La expresión alemana, Nacht und Nebel (noche y niebla) Se refiere a un siniestro decreto según el cual los presos de la Gestapo y de las SS desaparecían en la noche y en la niebla para no volver a aparecer jamás. Sin embargo, la noche y la niebla también protegían a los partisanos que minaron una novísima forma de tiranía incompatible con la vida de la especie humana. La noche y la niebla pueden ocultar el mal en estado destilado o el bien en su última manifestación posible: la del emboscado, pero ocultar no es lo mismo que invisibilidad.

Recopilando lo visto hasta el momento, estamos en condiciones de utilizar cifrado fuerte con claves asimétricas en el envío de correo y en el almacenamiento de archivos. Podemos utilizar Tor, un sistema de onion routing para navegar por la Red sin revelar nuestra dirección IP y, por tanto, nuestro origen y nuestro destino y, también, podemos utilizar los protocolos Mixmaster II para reenvío de correo con cifrado fuerte y de origen no rastreable.

Falta por dedicar una entrada a los remailers de tipo III, es decir, a Mixminion y a algún otro sistema de anonimato válidos para dispositivos portátiles, como llaves USB y DVDs. Pero, antes de eso, es necesario sembrar algunas dudas sobre la seguridad real de la Red Tor, porque ya son numerosos los ataques descritos y de los que hay documentación.

Aquí tenemos el propósito declarado de poner a disposición de personas normales las herramientas que les permitan proteger un derecho fundamental de carácter constitucional y de protegerlo de la manera más efectiva posible. Por eso sería irresponsable afirmar que cualquiera de estas herramientas proporcionan una seguridad completa.

Ataques más conocidos contra Tor

Bloqueo de Tor

La medida hostil más sencilla contra el tráfico a través de Tor, posiblemente, sea bloquear los nodos de salida de la Red. Tor necesita mantener un directorio de servidores que puede ser interrogado fácilmente por cualquier programa y, luego, usar esa información para bloquear el tráfico.

Es muy posible que, desde hace un tiempo, los usuarios de Tor se hayan encontrado con un extraño mensaje proveniente de Google avisándoles de que la conexión se se ha podido establecer porque un programa espía o un virus proveniente de su ordenador ha sido detectado. La treta es ingenua y se puede burlar usando el menú de Vidalia para adquirir una “nueva identidad”, es decir, una nueva ruta a través de Tor y, por supuesto, una nueva IP. Con uno o dos cambios de esta “identidad” se puede eludir, sin mayores problemas, el bloqueo de Google.

Por otro lado, estas medidas de bloqueo son poco peligrosas. De hecho la inestabilidad de las rutas a través de Tor, que cambian continuamente, de momento, es suficiente para eludirlas. Además, no representan un peligro real para el anonimato de los navegantes. Lo que veremos a continuación, ya es otra cosa más comprometida.

 

Descubrimiento de la IP real.

Correlación entre uso de tor y producción de cierto acontecimiento.

Parece que la forma más elemental de descubrir la IP de alguien consiste en rastrear quién está usando Tor cuando se produce un determinado evento: un ataque a cierta dirección, la modificación de un blog, etc. y después comprobar si cierta dirección IP cliente de Tor estaba constantemente en línea cuando se produjo el evento. En cualquier caso, esto sólo sería una forma efectiva de desvelar la IP si la máquina a descubrir estaba funcionando como cliente de Tor en ese momento. Además, su eficacia se reduce considerablemente a medida que aumenta el número de usuarios de Tor. Desgraciadamente, hay otras formas más eficaces.

 

Inclusión de códigos activos en la máquina espiada.

Una forma mucho más efectiva es tomar el control de la máquina que pretende estar enmascarada mediante Tor. Esto no representa ninguna dificultad incluyendo los llamados Java “connect-back applet” o “Flash applets” en la página. La página visitada puede descargar estos códigos ejecutables, (o las aparentemente inofensivas Cookies) Que proporcionarán el control suficiente de nuestra máquina, no sólo para que la página visitada conozca la IP real, sino también la MAC de la tarjeta gráfica, los números de serie de la placa base, del disco duro... Los controles ActivX del Explorer de Windows son igual, si es que no más peligrosos. Conclusión: No existe navegación segura con cookies, java o javascript activados en el navegador y tampoco existe posibilidad de navegación segura usando Internet Explorer de Windows.

Esto es un problema, no sólo porque impide la visión de vídeos u otras características de la página visitada, sino y sobre todo, porque no parece posible ingresar en ningún servicio de correo o de publicación de blogs, sin tener cookies, java o javascript activado y si esto es así, y lo es, Tor no ofrece ninguna protección cuando se trata de publicar textos o documentos. Cada vez que, por ejemplo, se ingrese en Blogger de Google para publicar una entrada o para subir una imagen o para comprobar el estado de nuestro blog, Google recopilará una cantidad asombrosa de datos que nos identificarán sin lugar a dudas o, mejor dicho, que identificarán a nuestra máquina y señalarán el lugar exacto desde el que se estableció la conexión. Quien necesite una prueba, sólo tiene que activar el servicio google analytics en su blog y luego repasar los datos de los visitantes que este servicio le proporciona.

 

Pistas indirectas. Identificación de características de la máquina a desvelar.

Otro dato significativo para la identificación real de la IP es identificar el buscador y el sistema operativo que se está usando durante la conexión. Es muy probable que este dato no sea accesible directamente, pero hay medios para llegar hasta él. Por ejemplo, viendo las diferencias entre Firefox e Internet Explorer en la forma en que estos dos navegadores utilizan las suites de cifrado cuando visitan una página vía SSL.

La diferencia en los protocolos de cifrado sirve para identificar el navegador aunque no se pueda conocer el contenido real de la comunicación o se utilice un proxy para consiguir aparentar que se está utilizando un “User-Agent” distinto al real.

La extensión “User-Agent Swicher” para el navegador Firefox puede paliar este problema pero parece ser que no siempre resulta completamente efectiva. Por ejemplo, esta página, descubre la trampa y este es el dato que nos devuelve cuando la visitamos usando Firefox tratando de hacerle pasar por Internet Explorer: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1). Por el contrario, aquí, Firefox pasa perfectamente como IE y, además, confunde a la página espía haciéndola creer que estamos utilizando Windows XP en lugar de Linux.

Telnet o Netcat también pueden revelar datos. Tanto Telnet como Netcat, cuando se estén usando para escuchar puertos, expondrán cierta información relativa a la máquina cliente, como el número de versión utilizado, la capacidad de la conexión o el tamaño de la ventana lo que puede servir para el tipo de máquina desde la que se está usando Telnet. Esto no es mucho, aparentemente, pero unido a los datos proporcionados por otros ataques pueden, muy bien, ser decisivos para establecer con certeza quién es el espiado.

El cliente SSH que se esté usando también puede identificarse sin problemas y, a partir de ahí, deducirse datos identificativos sobre la plataforma y la información conexa a ésta.

 

Marcas en el tráfico de Tor.

Más efectivo y, por tanto más peligroso que lo dicho hasta aquí, es el etiquetado del tráfico de Tor. Esto es posible porque Tor no proporciona ninguna protección en las conexiones de extremo a extremo. Así, si el fisgón puede monitorizar el tráfico de datos que sale de una computadora y, también, el tráfico que llega a una página de destino (por ejemplo, un blog) A la que mantiene bajo vigilancia, no tardará mucho en establecer una correlación entre una y otra máquina con un simple análisis estadístico.

La situación aún se simplifica mucho más para los husmeadores si “etiquetan” el tráfico que sale de cierta máquina. Luego sólo tendrán que buscar esa “etiqueta” en los nodos de salida de Tor y ver a dónde van esos datos.

No se trata de otra cosa sino de incluir un “patrón” reconocible en la comunicación, de tal manera que, aún con el tráfico cifrado y sin que éste se pueda ver en claro, el hecho de que un cierto número de paquetes llegue en un cierto tiempo, seguido de un también cierta pausa de milisegundos, por ejemplo, será suficiente para establecer la correlación entre el origen de la comunicación y la página de destino.

¿Estamos perdidos? No del todo. Contra esto aún se pueden tomar algunas “contramedidas”: a) Configurar el cortafuegos de la máquina en la que está funcionando el cliente Tor, de modo que sólo se permita el tráfico de la propia red Tor. b) Hacer funcionar Tor a través de otra infraestructura de red comprometida como un router propietario o una red wireless. c) Utilizar un script, un pequeño programa, que reclame páginas aleatoriamente a través de Tor o que mantenga abierta una conexión con algún sitio remoto y le envíe datos regularmente.

Ninguna de estas contramedidas parecen lo suficientemente simples como para que puedan ser usadas por personas sin conocimientos técnicos, aunque estos tengan que ser mínimos. Quizás, lo más fácil sea establecer las conexiones seguras a través de otra máquina, es decir, utilizar las posibilidades de las redes Wifi abiertas, pero sin olvidar que eso no soluciona el problema de Java, Javascript, aplets o cookies, todos ellos códigos activos que la página visitada introduce en la nuestra y, a través de la cual, se pueden identificar componentes únicos de ésta, tales como la dirección MAC u otros datos de fábrica de los componentes.

Con esto, el atacante no podrá identificar un lugar comprometido, ni el nombre de la persona que contrató la conexión a la Red, pero si, por otros medios, llega a tener sospechas de estos datos, le cabe (según las circunstancias, claro) Actuar legalmente contra el atacado, por ejemplo, mediante una denuncia por daños al honor. A partir de ahí, es muy probable que el juez que instruya el procedimiento ordene un registro domiciliario, que la máquina perseguida caiga en poder de la policía forense y que ésta, con los datos aportados en la denuncia o con los que solicite a la compañía en la que está alojado el blog perseguido, establezca una relación indubitada entre dicho blog y el propietario del ordenador intervenido...

Hay más ataques descritos contra el anonimato de Tor. En otra entrada nos referiremos a dos trabajos que andan circulando por la Red: “Practical Traffic Analysis: Extending an Resisting Statistical Disclosure” de Nick Mathewson y Roger Dingledine, y “Low-Cost Traffic Analysis or Tor”, escrito por Steven J. Murdoc y George Danezis del Laboratorio de computación de Cambridge.