Skip to content

Ataques contra el anonimato en la Red Tor

La expresión alemana, Nacht und
Nebel (noche y niebla) Se refiere a un siniestro decreto según
el cual los presos de la Gestapo y de las SS desaparecían en
la noche y en la niebla para no volver a aparecer jamás.
Sin embargo, la noche y la niebla también protegían a
los partisanos que minaron una novísima forma de tiranía
incompatible con la vida de la especie humana. La noche y la niebla
pueden ocultar el mal en estado destilado o el bien en su última
manifestación posible: la del emboscado, pero ocultar no es lo
mismo que invisibilidad.

Recopilando lo visto hasta el momento,
estamos en condiciones de utilizar cifrado fuerte con claves
asimétricas en el envío de correo y en el
almacenamiento de archivos. Podemos utilizar Tor, un sistema de onion
routing
para navegar por la Red
sin revelar nuestra dirección IP y, por tanto, nuestro origen
y nuestro destino y, también, podemos utilizar los protocolos
Mixmaster II para reenvío de correo con cifrado fuerte y de
origen no rastreable.

Falta
por dedicar una entrada a los
remailers de tipo III,
es decir, a Mixminion y a algún otro sistema de anonimato
válidos para dispositivos portátiles, como llaves USB y
DVDs. Pero, antes de eso, es necesario sembrar algunas dudas sobre la
seguridad real de la Red Tor, porque ya son numerosos los ataques
descritos y de los que hay documentación.

Aquí tenemos
el propósito declarado de poner a disposición de
personas normales las herramientas que les permitan proteger un
derecho fundamental de carácter constitucional y de protegerlo
de la manera más efectiva posible. Por eso sería
irresponsable afirmar que cualquiera de estas herramientas
proporcionan una seguridad completa.

Ataques más conocidos contra Tor

Bloqueo de Tor

La medida hostil
más sencilla contra el tráfico a través de Tor,
posiblemente, sea bloquear los nodos de salida de la Red. Tor
necesita mantener un directorio de servidores que puede ser
interrogado fácilmente por cualquier programa y, luego, usar
esa información para bloquear el tráfico.

Es muy posible que,
desde hace un tiempo, los usuarios de Tor se hayan encontrado con un
extraño mensaje proveniente de Google avisándoles de
que la conexión se se ha podido establecer porque un programa
espía o un virus proveniente de su ordenador ha sido
detectado. La treta es ingenua y se puede burlar usando el menú
de Vidalia para adquirir una “nueva identidad”, es decir, una
nueva ruta a través de Tor y, por supuesto, una nueva IP. Con
uno o dos cambios de esta “identidad” se puede eludir, sin
mayores problemas, el bloqueo de Google.

Por otro lado,
estas medidas de bloqueo son poco peligrosas. De hecho la
inestabilidad de las rutas a través de Tor, que cambian
continuamente, de momento, es suficiente para eludirlas. Además,
no representan un peligro real para el anonimato de los navegantes.
Lo que veremos a continuación, ya es otra cosa más
comprometida.

 

Descubrimiento de la IP real.

Correlación entre uso de tor y producción
de cierto acontecimiento.

Parece que la forma más elemental de descubrir la IP de
alguien consiste en rastrear quién está usando Tor
cuando se produce un determinado evento: un ataque a cierta
dirección, la modificación de un blog, etc. y después
comprobar si cierta dirección IP cliente de Tor estaba
constantemente en línea cuando se produjo el evento. En
cualquier caso, esto sólo sería una forma efectiva de
desvelar la IP si la máquina a descubrir estaba funcionando
como cliente de Tor en ese momento. Además, su eficacia se
reduce considerablemente a medida que aumenta el número de
usuarios de Tor. Desgraciadamente, hay otras formas más
eficaces.

 

Inclusión de códigos activos en la
máquina espiada.

Una forma mucho más efectiva es tomar el control de la
máquina que pretende estar enmascarada mediante Tor. Esto no
representa ninguna dificultad incluyendo los llamados Java
“connect-back applet” o “Flash applets” en la página.
La página visitada puede descargar estos códigos
ejecutables, (o las aparentemente inofensivas Cookies) Que
proporcionarán el control suficiente de nuestra máquina,
no sólo para que la página visitada conozca la IP real,
sino también la MAC de la tarjeta gráfica, los números
de serie de la placa base, del disco duro… Los controles ActivX del
Explorer de Windows son igual, si es que no más peligrosos.
Conclusión: No existe navegación segura con cookies,
java o javascript activados en el navegador y tampoco existe
posibilidad de navegación segura usando Internet Explorer de
Windows.

Esto es un problema, no sólo porque impide la visión
de vídeos u otras características de la página
visitada, sino y sobre todo, porque no parece posible ingresar en
ningún servicio de correo o de publicación de blogs,
sin tener cookies, java o javascript activado y si esto es así,
y lo es, Tor no ofrece ninguna protección cuando se trata
de publicar textos o documentos
. Cada vez que, por ejemplo, se
ingrese en Blogger de Google para publicar una entrada o para subir
una imagen o para comprobar el estado de nuestro blog, Google
recopilará una cantidad asombrosa de datos que nos
identificarán sin lugar a dudas o, mejor dicho, que
identificarán a nuestra máquina y señalarán
el lugar exacto desde el que se estableció la conexión.
Quien necesite una prueba, sólo tiene que activar el servicio
google
analytics
en su blog y luego repasar los datos de los visitantes
que este servicio le proporciona.

 

Pistas indirectas. Identificación de
características de la máquina a desvelar.

Otro dato significativo para la identificación real de la
IP es identificar el buscador y el sistema operativo que se está
usando durante la conexión. Es muy probable que este dato no
sea accesible directamente, pero hay medios para llegar hasta él.
Por ejemplo, viendo las diferencias entre Firefox e Internet Explorer
en la forma en que estos dos navegadores utilizan las suites de
cifrado cuando visitan una página vía SSL.

La diferencia en los protocolos de cifrado sirve para identificar
el navegador aunque no se pueda conocer el contenido real de la
comunicación o se utilice un proxy para consiguir aparentar
que se está utilizando un “User-Agent” distinto al real.

La extensión “User-Agent
Swicher
” para el navegador Firefox puede paliar este problema
pero parece ser que no siempre resulta completamente efectiva. Por
ejemplo, esta
página
, descubre la trampa y este es el dato que nos
devuelve cuando la visitamos usando Firefox tratando de hacerle pasar
por Internet Explorer: Mozilla/4.0 (compatible; MSIE 7.0; Windows
NT 5.1)
. Por el contrario, aquí,
Firefox pasa perfectamente como IE y, además, confunde a la
página espía haciéndola creer que estamos
utilizando Windows XP en lugar de Linux.

Telnet o Netcat también pueden revelar datos. Tanto Telnet
como Netcat, cuando se estén usando para escuchar puertos,
expondrán cierta información relativa a la máquina
cliente, como el número de versión utilizado, la
capacidad de la conexión o el tamaño de la ventana lo
que puede servir para el tipo de máquina desde la que se está
usando Telnet. Esto no es mucho, aparentemente, pero unido a los
datos proporcionados por otros ataques pueden, muy bien, ser
decisivos para establecer con certeza quién es el espiado.

El cliente SSH que se esté usando también puede
identificarse sin problemas y, a partir de ahí, deducirse
datos identificativos sobre la plataforma y la información
conexa a ésta.

 

Marcas en el tráfico de Tor.

Más efectivo y, por tanto más
peligroso que lo dicho hasta aquí, es el etiquetado del
tráfico de Tor. Esto es posible porque Tor no proporciona
ninguna protección en las conexiones de extremo a extremo.
Así, si el fisgón puede monitorizar el tráfico
de datos que sale de una computadora y, también, el tráfico
que llega a una página de destino (por ejemplo, un blog) A la
que mantiene bajo vigilancia, no tardará mucho en establecer
una correlación entre una y otra máquina con un simple
análisis estadístico.

La situación aún se simplifica mucho más para
los husmeadores si “etiquetan” el tráfico que sale de
cierta máquina. Luego sólo tendrán que buscar
esa “etiqueta” en los nodos de salida de Tor y ver a dónde
van esos datos.

No se trata de otra cosa sino de incluir un “patrón”
reconocible en la comunicación, de tal manera que, aún
con el tráfico cifrado y sin que éste se pueda ver en
claro, el hecho de que un cierto número de paquetes llegue en
un cierto tiempo, seguido de un también cierta pausa de
milisegundos, por ejemplo, será suficiente para establecer la
correlación entre el origen de la comunicación y la
página de destino.

¿Estamos perdidos? No del todo. Contra esto aún se
pueden tomar algunas “contramedidas”: a) Configurar el
cortafuegos de la máquina en la que está funcionando el
cliente Tor, de modo que sólo se permita el tráfico de
la propia red Tor. b) Hacer funcionar Tor a través de
otra infraestructura de red comprometida como un router propietario o
una red wireless. c) Utilizar un script, un pequeño
programa, que reclame páginas aleatoriamente a través
de Tor o que mantenga abierta una conexión con algún
sitio remoto y le envíe datos regularmente.

Ninguna de estas contramedidas parecen lo suficientemente simples
como para que puedan ser usadas por personas sin conocimientos
técnicos, aunque estos tengan que ser mínimos. Quizás,
lo más fácil sea establecer las conexiones seguras a
través de otra máquina, es decir, utilizar las
posibilidades de las redes Wifi abiertas, pero sin olvidar que eso no
soluciona el problema de Java, Javascript, aplets o cookies, todos
ellos códigos activos que la página visitada introduce
en la nuestra y, a través de la cual, se pueden identificar
componentes únicos de ésta, tales como la dirección
MAC u otros datos de fábrica de los componentes.

Con esto, el atacante no podrá identificar un lugar
comprometido, ni el nombre de la persona que contrató la
conexión a la Red, pero si, por otros medios, llega a tener
sospechas de estos datos, le cabe (según las circunstancias,
claro) Actuar legalmente contra el atacado, por ejemplo, mediante una
denuncia por daños al honor. A partir de ahí, es muy
probable que el juez que instruya el procedimiento ordene un registro
domiciliario, que la máquina perseguida caiga en poder de la
policía forense y que ésta, con los datos aportados en
la denuncia o con los que solicite a la compañía en la
que está alojado el blog perseguido, establezca una relación
indubitada entre dicho blog y el propietario del ordenador
intervenido…

Hay más ataques descritos contra el anonimato de Tor. En
otra entrada nos referiremos a dos trabajos que andan circulando por
la Red: “Practical Traffic Analysis: Extending an Resisting
Statistical Disclosure” de Nick Mathewson y Roger Dingledine, y
“Low-Cost Traffic Analysis or Tor”, escrito por Steven J. Murdoc
y George Danezis del Laboratorio de computación de Cambridge.