¿Cómo ser anónimo en Internet? La red TOR bajo sospecha

Además, cuando se publicaron los documentos de la NSA relativos a X-Keyscore, había alguna cosa que llamaba especialmente la atención, y era que se utilizaba el uso de cifrado por un determinado usuario o conexión como un indicador de "nos interesa investigarlo", así que el anonimato de la red TOR parece un objetivo más que suculento a atacar.

Entre las técnicas de investigar el anonimato de la red TOR, el uso de Nodos Rogue TOR que se conviertan en un man in the middle y el uso de exploits para los navegadores desde servidores en la red TOR controlados son los más evidentes por haber sido utilizados ya.  En este último caso, en el caso de los servidores controlados, no sólo habría que preocuparse de el uso de exploits, sino del uso de técnicas de WebBrowsing fingerprinting que hicieran huellas digitales de las conexiones o que infectaran la caché del navegador con cookies de seguimiento o las famosas e-Tag.

Otra de las técnicas que recogía Hache a sugerencia de @trufae era la posibilidad de que hubiera DNS leaks en el sistema operativo a la hora de buscar los dominios .onion. La fuga de información se producidría si se busca el nombre de un dominio .onion antes por los servidores de Internet para luego pasar a al uso de cliente TOR. Esto no debería pasar, pero si la manera en que funciona el cliente TOR que se está utilizando no es la correcta, podría quedar un registro de las consultas .onion solicitadas para resolver desde una determinada conexión.

Sin embargo, la más peligrosa de estas técnicas por lo difícil que es defenderse de ella, es para mí es el estudio del tráfico de red de forma pasiva en la red TOR mediante la correlación de datos. Es decir, analizar el tráfico que se genera desde una determinada conexión TOR y ser capaz de, estudiándolo de forma pasiva, saber quién está detrás de una determinada conexión.

En estos ataques, recogidos en el paper "Analyzing the E ectiveness of Passive Correlation Attacks on the Tor Anonymity Network" el atacante se aprovecha de poder convertirse en un router de la red TOR e inspeccionar el tráfico, e intenta reconocer el origen de la red sin necesidad de ser el nodo inicial de la conexión. Es decir, sería un Rogue Router en la red TOR pero sin realizar ninguna acción que lo convierta en sospechoso y que le haga caer en alguno de los tests de seguridad, como el de detección de DNS Hijacking.

Figura 4: Detección de nodo rogue TOR con DNS-Hijacking

La pregunta, es... ¿realmente son efectivas estas técnicas? Pues parece que sí. Según el último paper que va a ser leído en un congreso en Noviembre, pero que uno de los autores ha publicado en su página web personal - titulado "Users Get Routed:Traffic Correlation on Tor by Realistic Adversaries" - la efectividad de estos análisis son bastante efectivas. Según los datos que publican, una conexión de la red TOR podría ser de-anonimizada en unos tres meses con un 50 % de probabilidades de éxito y en 6 meses con un 80%.

Además, el trabajo habla de que el uso de la propuesta de sistemas de  Congestion Awareness en TOR incrementaría drásticamente esas probabilidades y que si el "adversario" controla varios nodos de la red TOR los porcentajes se incrementaría aún más en velocidad y probabilidades.

Ahora, teniendo en cuenta de que tras las revelaciones de X-KeyScore se ha podido ver que la NSA estaba guardando durante un mes un alto porcentaje del tráfico de todo Internet, y que el tráfico de TOR es infinitamente inferior al tráfico de Internet global, ¿es posible que alguien esté capturando y analizando todo el tráfico de la red TOR para aplicar estos algoritmos de correlación?

Saludos Malignos!