No puedo comentar cómo los investigadores rastrean comúnmente tales ataques, ya que no estoy involucrado con la aplicación de la ley o el proceso legal. Sin embargo, al investigar e implementar TOR (la solución de enrutamiento de cebolla más común), sé que hay muchas formas en que alguien puede revelar información identificable a través o fuera de un túnel enrutado con cebolla.
Si alguna parte del tráfico de red de un atacante no se representa a través del túnel, ese tráfico puede revelar la ubicación del atacante. (Estoy usando “ubicación” en todo momento, como una simplificación para identificar información como la dirección IP, la ubicación o el nombre). Un ejemplo clásico es la información de consulta DNS. Si el software del cliente del atacante (como un navegador web) no está configurado para reenviar consultas DNS a través del proxy, la sincronización de consultas DNS específicas podría revelar la dirección IP pública real del atacante. Otro error común sería realizar un reconocimiento desde una dirección no oculta, luego usar el proxy para el ataque real. A menudo no es difícil correlacionar la actividad de esta manera.
También es posible revelar información a través del túnel mismo. El proyecto Panopticlick del EFF (https://panopticlick.eff.org/) ha demostrado que los navegadores web a menudo pueden identificarse de manera única por cosas como complementos, User-Agent y Aceptar encabezados, etc. Además, un atacante puede dejar pistas como una puerta trasera particular software, mensajes de desfiguración o patrones de comportamiento que pueden conducir a la atribución adecuada del ataque.
- ¿Es seguro navegar por la web oscura en un iPad con el navegador Tor y una VPN encima? ¿O está usando una PC mejor?
- ¿Es posible configurar TOR para cambiar su ruta de enrutamiento con más frecuencia?
- ¿Por qué se usa la palabra 'cebolla' para la navegación anónima y las redes tor?
- ¿Qué ataques existen contra Tor y son realistas? ¿Cómo podría mejorarse la red?
- ¿Qué significa controlar los nodos de salida en TOR?