El ataque duró casi 5 meses.
Los administradores de la red Tor han publicado una alerta de seguridad por el descubrimiento del ataque de un grupo de transmisores que estuvieron tratando de desanonimizar a los usuarios de la red.
Tor es una red de túneles virtuales que permite a las personas y grupos mejorar su privacidad y seguridad en Internet. Mediante un circuito de conexiones cifradas a través de repetidores en la red, Tor asegura que el usuario no pueda ser rastreado privilegiando su anonimato.
Tor protege al usuario del “análisis de tráfico”, una forma habitual de vigilancia en Internet que puede usarse para inferir quién está hablando con quién sobre una red pública. Conocer el origen y destino del tráfico de Internet de una persona permite a otros seguir el rastro de su comportamiento e intereses. TOR permite a los usuarios operar o usar servicios ocultos, como publicación web o de mensajería instantánea, sin que el usuario conozca la identidad del otro en la red. Los usuarios de Tor pueden publicar o acceder a material sin preocuparse por la censura y de forma anónima. Lamentablemente también el anonimato proporcionado por Tor ha sido utilizado por cibercriminales para sus actividades ilícitas, como la distribución de malware y ataques vía redes botnet.
Sin saber con certeza cuán afectada pudo haber sido la red, los administradores dijeron que el descubrimiento del ataque ocurrió el pasado 4 de julio y al parecer el intento para quitar el anonimato a los usuarios de Tor ha sido dirigido a los usuarios que operan o acceden a los servicios ocultos de la red Tor. El ataque involucró la modificación de las cabeceras del protocolo Tor para hacer ataques de confirmación de tráfico.
Los transmisores atacantes se unieron a la red el 30 de enero y desde el 4 de julio han sido eliminados de la red Tor. Se desconoce cuándo precisamente inició el ataque. Los usuarios que operaron o accedieron a los servicios ocultos de Tor desde principios de febrero hasta el 4 de julio deben asumir que se vieron afectados.
Se sabe que el ataque buscaba usuarios que extraían descriptores de servicio ocultos pero es probable que los atacantes no pudieron ver tráfico a nivel de aplicación (por ejemplo, qué páginas fueron cargadas o si los usuarios visitaron el servicio oculto que buscaron). También es probable que el ataque intentó aprender quiénes publicaron descriptores de servicio ocultos, lo que permitiría a los atacantes aprender la ubicación de ese servicio oculto. En teoría, el ataque también pudo ser utilizado para vincular a los usuarios a sus destinos en los circuitos normales Tor, pero no se encontraron pruebas de que los atacantes operaron todos los transmisores de salida, haciendo el ataque menos probable.
No se sabe cuántos datos mantienen los atacantes. Debido a la forma en que el ataque fue desplegado, las modificaciones en las cabeceras del protocolo podrían haber ayudado también a otros atacantes para desanonimizar a los usuarios de la red Tor.
Recomendaciones:
- Los transmisores de la red Tor deben actualizar a la versión Tor más reciente (0.2.4.23 o 0.2.5.6-alfa) para cerrar la vulnerabilidad que los atacantes utilizaron aunque los administradores advierten que la prevención de la confirmación del tráfico en general sigue siendo un problema abierto de investigación.
- Una vez que las nuevas versiones del navegador Tor estén listas los clientes que actualicen tendrán que limitar el número de guardias de la entrada que se encuentran en una posición para ver su tráfico, esto reduce el daño de ataques futuros como éste.
- Los operadores de servicios ocultos deben considerar cambiar la ubicación de su servicio oculto.
Apenas la semana pasada, con el argumento de la seguridad nacional el gobierno de Rusia lanzó una convocatoria pública “solo para rusos” para desanonimizar a los usuarios de TOR y conocer sus datos técnicos. La recompensa a quien lo logre es de 111 mil dólares.