Un estudio revela que el 25% de los nodos de salida de Tor están comprometidos

En mayo de 2020 se encontró un grupo de nodos de salida de Tor que estaban interfiriendo con el tráfico de salida. Específicamente, dejaban casi todo el tráfico de salida solo, e interceptaban las conexiones a un pequeño número de sitios web de intercambio de datos. Si un usuario visitaba la versión HTTP (es decir, la versión no cifrada y no autenticada) de uno de estos sitios, impedían que el sitio redirigiera al usuario a la versión HTTPS (es decir, la versión cifrada y autenticada) del sitio. Si el usuario no se daba cuenta de que no había terminado en la versión HTTPS del sitio (sin el icono del candado en el navegador) y procedía a enviar o recibir información sensible, esta información podía ser interceptada por el atacante.

El nombre TOR son las siglas de ‘The Onion Router». Es posiblemente la principal y más conocida Darknet de Internet. El objetivo de este proyecto es el de crear una red de comunicaciones distribuida y superpuesta al Internet convencional. Las Dark Webs que puedes encontrar en la Darknet de TOR se diferencian por tener el dominio .onion.

El enrutado tradicional que usamos para conectarnos a servidores en Internet es directo. Por ejemplo, si quieres leer una web tu ordenador se conecta de forma directa a sus servidores. La ruta es relativamente sencilla: de tu ordenador a tu router, de ahí a los enrutadores de tu ISP (proveedor de Internet) y después directos a los servidores de la web que estás visitando. Lo malo es que si alguien intercepta los paquetes de datos en un punto intermedio sabrá perfectamente de dónde vienen y a dónde van. Incluso aunque se cifren los datos de cada paquete en las página HTTPS, las cabeceras de este no se cifran, y los campos del remitente y destinatario (entre otros) siguen siendo visibles.

Lo malo es que si alguien intercepta los paquetes de datos en un punto intermedio sabrá perfectamente de dónde vienen y a dónde van. Incluso aunque se cifren los datos de cada paquete en las página HTTPS, las cabeceras de este no se cifran, y los campos del remitente y destinatario (entre otros) siguen siendo visibles. Ahí es donde entra el Onion Routing, que consiste en enviar los datos por un camino no directo utilizando diferentes nodos.

Primero, el ordenador A, que quiere enviar el mensaje a B, calcula una ruta más o menos aleatoria al destino pasando por varios nodos inter medios. Después, consigue las claves públicas de todos ellos usando un directorio de nodos. Usando cifrado asimétrico, el ordenador A cifra el mensaje como una cebolla: por capas. Primero cifrará el mensaje con la clave pública del último nodo de la ruta, para que sólo él lo pueda descifrar. Además del mensaje, incluye (también cifradas) instrucciones para llegar al destino, B. Todo este paquete, junto con las instrucciones para llegar al último nodo de la lista, se cifra de nuevo para que sólo lo pueda descifrar el penúltimo nodo de la ruta.

l proceso se repite hasta que acabamos con todos los nodos de la ruta. Con esto ya tenemos el paquete de datos listo, así que toca enviarlo. El ordenador

A conecta con el primer nodo de la ruta, y le envía el paquete. Este nodo lo descifra, y sigue las instrucciones que ha descifrado

para enviar el resto del paquete al nodo siguiente. Éste descifrará de nuevo y volverá a enviar al siguiente, y así sucesiva

mente. Los datos llegarán finalmente al nodo de salida, que enviará el mensaje a su destino. Este método proporciona muchísima más seguridad y privacidad, ya que sólo el primero y el último nodo saben de dónde viene o a dónde va el mensaje. Pero tampoco es un método infalible, ya que analizando los tiempos a los que se reciben y envían los paquetes en cada nodo se podría llegar a saber, con mucho tiempo y dedicación, qué ordenadores se están comunicando.

¿Cuál es el problema principal de TOR?

El poblema se focaliza en el nodo de salida , quien tenga el control de dicho nodo, podrá ver todo el trafico que está pasando. Nunca se podrá saber quien es el remitente de dicha petición, pero si se podrá saber que peticiones se están haciendo.

Un estudio sobre la infraestructura de la Dark Web revela que una entidad desconocida tuvo el control de hasta un 27% de los nodos de salida de la red Tor en febrero de 2021. De acuerdo con el informe publicado este fin de semana, el porcentaje de nodos de salida maliciosos ha ido en aumento, llegando a superar en algunos momentos la cuarta parte de su totalidad. En el periodo analizado, correspondiente a los últimos 12 meses, no se ha detectado una cuota inferior al 14%.

En cuanto a la idea de «modo sólo https», y «espero que no sea fácil para los intermediarios degradarlo a HTTP», sí exactamente. La frase que quieres aprender es «ataque de degradación»:

Los ataques de degradación de protocolos son un problema real, y una de las cuestiones de usabilidad aquí será cómo advertir al usuario de que https no funcionó, y que le gustaría probar http en su lugar, de una manera que lleve al usuario al comportamiento correcto.

Estos ataques contra la red Tor y sus usuarios dieron comienzo a principio de 2020, y fueron ya documentados y expuestos en agosto de ese año por el mismo investigador. Tor es un proyecto de código abierto que permite la comunicación anónima en Internet. La red oculta el origen y destino de las conexiones, dirigiendo el tráfico a través de los nodos de la red, lo que dificulta la vigilancia por parte de terceros de la actividad de los usuarios. Existen dos tipos de nodos en la red Tor, internos y de salida. Los primeros participan en la comunicación dentro de la propia red, reenviando información a modo de enlace, mientras que los segundos permite que puedan accederse a páginas de Internet.

Los nodos de salida son el punto crítico de la red, ya que son el último nodo Tor por el que pasa el tráfico de red antes de salir a Internet. Es por esto que los operadores de estos nodos pueden, potencialmente, analizar y manipular todo el tráfico que circula por ellos. La comunicación con protocolo HTTPS no se vería afectada, y si lo fuera el usuario sería consciente de ello con la consiguiente advertencia de su navegador. Sin embargo, si el navegador solicita inicialmente una página con protocolo no seguro, como HTTP, el operador del nodo de salida tendría la capacidad de evitar la redirección a HTTPS, evitando el cifrado del tráfico y permitiendo su alteración. Esta técnica se conoce como «SSL Stripping».

El objetivo de esta entidad de la que habla el informe, que llegó a tener el control de más de 1000 nodos de salida, parecen ser los usuarios de criptomonedas, concretamente los usuarios de servicios de mezclado, que buscan dificultar la trazabilidad de estas, al mezclarlas previamente con otras de diferente origen. El ataque consistiría en el reemplazo de las direcciones de Bitcoin o Ethereum, entre otras, por las del atacante, robando así las cantidades que el usuario fuese a intercambiar. Para mitigar este tipo de ataques, el Proyecto Tor señaló una serie de recomendaciones, entre ellas instar a los administradores de sitios web a habilitar el protocolo HTTPS por defecto y desplegar sitios .onion para evitar los nodos de salida.

Una herramienta que es útil aquí es exitmap:

https://gitlab.torproject.org/tpo/network-health/exitmap
y está diseñada de forma modular para que puedas hacer módulos para probar cada nuevo comportamiento que estés considerando.

La versión pública de exitmap ya viene con algunos módulos, y el equipo de bad-relays tiene algunos módulos no públicos que usan para probar también. Puedes leer mi post en tor-talk de hace tiempo para más pensamientos sobre la compensación de los módulos no públicos (ya que después de todo, somos generalmente fans del software libre aquí):

Links de referencia:

https://nusenu.medium.com/tracking-one-year-of-malicious-tor-exit-relay-activities-part-ii-85c80875c5df

https://thehackernews.com/2021/05/over-25-of-tor-exit-relays-ar e-spying.html

https://blog.torproject.org/bad-exit-relays-may-june-2020

https://fwhibbit.es/24-horas-en-la-vida-de-un-nodo-de-salida-de-tor