- Los nodos maliciosos fueron bloqueados el pasado 4 de julio. Si usas Tor debes actualizar a la última versión lo más rápido posible
¿Te has conectado a la red Tor en el último medio año? Si tu respuesta es afirmativa es posible que tu conexión haya sido rastreada por un atacante anónimo. Según han anunciado los desarrolladores en el blog oficial del proyecto el 30 de enero de este año se introdujeron unos nodos maliciosos que pasaron desapercibidos durante cinco meses hasta el pasado 4 de julio, cuando finalmente se descubrieron y eliminaron de la red.
El proyecto de software libre The Onion Router intenta construir una red superpuesta a internet que proporcione un alto nivel de anonimato, y es usada a diario por millones de activistas, periodistas e individuos preocupados por su privacidad online.
Se rumorea que el ataque se basa en un paper paperque se iba a presentar a principios de agosto en la conferencia Black Hat, uno de los encuentros sobre ciberseguridad más importantes del mundo. Los dos investigadores de la universidad Carnegie Mellon cancelaron la charla por las presiones de sus abogados. Esto lleva a que los responsables de Tor barajen la posibilidad de que el ataque fuera el resultado de esa investigación, aunque no se puede descartar que haya detrás alguna agencia gubernamental como la NSA o el GCHQ.
Una de las hipotésis más sonadas sobre esta vulnerabilidad se basa en el análisis estadístico de los paquetes, pero para poder comprenderla hay que entender primero la arquitectura de Tor.
Cuando un usuario solicita una dirección su conexión pasa a través de diferentes capas que se superponen entre sí como las de una cebolla, ocultando de esta manera la dirección IP (y de ahí el nombre del proyecto, onion es cebolla en inglés).
El número de capas por las que pasa una conexión se puede configurar, aunque como mínimo se emplea una de entrada y otra de salida. A estas capas las llamamos nodos y cualquiera puede contribuir al proyecto creando o manteniendo uno. Miles de usuarios e organizaciones ayudan así a mantener la red y este es el punto débil que han aprovechado los atacantes.
Si controlas un buen número de nodos teóricamente es posible inyectar un identificador a todos los paquetes que pasen por ellos y comprobar sus características para descubrir su origen y destino (todas las conexiones entre nodos están cifradas y ninguno conoce de dónde proviene la conexión).
Si hacemos una analogía el proceso sería similar a intentar averiguar el remitente y destinatario de una carta mediante signos exteriores como el tamaño del sobre, la frecuencia de envío y la caligrafía que lo identifica. Para un investigador es sencillo reducir el número de sospechosos de esta forma, ya que habrá muy pocos A y B que por ejemplo, se manden una carta cada 20 días de un tamaño específico y con un tipo de letra determinado. Si tienes la mala suerte de que tu conexión haya pasado por dos nodos maliciosos (y más si uno de ellos es de entrada) sería fácil para un atacante conocer las características de los paquetes que envías regularmente y de ahí ir deduciendo poco a poco una identidad concreta.
Este análisis no se puede realizar en un período corto de tiempo y según el paper que describe esta técnica se necesitan unos 6 meses para lograr una eficacia del 80% en un usuario único (si nos fijamos, casi el tiempo transcurrido entre el inicio y el fin del ataque). Tal como explican los desarrolladores en su blog, se añadieron 115 servidores con el fin de que actuaran como nodos de entrada, cubriendo aproximadamente el 6% de la red. Esto no es suficiente para monitorizar todas las comunicaciones, pero sí para enlazar a algunos usuarios a los sitios de la deep web que visitaron.
“No sabemos cuánta información han guardado los atacantes, y por la manera en la que realizaron sus modicaciones... Es posible que hayan ayudado a otros atacantes a desanonimizar a más usuarios” advirtió el creador del proyecto, Roger Dingledine.
Se han aumentando las medidas de seguridad con la rotación de los nodos o la revisión constante de zonas críticas como los servidores de entrada.
Según Chema Alonso, experto en seguridad informática conocido por su blog El lado del mal, “la red Tor lleva bajo vigilancia desde hace mucho tiempo y también lleva mucho tiempo siendo analizada. Rusia, EEUU y más gobiernos están interesados en romperla por varios motivos, uno de ellos es que en ella campan 'los malos'”.
A pesar de ello “sigue siendo una buena forma de ser anónimo para los usuarios normales”. En países sin libertad de expresión Alonso recomienda dotarse de otros medios de protección, como conexiones VPN remotas. “Cuando hay protestas en países conflictivos lo primero que hacen los gobiernos es intentar bloquear las conexiones VPN y P2P”, remacha.