó tratar de conocer quién publicó los descriptores de servicios ocultos, lo que permitiría a los atacantes conocer la ubicación de ese servicio oculto. En teoría, el ataque también se podría utilizar para vincular a los usuarios con sus destinos también en los circuitos normales de Tor, pero no encontramos ninguna evidencia de que los atacantes operaran todos los relays de salida, haciendo que este ataque sea menos probable. Por último, no sabemos la cantidad de datos que los atacantes guardaban, y debido a la forma en que se realizó el ataque (más detalles abajo), sus modificaciones al encabezado de protocolo también podrían haber ayudado a otros atacantes a quitar el anonimato de los usuarios.

 

Los relays deben actualizarse a una versión reciente de Tor (0.2.4.23 o 0.2.5.6-alpha), para cerrar la vulnerabilidad de protocolo particular que los atacantes utilizaron, pero recuerde que la prevención de la confirmación del tráfico en general sigue siendo un problema de investigación abierta. Los clientes que realizan la actualización (una vez que las nuevas versiones del navegador Tor están listas) darán otro paso hacia la limitación del número de guardias de entrada que se encuentran en posición para ver sus tráficos, que reduce el daño de los ataques futuros como éste. Los operadores de servicios ocultos deben considerar cambiar la ubicación de su servicio oculto.

 

DETALLES TÉCNICOS:

Creemos que utilizaron una combinación de dos tipos de ataques: ataque de confirmación de tráfico y un ataque Sybil.

 

Un ataque de la confirmación del tráfico es posible cuando el atacante controla u observa los relays en ambos extremos de un circuito Tor y luego compara el tiempo, volumen de tráfico u otras características para llegar a la conclusión de que los dos relays están en el mismo circuito. Si el primer relays en el circuito (llamado “guardia de entrada”) conoce la dirección IP del usuario, y el último relays en el circuito conoce el recurso o el destino al que está accediendo, juntos pueden quitar su anonimato. Puede leer más acerca de los ataques de confirmación de tráfico, incluidas las referencias de muchos trabajos de investigación, en esta entrada del blog: https://blog.torproject.org/blog/one-cell-enough

 

 

 

Existen dos puntos importantes acerca de este ataque:

 

A) El atacante codificó el nombre del servicio oculto en la señal inyectada (a diferencia de, por ejemplo, el envío de un número aleatorio y el mantenimiento de un número aleatorio de mapeo de lista local a nombre de servicio oculto). La señal codificada se encripta cuando se envía a través del canal TLS entre relays. Sin embargo, esta señal sería fácil de leer e interpretar por cualquier persona que dirige un relays y recibe el tráfico codificado. Además, podríamos preocuparnos por un adversario global (por ejemplo, una agencia de inteligencia grande) que registra el tráfico de la Internet en los guardias de entrada y luego trata de romper el cifrado de enlace de Tor. La forma en que este ataque se realizó debilita el anonimato de Tor contra estos otros posibles atacantes, ya sea mientras estaba sucediendo o después del hecho si tienen registros de tráfico. Así, si el ataque fue un proyecto de investigación (es decir, no intencionalmente malicioso), se utilizó de manera irresponsable, ya que pone en riesgo a los usuarios de forma indefinida en el futuro.

 

 

B) Este ataque de inyección de señal de encabezado del protocolo es, en realidad, bastante limpio desde una perspectiva de investigación, en la que es un poco diferente de los ataques de etiquetado anteriores, que tienen como objetivo la carga útil a nivel de aplicación.

 

La segunda clase de ataque que utilizaron, conjuntamente con su ataque de confirmación de tráfico, fue un ataque Sybil estándar — se registraron alrededor de 115 relays rápidos sin salida, todos se ejecutan en 50.7.0.0/16 ó 204.45.0.0/16. En conjunto, estos relays suman aproximadamente 6,4 % de la capacidad de la Guardia en la red. Así, en parte debido a nuestros actuales parámetros de rotación de guardia, estos relays se convirtieron en guardias de entrada para una parte significativa de los usuarios en sus cinco meses de operación.

 

En realidad, nos dimos cuenta de estos relays cuando se unieron a la red, ya que el scanner DocTor los reportó. Consideramos el conjunto de los nuevos relays en el momento, y decidimos que no eran una gran fracción de la red.

 

En respuesta, tomamos las siguientes acciones a corto plazo:

 

1)     Eliminar los relays que atacaban desde la red.

2)     Poner una actualización de software para los relays para evitar que las celdas de “relays temprana” sean utilizadas de esta manera.

3)     Poner una actualización de software que (una vez que se hayan actualizado suficientes clientes) nos permita decirle a los clientes que utilicen un guardia de entrada en lugar de tres, para reducir la exposición a los relays a través del tiempo.

4)     Los clientes pueden saber si han recibido un relays o una celda de relays. Para los usuarios expertos, la nueva versión de Tor les advierte en sus registros si un relays en su ruta inyecta cualquier celda de relays temprana: Buscar la frase “Se ha recibido una celda entrante RELAY_EARLY”.

 

Continúan las siguientes áreas de investigación a largo plazo:

 

5)     Desarrollar el crecimiento de la red Tor y la diversidad de operadores de relays, que reducirá el impacto de un adversario de un tamaño determinado.

6)     El estudio de mejores mecanismos, por ejemplo, conexiones sociales, para limitar el impacto de un conjunto malicioso de relays. También hemos formado un grupo a prestar más atención a los relays sospechosas en la red:

https://blog.torproject.org/blog/how-report-bad-relays

7)     Desarrollar el reducir la exposición a los guardias con el tiempo, tal vez mediante la ampliación de la vida útil de la rotación de guardia:

https://blog.torproject.org/blog/lifecycle-of-a-new-relay
https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard...

8)     Una mejor comprensión de atentados de correlación de tráfico estadísticos y si el padding u otros enfoques pueden mitigarlos.

9)     Mejorar el diseño de servicio oculto, inclusive hacer que sea más difícil para los relays que sirven como puntos ocultos de directorio de servicios conocer la dirección del servicio oculto que están manejando:

https://blog.torproject.org/blog/hidden-services-need-some-love

 

PREGUNTAS ABIERTAS:

P1) ¿Encontramos todos los relays maliciosos?

P2) ¿Los relays maliciosos inyectan la señal en cualquier punto?

P3) ¿Qué datos mantienen los atacantes, y cuáles van a destruir? ¿Cómo se han protegido los datos (si los hay), mientras que se almacenan?

Publicado por Proyecto TOR, traducido y adpaptado por Equipo de consultores ISEC

ACTIVIDADES

 

ISEC.PE

TODOS LOS DERECHOS RESERVADOS ©2022