Cuáles son las principales vulnerabilidades de Tor

La red Tor es una red de anonimato escalable y distribuida de baja latencia. Esta red mundial evoluciona constantemente y se actualiza de forma periódica. Sin embargo, y a pesar de los esfuerzos de los desarrolladores y de todos aquellos que trabajan por hacer de Tor una red cada día más segura y fiable, por sus propias características es susceptible de sufrir diversos ataques, los cuales pueden poner en serio peligro el anonimato de los usuarios. Estos ataques pueden variar dependiendo del tipo (pueden ser pasivos o activos) o de la posición del atacante (quien puede encontrarse dentro de la red Tor o fuera de ella).

La red Tor es susceptible de sufrir diferentes ataques que pueden poner en peligro el anonimato.Haz click para twittear

Realmente existen multitud de vulnerabilidades y algunas, se especula, han sido explotadas por las fuerzas de seguridad de los Estados para llevar a cabo operaciones contra los servicios ocultos de Tor.

En este artículo se describirán algunos de los ataques más importantes que puede sufrir Tor: el ataque Sybil, el ataque predecesor, el ataque de correlación de tráfico, el ataque de reconstrucción circuital, el ataque sniffer y los ataques derivados de vulnerabilidades resentes en Tor Browser.

Ataque Sybil. La red Tor funciona gracias a todas aquellas personas, empresas u organizaciones que, sin esperar nada a cambio, ceden recursos a la red. De esta manera, la red Tor dispone de nodos en diversos países distribuidos a lo largo y ancho del planeta (si bien la mayoría están concentrados en Europa y América del Norte, al ser zonas libres de censura y con una buena penetración de internet). Esta perspectiva, sin embargo, conlleva un riesgo muy serio: si cualquiera puede desplegar nodos en la red Tor, ¿es posible que un atacante lance cientos o incluso miles de nodos e intente hacerse con el control? La respuesta es afirmativa. El nombre de este ataque es ataque Sybil.

Sabiendo que hay una cantidad no infinita de nodos en la red Tor, aquel que controle un mayor número tendrá más probabilidades de participar en más circuitos, ya sea como nodo de entrada, como nodo intermedio o como nodo de salida. En principio, no resulta peligroso que una persona o una organización disponga de muchos nodos en la red Tor; el problema es si la intención es maligna (tratar de desanonimizar a los usuarios).

El ataque Sybil puede servir como preludio de otros tipos de ataque y, en cualquier caso, puede socavar la confianza de los usuarios en la red Tor.

Ahora bien, ¿la red Tor cuenta con algún tipo de protección ante este tipo de ataque? Sí: desde un script que comprueba si ha habido un aumento repentino y anormal de nuevos nodos (disponible en la URL https://gitweb.torproject.org/doctor.git/tree/sybil_checker.py) hasta un correo electrónico de contacto (bad-relays@list.torproject.org) que permite avisar de la existencia de nodos potencialmente dañinos.

Ataque predecesor. Un ataque predecesor tiene por objetivo identificar a los clientes de la red Tor. Para ello aprovecha la reconstrucción de los circuitos.

Este tipo de ataque se realiza de la siguiente manera: uno o varios nodos malintencionados realizan seguimientos de las conexiones. Cada vez que el cliente reconstruye un circuito (por norma general, cada diez minutos), se vuelve a conectar a otros nodos. De esta manera, el atacante identificará al cliente porque tenderá a conectarse más veces que cualquier otro nodo.

Por otro lado, un atacante que controlara muchos nodos podría hacerlos fallar de forma deliberada para obligar a los clientes a reconectarse una y otra vez con el fin de aumentar el éxito del ataque.

Ataque de correlación de tráfico, ataque de correlación extremo-extremo o ataque de confirmación de tráfico. Este ataque tiene por objetivo establecer una relación probablemente correcta entre un cliente Tor y el servidor final (los dos extremos de una conexión). Para llevarlo a cabo, un atacante deberá controlar el nodo de entrada y el nodo de salida del circuito del cliente. A partir de ahí, intentará establecer una relación objetiva entre los datos entrantes y los datos salientes (analizando el tamaño de los paquetes o la frecuencia de los mismos, por ejemplo).

Ataque de reconstrucción circuital. Este ataque se basa en controlar los tres nodos de una conexión. Mediante una reconstrucción, un atacante podría llegar a conocer tanto al cliente como al servidor de destino. Es un ataque muy complejo y probablemente complicado de llevar a cabo. Se da la circunstancia de que este ataque aparece en uno de los documentos filtrados por Snowden.

Vulnerabilidades de Tor: esquema de un ataque de reconstrucción circuital
Esta diapositiva pertenece a una presentación de la NSA titulada Tor Stinks. Como se aprecia, la NSA estaba estudiando cómo llevar a cabo un ataque de reconstrucción circuital | edwardsnowden.com

Ataque sniffer. Debido al propio funcionamiento de Tor, los nodos de salida podrían realizar ataques man-in-the-middle para espiar la información enviada por el cliente. Este escenario es posible sobre todo en conexiones no cifradas HTTP, por lo que siempre es recomendable utilizar el protocolo HTTPS. En cualquier caso, existen herramientas y métodos para atacar conexiones HTTPS (como SSLStrip, SSLStrip 2, o el uso de certificados autofirmados).

A pesar de la gravedad de este ataque, los nodos de salida que intentaran espiar el tráfico serían catalogados tarde o temprano con la flag “BadExit”, lo que significaría que nunca más podrían ser utilizados como nodos de salida.

Ataques derivados de vulnerabilidades presentes en Tor Browser. El navegador principal para utilizar la red de anonimato Tor es Tor Browser. Este navegador es una modificación de Mozilla Firefox Extended Support Release (ESR) con complementos y extensiones añadidas.

El problema es que las extensiones, o incluso el mismo navegador, pueden presentar vulnerabilidades que pueden ser utilizadas para desanonimizar al cliente. Por ejemplo, un fallo en la extensión NoScript podría ser utilizado para ejecutar código malicioso destinado a identificar al usuario-cliente.

Aunque es prácticamente imposible conseguir la seguridad plena, pues no es descartable que Tor Browser presente vulnerabilidades de día cero (es decir, que son desconocidas para los propios desarrolladores y para el mundo en general, lo que impide su corrección), la mejor manera de evitar estas vulnerabilidades es actualizar Tor Browser siempre que el software así lo indique.

Vulnerabilidades de Tor: la mejor forma de evitarlas, actualizar siempre el software
Tor Browser comprueba periódicamente si existe una nueva versión. En caso de que así sea, avisa al usuario con este mensaje

Además de estos ataques, la red Tor se expone a dos problemas principales que se explicarán a continuación: la censura gubernamental mundial y el bloqueo de los nodos de salida por parte de los webmasters.

Censura gubernamental de carácter mundial. En principio, Tor puede ser bloqueado de una manera muy sencilla por parte un Gobierno: este puede obligar a los ISP a bloquear todos los nodos de la red Tor bajo la amenaza de no permitirles operar en el país. Para cumplir la orden, los ISP solo deberían utilizar una lista pública con las IP de los nodos (como la que se puede encontrar en la URL https://www.dan.me.uk/torlist/) y bloquearla para impedir el funcionamiento de Tor. Ello se podría complementar con una potente inspección profunda de paquetes.

Afortunadamente, Tor dispone de dos herramientas fundamentales para soslayar la censura: los bridges y los Pluggable Transports. El problema es que los bridges convencionales y los bridges compatibles con los Pluggable Transports no podrían absorber el tráfico que se produciría si la censura de los nodos públicos fuera mundial (en este escenario la red Tor colapsaría).

Bloqueo de los nodos de salida por parte de los webmasters. La red Tor perdería parte de su sentido si los sitios web convencionales comenzaran, por alguna razón, a bloquear las conexiones de los nodos de salida, haciendo imposible el acceso a los usuarios de Tor. Para un webmaster es realmente sencillo bloquear el acceso de los usuarios de Tor: solo debe bloquear las IP de la siguiente lista pública: https://check.torproject.org/exit-addresses.

¿Por qué motivo Tor no oculta las IP de los nodos para evitar los bloqueos? Aparte de por razones técnicas, los administradores de Tor creen legítimo que haya webmasters que quieran bloquear a sus usuarios. Su estrategia no pasa por dificultar los bloqueos, sino por concienciar acerca de la importancia de la privacidad y el anonimato en internet. Por ello, los administradores de Tor prefieren centrar sus energías en realizar charlas y simposios acerca de Tor y sus ventajas.

Dentro de esta ronda de conferencias y reuniones de expertos en la materia destaca el simposio anual denominado “Privacy Enhancing Technologies Symposium”, que este año 2017 se celebró en Minneapolis entre los días 18 y 21 de julio y en el año 2018 tendrá lugar en la ciudad española de Barcelona del 24 al 27 de julio.

Las principales vulnerabilidades de Tor
5 (100%) 2 votos

Comentarios

E-mail is already registered on the site. Please use the Login form or enter another.

You entered an incorrect username or password

Sorry, you must be logged in to post a comment.