¿Cuáles fueron algunos de los casos en que las personas piratearon con éxito la red Tor?

Hola

La capa 8 !!!!!

Mira este título: ” El antiguo desarrollador de Tor creó malware para que el FBI piratee a los usuarios de Tor”. ¡ Este método es como la forma de hackear iPhone! ¡El FBI y nuevamente el | = | 8!

● ■> ¿Cómo vence el gobierno de los Estados Unidos a Tor, el software de anonimato utilizado por millones de personas en todo el mundo? Contratando a alguien con experiencia en el interior.

Un antiguo desarrollador de Tor Project creó malware para la Oficina Federal de Investigaciones que permitió a los agentes desenmascarar a los usuarios del software de anonimato.

BRG

Matt Edman es un experto en ciberseguridad que trabajó como empleado a tiempo parcial en Tor Project, la organización sin fines de lucro que construye el software Tor y mantiene la red, hace casi una década.

Desde entonces, ha desarrollado un potente malware utilizado por la policía para desenmascarar a los usuarios de Tor. Ha sido ejercido en múltiples investigaciones por la policía federal y las agencias de inteligencia de EE. UU. En varios casos de alto perfil.

“Nos ha llamado la atención que Matt Edman, quien trabajó con el Proyecto Tor hasta 2009, fue contratado posteriormente por un contratista de defensa que trabajaba para el FBI para desarrollar malware anti-Tor”, confirmó el Proyecto Tor en un comunicado después de ser contactado por el punto diario

En 2008, Edman se unió al Proyecto Tor como desarrollador para trabajar en Vidalia, una pieza de software destinada a hacer que Tor sea más fácil para los usuarios normales mediante la implementación de una interfaz de usuario simple. Él era un estudiante graduado en ese momento, cursando un doctorado. en informática que obtendría en 2011 del Instituto Politécnico Rensselaer.

El graduado de la Universidad de Baylor se convirtió en parte de la comunidad unida pro-privacidad, asistiendo a las reuniones de desarrolladores y contribuyendo al desarrollo de Vidalia. Escribió y contribuyó a trabajos de investigación con los creadores de Tor y ayudó a otros miembros en su trabajo a desarrollar herramientas de privacidad. Sin embargo, según el Proyecto Tor, “Vidalia fue el único software Tor al que Edman pudo realizar cambios”.

Tor abandonó Vidalia en 2013, reemplazándolo con otras herramientas diseñadas para mejorar la experiencia del usuario.

Edman se unió al proyecto el mismo día que Jacob Appelbaum, el hacker y periodista famoso por su trabajo con WikiLeaks y Edward Snowden, el ex contratista de la NSA que filtró un tesoro de documentos a la prensa en 2013, así como a Tor.

Para 2012, Edman estaba trabajando en Mitre Corporation como ingeniero de seguridad cibernética de alto rango asignado a la Unidad de Operaciones Remotas del FBI, el equipo interno poco conocido de la oficina aprovechó para construir o comprar hacks y malware personalizados para espiar a posibles delincuentes. Con un pedigrí incomparable establecido a partir de su tiempo dentro del Proyecto Tor, Edman se convirtió en un contratista del FBI encargado de piratear a Tor como parte de la Operación Torpedo, una picadura contra tres sitios de pornografía infantil Dark Net que usaban Tor para encubrir a sus propietarios y clientes.

Tor funciona cifrando el tráfico de Internet para que los usuarios puedan ocultar su identidad al acceder a la Web abierta y gratuita. También se utiliza para visitar los sitios de Dark Net, como los dirigidos por Operation Torpedo, que son inaccesibles con los navegadores estándar. Tor es utilizado por millones de personas, incluidos soldados, funcionarios gubernamentales, activistas de derechos humanos y delincuentes. El Proyecto Tor brinda instrucción y educación a las fuerzas del orden público de todo el mundo sobre cómo usar y trabajar con el software. Los agentes del FBI incluso usan el software ellos mismos.

Tor es ampliamente considerado como una de las herramientas de privacidad en Internet más importantes y poderosas jamás creadas. El proyecto ha recibido la mayoría de sus fondos del gobierno de los Estados Unidos.

“Este es el gobierno de Estados Unidos que se está hackeando a sí mismo, al final del día”, dijo el tecnólogo de ACLU Chris Soghoian al Daily Dot en una entrevista telefónica. “Un brazo del gobierno de los Estados Unidos está financiando esta cosa, el otro tiene la tarea de piratearlo”.

Mitre Corporation, donde Edman hizo al menos parte de su trabajo para el FBI, es una organización privada sin fines de lucro que gana casi $ 1.5 mil millones anuales, según sus informes anuales, de su trabajo de seguridad con el Departamento de Defensa de los EE. UU. Y una gran cantidad de otras agencias federales .

Mitre ocupa un espacio paradójico en el mundo de la ciberseguridad. Mantiene la lista estándar de la industria de vulnerabilidades y exposiciones comunes (CVE), destinada a ayudar a compartir datos de seguridad transparentes para vencer a los piratas informáticos en todo el mundo tecnológico. Pero también está siendo pagado por el gobierno federal para desarrollar e implementar hacks.

Esa aparente contradicción no ha pasado desapercibida. “Se supone que deben desempeñar este papel importante y confiable en la comunidad de ciberseguridad”, dijo Sogohian. “Por otro lado, están desarrollando malware que socava su función de confianza”.

En Mitre, Edman trabajó en estrecha colaboración con el Agente Especial del FBI Steven A. Smith para personalizar, configurar, probar e implementar malware que llamó “Cornhusker” para recopilar información de identificación de los usuarios de Tor. Más ampliamente, se le conoce como Torsploit.

Cornhusker usó una aplicación Flash para entregar la dirección de Protocolo de Internet (IP) real de un usuario a un servidor del FBI fuera de la red Tor. Cornhusker, llamado así porque el apodo de la Universidad de Nebraska es Cornhuskers, se colocó en tres servidores propiedad del hombre de Nebraska Aaron McGrath, cuyo arresto provocó la mayor operación contra la explotación infantil. Los servidores corrían múltiples sitios web anónimos de pornografía infantil.

El malware apuntó al Flash dentro del navegador Tor. El Proyecto Tor ha advertido durante mucho tiempo contra el uso de Flash como inseguro, pero muchas personas, incluidas las docenas reveladas en la Operación Torpedo, a menudo cometen errores de seguridad, tal como lo hacen con todo tipo de software.

La Operación Torpedo anotó 19 condenas y recuentos, y resultó en al menos 25 individuos anonimizados.

Durante el juicio de Kirk Cottom, un hombre de 45 años de Rochester, Nueva York, que se declararía culpable de recibir y acceder con la intención de ver pornografía infantil, la defensa pidió ver el código fuente, el código legible por humanos escrito por programadores que hacen funcionar el software, detrás de Cornhusker. La defensa quería echar un vistazo a la herramienta que apuntaba con el dedo a Cottom. El FBI dijo que perdió el código fuente. El agente especial Smith insistió en que nunca instruyó a nadie para destruir el código. El juez dijo que la pérdida fue “desafortunada” pero “en última instancia, de poca importancia”.

Según documentos judiciales, Cornhusker ya no está en uso. Desde entonces, el malware más reciente financiado por el FBI se ha dirigido a un alcance mucho más amplio de usuarios de Tor en el curso de las investigaciones. Tanto Cornhusker como las técnicas más nuevas, denominadas pirateo masivo, han sido criticadas por su falta de supervisión del Congreso o del público.

Además de trabajar en la Operación Torpedo, Edman también trabajó decenas de horas en el caso federal contra Silk Road, el primer mercado importante de Dark Net, y su creador convicto Ross Ulbricht. Según el testimonio, fue Edman quien hizo la mayor parte del trabajo al rastrear $ 13.4 millones en bitcoins desde Silk Road hasta la computadora portátil de Ulbricht, que desempeñó un papel clave en el hecho de que Ulbricht fuera condenado y sentenciado a dos cadenas perpetuas en una prisión federal. Edman trabajaba como director sénior en FTI Consulting en ese momento.

“Este es el gobierno de Estados Unidos que se está hackeando a sí mismo, al final del día”.

El malware Tor que Edman desarrolló en la Operación Torpedo para el FBI se ha utilizado en múltiples investigaciones de “alto perfil”, según una biografía de Edman.

“Ha sido reconocido dentro de la aplicación de la ley y la Comunidad de Inteligencia de los Estados Unidos como un experto en la materia de investigaciones cibernéticas relacionadas con sistemas de comunicación anónimos, como Tor, y monedas virtuales como Bitcoin”, señala la biografía de su empresa para Berkley Research Group, donde Edman trabaja como director en Nueva York. “Como parte de su trabajo, reunió y dirigió un equipo interdisciplinario de investigadores que desarrolló una técnica de investigación de redes de vanguardia que se desplegó con éxito y proporcionó inteligencia crítica en múltiples investigaciones cibernéticas de alto nivel de aplicación de la ley”.

El currículum de Edman también incluye un período como ingeniero de vulnerabilidad senior en Bloomberg LP en la ciudad de Nueva York, donde realizó pruebas de penetración en la red de la empresa. Según su biografía, también ofrece experiencia especial en temas como Tor y Bitcoin.

Hoy, en Berkeley Research Group, Edman trabaja junto al ex fiscal federal Thomas Brown, así como a tres ex agentes del FBI, todos los cuales trabajaron en el caso de la Ruta de la Seda directamente con Edman: Thomas Kiernan, Ilhwan Yum y Christopher Tarbell.

Edman no respondió a una solicitud de comentarios.

Nota del editor: esta publicación se ha actualizado para agregar claridad sobre la naturaleza del malware y la participación de Tor Project en la aplicación de la ley.

Corrección: Según una portavoz de Tor, Edman no contribuyó a la base de código de Tor.

<■ ●

Por otro lado, algunos piratas informáticos intentaron piratear la red Tor de maneras inusuales para saber qué sucede en el medio de estas redes. También un escritor del instituto de ciencias de la información recopiló las formas de pirateo de los blogs y publicó este artículo en 2 sesiones (¡es realmente perfecto!):

  • Sesión I:

Hacking Tor y anonimato en línea

Capacitación en tecnología de la información y bootcamps

Introducción

Tor es el acrónimo de “The onion router”, un sistema implementado para preservar el anonimato en línea. El software del cliente Tor enruta el tráfico de Internet a través de una red mundial voluntaria de servidores que ocultan la información del usuario, eludiendo la vigilancia del gobierno y otros actores malos.

El proyecto Tor nació en el sector militar, patrocinó el Laboratorio de Investigación Naval de EE. UU., Y de 2004 a 2005 fue apoyado por la Electronic Frontier Foundation. Hoy el software está en desarrollo y mantenimiento del Equipo del Proyecto Tor.

Los procesos de cifrado implementados en la red Tor le permiten proteger la privacidad de los usuarios. El tráfico Tor se encripta varias veces pasando a través de diferentes nodos de la red, también conocidos como relés Tor.

Las agencias de aplicación de la ley y de inteligencia de todo el mundo están haciendo un esfuerzo considerable para tratar de romper el cifrado utilizado con Tor. Prácticamente todos los gobiernos están tratando de infiltrarse en la red para anonimizar a sus usuarios. La red Tor es ampliamente utilizada por activistas digitales e individuos en muchas regiones críticas para evitar la censura de Internet operada por gobiernos en China, Siria, Bahrein e Irán. Según Tor Metrics, la cantidad de personas en todo el mundo que acceden directamente a la red de anonimato es de 2.5 millones.

Figura – Usuarios directamente conectados a la red Tor

En esta publicación hay una descripción general de los eventos recientes relacionados con Tor y los ataques a sus infraestructuras, con referencia explícita a las principales iniciativas llevadas a cabo por los gobiernos para desanonizar a los usuarios de Tor.

Gobiernos vs Tor

Los gobiernos están haciendo un gran esfuerzo para mejorar las capacidades de monitoreo. Las redes Tor y otras redes anonimizadoras representan un obstáculo para el monitoreo de Internet. Los gobiernos sostienen que tecnologías como Tor son abusadas por el cibercrimen y los terroristas y son una fuente potencial de amenazas, pero las organizaciones para la defensa de la privacidad en línea y la libertad de expresión sostienen que las agencias de inteligencia están tratando de extender sus capacidades de monitoreo a través de redes anonimizadoras.

Gobierno ruso quiere romper Tor

Las agencias de inteligencia declararon la guerra a la red de anonimato. Edward Snowden reveló hace meses que la inteligencia de EE. UU. Está preocupada por posibles usos indebidos de la red Tor y estaba invirtiendo para comprometerla. Además, el gobierno ruso está trabajando activamente para intentar descifrar el cifrado Tor para anonimizar a sus usuarios. El Ministerio del Interior de la Federación de Rusia (MVD) ha iniciado recientemente una iniciativa para “estudiar la posibilidad de obtener información técnica sobre los usuarios (equipos de usuario) de la red anónima Tor”.

El gobierno ruso ha emitido un contrato para reclutar compañías y organizaciones que estén interesadas en desarrollar la tecnología para rastrear a los usuarios y sus actividades dentro de la red Tor. Las autoridades están ofreciendo casi 4 millones de rublos, aproximadamente $ 111,000, para el desarrollo de tecnología para descifrar los datos enviados a través de Tor e identificar a los usuarios de Tor. La licitación, titulada “Realizar investigación, código ‘TOR’ (Marina)”, se publicó el 11 de julio en el sitio web oficial de adquisiciones.

Figura – Competencia promovida por el Ministerio del Interior de la Federación de Rusia (MVD)

Oficialmente, el Kremlin mantiene proyectos similares “para garantizar la defensa y la seguridad del país”. La inteligencia rusa teme que las redes de anonimato puedan ser utilizadas por terroristas e inteligencia extranjera para conspirar contra el gobierno de Moscú. Hace unos días le pedí a un colega que me ayudara a traducir la oferta original, la ortografía de “TOP” proviene de ese documento original (mayúsculas, transliteración rusa). La licitación es sobre Tor y el término “Asociación de Producción Científica” (Научно -производственное Объединение) es una palabra de portada soviética / rusa para un militar o una salida de I + D de KGB / FSB. El en cuestión pertenece al Ministerio del Interior, que está a cargo de la policía y la penitenciaría.

La licitación requiere autorización de seguridad activa específicamente en el LI (aunque me pregunto si “legal” es aplicable a Rusia) y una autorización de seguridad general de alto nivel.

Toda empresa que desee participar en la iniciativa debe pagar una tarifa de solicitud de 195,000 rublos (aproximadamente $ 5,555).

¿Quién está espiando los nodos de salida de la red Tor desde Rusia?

Los investigadores Philipp Winter y Stefan Lindskog de la Universidad de Karlstad en Suecia presentaron los resultados de una red realizada para probar el comportamiento disimulado de la red Tor. El experto notó que una entidad rusa no especificada está espiando nodos en el borde de la red Tor.

El principio en el que se basa su investigación es la posibilidad de monitorear los relés de salida para espiar y manipular el tráfico de red anónimo. Los investigadores han trabajado para definir una metodología para exponer relés de salida maliciosos y documentar sus acciones. Los investigadores utilizaron una herramienta personalizada, un “escáner de relé de salida rápido y modular”, para su análisis, y descubrieron que la entidad parecía estar particularmente interesada en el tráfico de los usuarios.

Diseñaron varios módulos de escaneo para detectar ataques comunes y los usaron para sondear todos los relés de salida.

“Somos capaces de detectar y frustrar muchos ataques de intermediarios que hacen que la red sea más segura para sus usuarios” , informaron en el artículo publicado en su investigación.

Winter y Lindskog identificaron 25 nodos que alteraron el tráfico web, descifraron el tráfico o censuraron sitios web. En el conjunto de los nodos comprometidos, 19 fueron manipulados utilizando usuarios activos, descifrando y volviendo a cifrar el tráfico sobre la marcha.

Figura: Red Tor infiltrada por nodos maliciosos

Anonimiza la experiencia web de los usuarios, en condiciones específicas, rebotando el tráfico cifrado a través de una serie de nodos antes de acceder al sitio web a través de cualquiera de los más de 1,000 “nodos de salida”.

El estudio propuesto se basa en dos consideraciones fundamentales:

  • El tráfico del usuario es vulnerable en los nodos de salida. Para los malos actores, el tránsito a través de un nodo de salida del tráfico lo expone a escuchas. El caso de WikiLeaks fue muy popular, que se lanzó inicialmente con documentos interceptados desde la red Tor en piratas informáticos chinos a través de un nodo de salida con errores.
  • Los nodos Tor son administrados por voluntarios que pueden configurar y desmontar fácilmente sus servidores cada vez que lo necesiten y lo deseen.

Los atacantes en estos casos adoptaron un falso para acceder al contenido del tráfico. Para los seis casos restantes, se ha observado que el deterioro resultó de errores de configuración o problemas de ISP.

El estudio reveló que los nodos utilizados para manipular el tráfico se configuraron para interceptar solo flujos de datos para sitios web específicos, incluido Facebook, probablemente para evitar la detección de su actividad.

Los investigadores pasivos escucharon a escondidas el tráfico web no cifrado en los nodos de salida. Al comprobar los certificados digitales utilizados en las conexiones Tor con los certificados utilizados en las “sesiones de red clara” directas, descubrieron numerosos nodos de salida ubicados en Rusia que se utilizaron para realizar ataques de hombre en el medio.

Los atacantes controlan el acceso del nodo ruso al tráfico y lo vuelven a cifrar con su propio certificado digital autofirmado emitido a la entidad inventada “Autoridad principal”.

Es difícil atribuir la responsabilidad de estos ataques. Los investigadores especularon que los ataques son parte de una operación sofisticada realizada para anonimizar la red Tor. Los expertos también notaron que al poner en la lista negra los nodos Tor de la “Autoridad Principal”, la misma entidad configuraría los nuevos que usan el mismo certificado.

Los expertos excluyen que cualquier agencia gubernamental estaba llevando a cabo el ataque porque la técnica adoptada es demasiado ruidosa. Sospechan que un grupo de individuos aislados es responsable de la actividad anómala. Una de las opciones más ruidosas de los atacantes es el uso de certificados autofirmados que provocan una advertencia del navegador a los usuarios de Tor cuando visitan el sitio web falso o son víctimas de ataques MITM.

“En realidad se hizo bastante estúpidamente”, dice Winter.

La Agencia de Seguridad Nacional quiere abrumar el anonimato de Tor

El denunciante estadounidense Edward Snowden lanzó una colección de documentos clasificados de la NSA titulada ”, que explican cómo la agencia de la NSA ha desarrollado la capacidad de anonimizar una pequeña fracción de usuarios de Tor manualmente. Tor Stinks no es una arquitectura para la vigilancia a gran escala, pero permite a los agentes estadounidenses rastrear a individuos específicos durante su navegación dentro de la red Tor. “Nunca podremos anonimizar a todos los usuarios de Tor todo el tiempo, [pero] con el análisis manual podemos anonimizar a una fracción muy pequeña de los usuarios de Tor”, informaron las diapositivas reveladas.

En realidad, la agencia de inteligencia está haciendo mucho más, tratando de comprometer toda la red Tor y degradando la experiencia del usuario para disuadir a las personas de usarla.

Figura – El Proyecto NSA Tor apesta para abrumar el anonimato de Tor

La NSA está operando de diferentes maneras para alcanzar sus objetivos. Su estrategia se basa en los siguientes principios para deshacer el anonimato de Tor. Está ejecutando nodos Tor maliciosos para infiltrarse en las redes Tor, y al mismo tiempo, está tratando de explotar fallas desconocidas en cada componente de la arquitectura de anonimato, tanto en el lado del cliente como del servidor.

Las diapositivas filtradas por Snowden en el proyecto Stinks revelan que la NSA está llevando a cabo las siguientes operaciones:

  • Infiltrarse en la red Tor que ejecuta sus nodos Tor . Tanto la NSA como los nodos Tor ejecutan el seguimiento del tráfico hacia un usuario específico. El método se basa en la reconstrucción del circuito a partir del conocimiento de los nodos de ‘entrada, retransmisión y salida’ entre el usuario y el sitio web de destino.
  • Explotación del navegador Firefox incluido con Tor. Con esta técnica, la NSA pudo obtener la dirección IP del usuario. De esta manera, el FBI arrestó al propietario del proveedor de servicios Freedom Hosting acusado de ayudar e incitar a la pornografía infantil.
  • NSA también utiliza cookies web para rastrear a los usuarios de Tor ampliamente. La técnica también es efectiva para el navegador Tor. Las cookies se utilizan para analizar la experiencia del usuario en Internet. La agencia de inteligencia poseía o controlaba una serie de sitios web que podían leer las últimas cookies almacenadas desde el navegador en la máquina de la víctima. Con esta técnica, la agencia recopila los datos del usuario, incluida la dirección IP. Por supuesto. Los usuarios expertos pueden evitar este tipo de control de muchas maneras, por ejemplo, utilizando un navegador dedicado para la navegación exclusiva de Tor, utilizando solo el paquete oficial de Tor preconfigurado o administrando adecuadamente las cookies almacenadas en su máquina. Desafortunadamente, los métodos de vigilancia parecieron efectivos para una gran cantidad de individuos. Siempre sugiero usar una máquina virtual con un sistema operativo en vivo para proteger su anonimato Tor. De esta forma, el caché y las cookies se perderán una vez que se apague la máquina. Los documentos filtrados por Snowden muestran que la NSA está utilizando anuncios en línea, es decir, Google Ads para hacer que sus sitios de seguimiento sean populares en Internet.

La emisora ​​pública alemana ARD publicó recientemente un informe sobre el uso de la plataforma XKeyscore para comprometer el anonimato de Tor. La agencia de medios informó que dos servidores con sede en Alemania han sido blanco de la inteligencia estadounidense. El locutor publicó por primera vez el de Xkeyscore, incluso si ARD no proporcionó información sobre su origen y cómo lo recibieron.

ofrece la recopilación de datos en línea “de mayor alcance”, que analiza el contenido de los correos electrónicos y el historial de navegación. En agosto de 2014, The publicó un informe exclusivo sobre el programa de vigilancia de la NSA, que proporciona varias diapositivas de capacitación de la NSA del programa secreto.

Los chats de Facebook y los mensajes privados se vuelven accesibles para los agentes de inteligencia simplemente proporcionando el nombre de usuario de Facebook y un rango de fechas para la investigación. De hecho, XKeyscore proporciona los instrumentos necesarios para el análisis que se realizan también sin ninguna autorización legal o una orden judicial.

“Un programa de alto secreto de la Agencia de Seguridad Nacional permite a los analistas buscar sin autorización previa a través de vastas bases de datos que contienen correos electrónicos, chats en línea y los historiales de navegación de millones de personas, de acuerdo con los documentos proporcionados por el denunciante Edward Snowden”. El programa, llamado XKeyscore, es su sistema de “mayor alcance” para desarrollar inteligencia desde el.

El código fuente publicado por el ARD demuestra que la NSA rastrea a las personas que se cree que viven fuera de los EE. UU. Y que solicitan información del puente Tor por correo electrónico o que buscan o descargan Tor o el sistema operativo en vivo TAILS. La NSA pudo rastrear sus direcciones IP. El XKeyScore analizado por los expertos incluye direcciones IP de la Autoridad de Directorio Tor seleccionada, parte de la columna vertebral de la Red Tor. Estas autoridades se actualizan cada hora con información relacionada con los nuevos relés Tor.

La publicación también explica que los autores, incluido el experto popular, fueron blanco del XKeyscore.

“Su investigación en esta historia es totalmente independiente del Proyecto Tor y no refleja las opiniones del Proyecto Tor de ninguna manera … Durante el curso de la investigación, se descubrió que un sistema informático adicional dirigido por Jacob Appelbaum para su voluntario El trabajo con ayudar a ejecutar parte de la red Tor fue el objetivo de la NSA. Además, todos los miembros de este equipo son usuarios de Tor y parecen haber sido blanco de la vigilancia masiva descrita en la investigación ”, afirmó ARD.

Profundizando en el código fuente, es posible verificar que la NSA también se dirija a los usuarios de un remailer anónimo.

/ **
* Huella digital de marcador de posición para direcciones de servicio ocultas de Tor.
* Los plugins dispararán huellas digitales reales
* ‘anonymizer / tor / plugin / onion / *’
* /
huella digital (‘anonymizer / tor / hiddenservice / address’) = nil;
// END_DEFINITION
// START_DEFINITION
appid (‘anonymizer / mailer / mixminion’, 3.0, viewer = $ ascii_viewer) =
http_host (‘mixminion’) o
ip (‘128.31.0.34’);
// END_DEFINITION

Agencias de aplicación de la ley, Tor Network y cibercrimen

La anonimización de los usuarios de la red Tor también es un objetivo para las agencias de aplicación de la ley que necesitan rastrear a los usuarios para identificar y prevenir actividades ilícitas. El año pasado, el FBI reveló que los expertos de la Oficina habían comprometido a la empresa Freedom Hosting durante una investigación de pornografía infantil. Freedom Hosting fue probablemente la compañía de operadores de servicios ocultos más popular de Tor. El FBI explotó un script malicioso que aprovecha una para identificar a algunos usuarios de la red de anonimato de Tor.

En una corte irlandesa, el agente especial de supervisión del FBI Brooke Donahue reveló que el FBI tenía el control de la empresa Freedom Hosting para investigar sobre actividades de pornografía infantil. Freedom Hosting fue considerado por la policía estadounidense como el mayor facilitador de pornografía infantil en el planeta.

Para su análisis, el FBI explotó un () para Firefox 17, también confirmado por Mozilla, que le permitió rastrear a los usuarios de Tor. Explotó una falla en el navegador Tor para implantar una cookie de rastreo que las huellas digitales sospechosas a través de un servidor externo específico.

“El investigador de seguridad Nils informó que el contenido web especialmente diseñado que usa el evento onreadystatechange y la recarga de páginas a veces puede causar un bloqueo cuando se ejecuta memoria no asignada . Este bloqueo es potencialmente explotable “.

El exploit se basa en un JavaScript que es un pequeño ejecutable de Windows oculto en una variable denominada “Magneto”. El código Magneto busca el nombre de host de Windows y la dirección MAC de la víctima y envía la información al servidor del FBI Virginia, exponiendo la dirección IP real de la víctima. El script devuelve los datos con una solicitud web HTTP estándar fuera de la red Tor.

Figura: secuencia de comandos Magneto utilizada por el FBI

La investigación provocó la identificación y el arresto de Eric Eoin Marques, el dueño y operador irlandés de Freedom Hosting, de 28 años.

Freedom Hosting alojó cientos de sitios web, muchos de ellos utilizados para realizar actividades ilegales aprovechando el anonimato proporcionado por la red Tor. Los ciberdelincuentes suelen utilizar Tor para realizar actividades ilícitas como el intercambio de material pornográfico infantil, el alquiler de servicios de piratería y la venta de armas.

Freedom Hosting estaba ofreciendo servicios de alojamiento a pandillas criminales que estaban moviendo sus negocios en la Deep Web. Tenga en cuenta que cientos de sitios de piratería como HackBB fueron alojados por la empresa.

Donahue reveló que el servicio Freedom Hosting alojó al menos 100 sitios de pornografía infantil, brindando contenido ilegal a miles de usuarios, y afirmó que Marques había visitado algunos de los sitios él mismo.

Eric Eoin Marques sabía que lo estaban cazando, aparentemente envió las ganancias a su novia en Rumania. El FBI, analizando la computadora incautada del Marqués, descubrió que había realizado consultas sobre cómo obtener una visa y entrar a Rusia, y la residencia y ciudadanía en el país.

Marques también buscó una plantilla de pasaporte estadounidense y una estrella de holograma de pasaporte estadounidense. Probablemente estaba planeando un escape.

Los documentos judiciales y los archivos del FBI publicados bajo la FOIA han descrito el CIPAV () como un software que el FBI puede entregar a través de un exploit de navegador para recopilar información de la máquina del sospechoso y enviarla al servidor de la Oficina en Virginia.

El evento es la confirmación de que la red Tor proporciona una capa adicional de ofuscación, pero debe quedar claro que no proporciona a prueba de balas en línea. Muchos investigadores demostraron que es posible anonimizar a los usuarios explotando una falla en el protocolo en sí o en algunas de las numerosas aplicaciones utilizadas, como el navegador web y la distribución en vivo.

Rompe el anonimato de la red Tor con solo $ 3000

Es una creencia común que para anonimizar la red Tor, es necesario hacer un gran esfuerzo en términos de recursos y capacidades computacionales. Muchos expertos en seguridad han comenzado a investigar la posibilidad de que la inteligencia estadounidense y otros hayan encontrado una forma de comprometer la red Tor.

Hace unas semanas, dos hackers, Alexander Volynkin y Michael McCord, revelaron que podían anonimizar a los usuarios de Tor fácilmente. También anunciaron que presentarán los resultados de su estudio en Black Hat 2014, a pesar de que hace unos días cancelaron su participación en el evento.

“Desafortunadamente, el Sr. Volynkin no podrá hablar en la conferencia ya que los materiales de los que estaría hablando todavía no han sido aprobados por la Universidad Carnegie Mellon / Instituto de Ingeniería de Software para su lanzamiento público”, afirma el publicado en el sitio web oficial del evento.

Christopher Soghoian, tecnólogo principal de la Unión Estadounidense de Libertades Civiles, ha especulado que los investigadores podrían haber temido ser demandados por el enjuiciamiento penal por el monitoreo ilegal del tráfico de salida de Tor.

“Monitorear el tráfico de salida de Tor es potencialmente una violación de varios estatutos penales federales”, dijo .

El experto estaba preparando una presentación para explicar cómo identificar a los usuarios de Tor con un presupuesto muy pequeño, solo $ 3,000.

“No hay nada que le impida utilizar sus recursos para desanonimizar a los usuarios de la red en su lugar mediante la explotación de fallas fundamentales en el diseño y la implementación de Tor. Y no necesita el presupuesto de la NSA para hacerlo. ¿Busca la dirección IP de un usuario Tor? No es un problema. ¿Intenta descubrir la ubicación de un servicio oculto? Hecho. Lo sabemos porque lo probamos, en la naturaleza … En esta charla, demostramos cómo se puede abusar de la naturaleza distribuida, combinada con las deficiencias recientemente descubiertas en el diseño e implementación de la red Tor para romper el anonimato Tor “, son las declaraciones utilizadas por los dos investigadores para describir su trabajo.

Según los investigadores, es posible anonimizar a los usuarios con un presupuesto limitado. La noticia preocupante es que un adversario persistente como una agencia de inteligencia “con un puñado de servidores potentes y un par de enlaces gigabit puede anonimizar a cientos de miles de clientes Tor y miles de servicios ocultos en un par de meses”.

El descubrimiento realizado por los investigadores, incluso si nunca se divulgó públicamente, parece confirmar el hecho de que la popular red de anonimato se ve afectada por serios defectos que podrían ser explotados por los atacantes para rastrear a los usuarios.

Uno de los creadores del proyecto Tor, Roger Dingledine, al hablar sobre el descubrimiento anunciado por los dos investigadores, admitió que el Proyecto Tor había mostrado “informalmente” algunos de los materiales que habrían sido presentados por los dos investigadores.

“En respuesta a nuestras preguntas, nos mostraron informalmente algunos materiales. Nunca recibimos diapositivas ni ninguna descripción de lo que se presentaría en la charla misma más allá de lo que estaba disponible en la página web de BlackHat .

“Creo que tengo una idea de lo que hicieron y cómo solucionarlo. Hemos estado tratando de encontrar formas delicadas de explicar que creemos que sabemos lo que hicieron, pero también habría sido más fácil si hubieran optado por contarnos todo. La razón principal para tratar de ser delicado es que no quiero disuadir a los futuros investigadores de que nos cuenten cosas interesantes que encuentren. Actualmente estoy esperando que respondan su correo para poder continuar … De acuerdo con nuestros planes actuales, publicaremos una solución que los relés pueden aplicar para cerrar el error particular que encontraron. El error es un error agradable, pero no es el fin del mundo ” , agregó.

Las palabras de Dingledine confirman que hay un defecto en la arquitectura Tor que los dos científicos probablemente explotaron. Esto significa que el software puede haber sido comprometido en el pasado por las agencias de inteligencia.

Ataques en curso

Como discutimos en el párrafo anterior, las fuerzas del orden, las agencias de inteligencia y las personas están interesadas en anonimizar a los usuarios de Tor para diversos fines. Ahora es el momento de analizar un ataque real en curso, explicando el modus operandi de los atacantes.

El 30 de julio, los miembros del proyecto Tor publicaron en el sitio web oficial a para revelar que a principios de mes, el 4 de julio

th

En 2014, un grupo de retransmisores fue blanco de un ataque cibernético realizado con el objetivo de anonimizar a los usuarios. Los expertos en el Proyecto Tor notaron que los malos actores apuntaban a los relevos para rastrear a los usuarios que acceden a las redes Tor o acceden a los servicios ocultos de Tor.

“Parece que han estado apuntando a personas que operan o acceden a Tor ocultos
servicios. El ataque implicó modificar los encabezados del protocolo Tor para realizar ataques de confirmación de tráfico .

“El ataque de confirmación particular que usaron fue un ataque activo en el que el relé en un extremo inyecta una señal en los encabezados del protocolo Tor, y luego el relé en el otro extremo lee la señal. Estos relés de ataque eran lo suficientemente estables como para obtener el HSDir (“adecuado para el directorio de servicio oculto”) y Guard (“adecuado para ser un guardia de entrada”). Luego inyectaron la señal cada vez que se usaron como un directorio de servicio oculto, y buscaron una señal inyectada cada vez que se usaron como guardia de entrada.

La técnica es simple como eficiente. El ataque es posible cuando el atacante controla u observa los relés en ambos extremos de un circuito Tor y luego compara la temporización del tráfico, el volumen u otras características para concluir que los dos relés son parte del mismo circuito, que dirige la información desde el origen hasta el destino .

En el caso del primer relé en el circuito (“protección de entrada”), conoce la dirección IP del usuario, y el último relé en el circuito (“nodos de salida”) conoce el recurso o destino al que está accediendo el usuario. Entonces el atacante puede anonimizar a los usuarios de Tor.

Los atacantes estaban aprovechando una falla crítica en la arquitectura Tor para modificar los encabezados del protocolo con el fin de realizar un ataque de confirmación de tráfico e inyectar un código especial en el encabezado del protocolo utilizado por los atacantes para comparar ciertas métricas de los relés para desanonizar a los usuarios.

115 relés maliciosos rápidos sin salida (6.4% de toda la red Tor) estuvieron involucrados en el ataque. Los servidores estaban monitoreando activamente los relés en ambos extremos de un circuito Tor en un esfuerzo por anonimizar a los usuarios. Los relés maliciosos ejecutaban la versión Tor 50.7.0.0/16 o 204.45.0.0/16 y los malos actores los usaban para tratar de anonimizar a los usuarios Tor que visitan y ejecutan los llamados servicios ocultos. Los relés maliciosos se unieron a la red Tor el 30 de enero

th

, 2014 y los expertos de Tor Project los eliminaron de la red el 4 de julio de 2014.

Los miembros del equipo del proyecto Tor también aconsejaron a los operadores de servicios ocultos que cambiaran la ubicación de su servicio oculto.

“Si bien no sabemos cuándo comenzaron a atacar, los usuarios que operaron o accedieron a servicios ocultos desde principios de febrero hasta el 4 de julio deberían asumir que se vieron afectados”, dijo Tor.

Cuando los usuarios acceden a la red Tor con el software Tor, su dirección IP no es visible y aparece en Internet como la dirección IP de un Tor, que puede estar en cualquier lugar.

Los malos actores que ejecutaban el ataque de confirmación buscaban usuarios que buscaran descriptores de servicios ocultos. Esto significa que los atacantes no pudieron ver las páginas cargadas por los usuarios, ni si los usuarios visitaron el servicio oculto que buscaron.

“El ataque probablemente también trató de saber quién publicó descriptores de servicios ocultos, lo que permitiría a los atacantes conocer la ubicación de ese servicio oculto. En teoría, el ataque también podría usarse para vincular a los usuarios con sus destinos en los circuitos Tor normales, pero no encontramos evidencia de que los atacantes operaran relés de salida, lo que hace que este ataque sea menos probable. Y finalmente, no sabemos cuántos datos conservaron los atacantes, y debido a la forma en que se desplegó el ataque (más detalles a continuación), sus modificaciones en el encabezado del protocolo también podrían haber ayudado a otros atacantes a desanonizar a los usuarios ”, afirma la seguridad. consultivo.

Para cerrar la falla crítica, el equipo del proyecto Tor sugiere a los operadores de retransmisión de Tor que actualicen el software Tor a una versión reciente, 0.2.4.23 o 0.2.5.6-alpha. Tor Project lanzó un para prevenir tales ataques.

Conclusiones

Las agencias de aplicación de la ley e Inteligencia están haciendo un gran esfuerzo para anonimizar la experiencia del usuario en la red Tor, para desalentar el uso de redes anonimizadoras.

Los atacantes pueden seguir dos direcciones:

  • Intente romper el cifrado utilizado para anonimizar el tráfico.
  • Intente explotar las fallas en uno de los numerosos componentes presentes en la arquitectura de anonimato.

Como lo demuestran los recientes ataques a software de anonimato como Tails Live Distribution, probablemente la segunda opción sea la más adecuada. La presencia de una falla desconocida en uno de estos componentes podría permitir un compromiso de toda la arquitectura.

Los atacantes lo saben y están concentrando todo su esfuerzo para descubrir tales fallas … pero si usted es un investigador, no olvide que todos los días las redes anonimizadoras permiten a muchas personas evitar la censura y el monitoreo operado por regímenes autoritarios.

  • Sesión II:

Introducción

En una publicación anterior, presenté los utilizados para hackear redes Tor y anonimizar a los usuarios de Tor. Las agencias de aplicación de la ley y de inteligencia consideran que la “anonimización” de los usuarios de Tor es un objetivo principal.

Las autoridades pueden tratar de implementar técnicas para romper el cifrado utilizado para anonimizar el tráfico o explotar vulnerabilidades en uno de los módulos de software que permite anonimizar la experiencia en línea del usuario.

También hay otra opción para las autoridades: tratar de destruir en secreto la arquitectura general de Tor o atacar los servicios ocultos para interferir con el tráfico que fluye hacia ellos.

Operación Onymous

Desde la publicación de la última publicación, las autoridades dieron un golpe a los cibercriminales que utilizan la red Tor para fines ilegales. La policía y las agencias de inteligencia en un esfuerzo conjunto llevaron a cabo el derribo de varios mercados ilegales como parte de la Operación Onymous. Coordinado por (EC3), golpeó a la organización criminal que explotó la red Tor para administrar los mercados negros. La operación se considera un éxito importante en la lucha contra el delito cibernético, pero muchos expertos han comenzado a cuestionar cómo la policía pudo localizar los servidores que alojan los servicios ocultos y los operadores que realizaron las actividades ilegales. Los desarrolladores del Proyecto Tor publicaron una interesante publicación en el blog titulada “”, en la que explicaron las posibles técnicas adoptadas por las autoridades para localizar los servicios ocultos y anonimizar a los operadores que administraban los mercados negros más populares, incluida Silk Road 2.0.

“En los últimos días, recibimos y leímos informes que decían que varios relevos de Tor fueron confiscados por funcionarios del gobierno. No sabemos por qué se incautaron los sistemas, ni sabemos nada acerca de los métodos de investigación que se utilizaron ”, afirma la publicación.

Los principales supuestos que la policía ha hecho sobre los posibles escenarios de ataque implementados por la policía son:

  • Falta de seguridad operacional de los servicios ocultos.
  • Explotación de errores en la aplicación web.
  • Desanonización de Bitcoin
  • Ataques en la red Tor

Los miembros del Proyecto Tor destacaron que la policía ha comprometido el anonimato de la ubicación de los servidores detrás de los servicios ocultos debido a la falta de una de las siguientes condiciones:

  • El servicio oculto debe estar configurado correctamente.
  • El servidor web no debe ser vulnerable: esto significa que no debe verse afectado por ningún defecto y debe configurarse correctamente.
  • La aplicación web no debería tener fallas.

Un atacante que pueda explotar una vulnerabilidad en el servidor web o en la aplicación web (por ejemplo, el sistema de comercio electrónico expuesto por los operadores para proponer productos ilegales) podría piratear fácilmente el servicio oculto objetivo.

Resumiendo, para anonimizar a los usuarios de Tor es posible comprometer un servidor mal configurado o la aplicación web que expone, y no hay necesidad de buscar y explotar una supuesta vulnerabilidad en la arquitectura Tor.

Al explotar una vulnerabilidad en una aplicación de terceros utilizada por un mercado oscuro, es posible instalar una puerta trasera en el servidor, revelando su ubicación y las identidades de sus operadores.

Otra posibilidad para la aplicación de la ley es infectar la máquina de uno de los supuestos administradores con un spyware. La computadora podría ser localizada a través de investigaciones ordinarias.

Ataque de análisis de tráfico basado en NetFlow

Exactamente una semana después de la divulgación de la Operación Onymous, un grupo de investigadores presentó los resultados de un estudio realizado entre 2008 y 2014 sobre la anonimización de los usuarios de Tor. Los investigadores analizaron la posibilidad de identificar a los usuarios de Tor y revelar sus direcciones IP de origen; Afirmaron haber obtenido una tasa de éxito del 100% de “desbloqueo” en condiciones de laboratorio. El grupo dirigido por el profesor, que ahora investiga el anonimato y la privacidad de la red en el Instituto Indraprastha de Tecnología de la Información en Delhi, ha publicado varios artículos sobre el tema en los últimos años.

El estudio reveló que más del 81 por ciento de los clientes de Tor pueden ser anonimizados al explotar la tecnología diseñada por Cisco para sus dispositivos de red.

NetFlow fue introducido por el gigante de TI en sus enrutadores para implementar un instrumento para recoger el tráfico de la red IP cuando entra o sale de una interfaz. Es un instrumento valioso para analizar el tráfico de red administrado por el enrutador e identificar las causas de la congestión. El protocolo está muy extendido y muchos expertos lo consideran como un estándar de facto. En realidad, se ejecuta de manera predeterminada en el hardware de muchos otros fabricantes de dispositivos de red.

La propuesta de Chakravarty y su equipo implementa un análisis de tráfico activo basado en la introducción de perturbaciones de tráfico específicas en el lado del servidor. Los investigadores pueden anonimizar a los usuarios de Tor al evaluar el efecto de una perturbación similar en el lado del cliente a través de la correlación estadística.

En un estudio anterior, Chakravarty demostró que un atacante puede monitorear un porcentaje significativo de las rutas de red desde los nodos Tor a los servidores de destino al tener acceso a algunos puntos de intercambio de Internet. El control de algunos puntos de intercambio de Internet permite el monitoreo de un porcentaje significativo de las rutas de red desde los nodos Tor hasta los servidores de destino. Esto significa que un atacante poderoso y persistente puede ejecutar ataques de análisis de tráfico observando patrones de tráfico similares en varios puntos de la red.

El último estudio realizado por el equipo de investigadores reveló cómo ejecutar un ataque de análisis de tráfico efectivo con menos capacidades de monitoreo de tráfico, como NetFlow de Cisco, y ejecutar un ataque de análisis de tráfico a gran escala.

La investigación previa, de hecho, sugirió un esfuerzo significativo para anonimizar a los usuarios a gran escala. Los expertos consideran que las técnicas anteriores requerían un esfuerzo sostenible solo por un gobierno o una agencia de inteligencia. El investigador explicó que un solo AS (Sistema Autónomo) podría monitorear más del 39 por ciento de los circuitos Tor generados aleatoriamente.

Un ataque de análisis de tráfico elaborado en el último estudio no requiere el enorme esfuerzo de infraestructura como lo hacen las técnicas anteriores, pero explota uno o más relés Tor de alto ancho de banda y alto rendimiento. El equipo utilizó un servidor Tor público modificado, alojado en ese momento en la Universidad de Columbia, que se ejecutaba en Linux para sus pruebas.

Figura 1 – Análisis de tráfico basado en NetFlow

El grupo de expertos simuló la actividad de Internet de un usuario típico de Tor: inyectaron un patrón de tráfico repetitivo (es decir, archivos HTML) en la conexión TCP que vieron originarse en el nodo de salida de destino, y luego analizaron el tráfico en el nodo de salida, como derivado de los registros de flujo del enrutador, para mejorar la identificación del cliente.

Figura 2 – Ataque de análisis de tráfico

En la primera fase, los investigadores realizaron pruebas específicas en un entorno de laboratorio con resultados sorprendentes. En la segunda fase, el equipo comenzó las sesiones en vivo usando el tráfico real de Tor. El equipo analizó el tráfico obtenido de su relé público Tor que sirvió cientos de circuitos Tor simultáneamente.

Las víctimas seleccionadas fueron alojadas en tres ubicaciones diferentes en la red de investigación global que apoya el desarrollo de nuevos servicios de red. Los lugares elegidos fueron Texas (EE. UU.), Lovaina (Bélgica) y Corfú (Grecia).

Los clientes víctimas descargaron un archivo grande del servidor que introdujo deliberadamente perturbaciones en el tráfico de la conexión TCP que llega, inyectando deliberadamente un patrón de tráfico en el flujo entre el servidor y el nodo de salida.

“El proceso se terminó después de un corto tiempo y calculamos la correlación entre los bytes transferidos entre el servidor y la conexión recientemente terminada desde el nodo de salida y el nodo de entrada y los varios clientes que lo usaron, durante este intervalo”, indica el documento .

Las sesiones de prueba se organizaron en dos fases basadas en la fuente de datos analizados: una primera sesión para evaluar la efectividad al recuperar datos de paquetes NetFlow de código abierto, y una segunda parte basada en datos dispersos obtenidos de un enrutador Cisco institucional al que accede el grupo de investigadores

Figura 3 – Resultados de la prueba para el Análisis de tráfico basado en NetFlow

“Presentamos un método de análisis de tráfico activo basado en perturbar deliberadamente las características del tráfico del usuario en el lado del servidor y observar una perturbación similar en el lado del cliente a través de la correlación estadística. Evaluamos la precisión de nuestro método utilizando pruebas en laboratorio, así como datos recopilados de un relé público Tor que sirve a cientos de usuarios. Nuestro método reveló las fuentes reales de tráfico anónimo con una precisión del 100% para las pruebas en el laboratorio, y logró una precisión general de aproximadamente el 81.4% para los experimentos del mundo real, con una tasa promedio de falsos positivos de 6.4 ”, afirma el documento.

El método elaborado por los investigadores obtuvo excelentes resultados: los investigadores pudieron anonimizar el tráfico con una precisión del 100% con pruebas en el laboratorio y alcanzaron una precisión de aproximadamente el 81 por ciento para las sesiones en vivo.

Muchos expertos especulan que lo reciente, que permitió la captura de varios, pudo haber explotado un ataque de análisis de tráfico contra la red Tor para identificar a los operadores de los mercados negros.

Des-anonimizar a los usuarios de Tor de sus transacciones de Bitcoin

Si bien la mayoría de los usuarios de Bitcoin considera que Bitcoin es uno de los sistemas más seguros para pagar en línea sin ser rastreado por la policía, los miembros de Tor Project advirtieron sobre la posibilidad de que la reciente Operación Onymous explotara Bitcoin para identificar a los operadores detrás de los mercados negros incautados .

En efecto, es posible anonimizar a los clientes en una red P2P de Bitcoin, como lo demostró un equipo de investigadores que trabajan en la Universidad de Luxemburgo.

Los investigadores Alex Biryukov, Dmitry Khovratovich e Ivan Pustogarov publicaron un artículo titulado “” para explicar cómo explotar una falla incorporada en la arquitectura de Bitcoin para revelar la dirección IP de un cliente que realiza un pago con la moneda virtual.

El ataque consiste en generar un ‘mensaje con formato incorrecto’, fingiendo que había sido enviado por el usuario a través de la red peer-to-peer de Bitcoin. Estos mensajes con formato incorrecto provocan un aumento en el puntaje de penalización de la dirección IP, y si los mensajes falsos exceden 100, la IP podría ser prohibida por 24 horas.

El mecanismo se implementa como una protección DoS y podría abusarse para separar Tor de Bitcoin.

Los atacantes obligan a los servidores de Bitcoin a rechazar conexiones a través de Tor y otros servicios de anonimato. Esto da como resultado que los clientes usen sus direcciones IP reales cuando se conectan a otros pares y, por lo tanto, se exponen a la fase principal del ataque, que correlaciona los seudónimos con las direcciones IP. En este punto, cada vez que el cliente de un usuario se conecta al servidor de Bitcoin, se revelará su dirección.

Reanudando, si un cliente de Bitcoin está representando su conexión a través de un relé Tor y envía mensajes con formato incorrecto, la dirección IP de este relé será prohibida después de un número específico de mensajes, y el cliente Bitcoin continuará trabajando con su dirección IP original.

Esta técnica permite aislar a cualquier cliente objetivo de toda la red Tor, si el atacante puede forzar la separación de los clientes de Bitcoin de toda la red Tor enviando mensajes malformados a cada servidor Tor.

“Para el momento de escribir, había 1008 nodos de salida Tor. Por lo tanto, el ataque requiere establecer 1008 conexiones y enviar unos pocos MBytes de datos. Esto se puede repetir para todos los servidores de Bitcoin, lo que prohíbe todas las conexiones Tor durante 24 horas al costo de un millón de conexiones y menos de 1 GByte de tráfico. En caso de que una dirección IP de un nodo específico de Bitcoin pueda ser falsificada, también puede ser prohibida ”, señala el documento.

“Una vez que el hacker conoce esta dirección, puede engañar al servidor de Bitcoin para que revele la dirección IP del usuario”, indica la publicación.

Los investigadores describieron su técnica con las siguientes afirmaciones:

“La idea crucial de nuestro ataque es identificar a cada cliente por un octeto de conexiones salientes que establece. Este octeto de pares de Bitcoin [nodos de entrada] sirve como un identificador único de un cliente durante toda la sesión de un usuario y diferenciará incluso a aquellos usuarios que comparten la misma dirección IP NAT.

“Tan pronto como el atacante recibe la transacción de solo dos o tres nodos de entrada, puede vincular la transacción a un cliente específico con una probabilidad muy alta”.

Los investigadores explicaron en el documento que el anonimato en el esquema de moneda virtual de Bitcoin es débil. Muchas características podrían explotarse para ejecutar un ataque cibernético en la moneda criptográfica y revelar la identidad de un usuario.

Figura 4 – Goteo de mensajes ADDR

El uso de Tor podría aumentar el nivel de anonimato, pero un hacker siempre puede rastrear a los usuarios desde sus pagos de Bitcoin.

“Demostramos que el uso de Tor no descarta el ataque, ya que las conexiones de Tor pueden estar prohibidas para toda la red. Muestra que el nivel de anonimato de red proporcionado por Bitcoin es bastante bajo. Varias características del protocolo Bitcoin hacen posible el ataque. En particular, enfatizamos que el conjunto estable de solo ocho nodos de entrada es demasiado pequeño, ya que la mayoría de las conexiones de estos nodos pueden ser capturadas por un atacante ”, afirma el documento.

Otro problema relacionado con el anonimato de Bitcoin es que la falta de un sistema de autenticación robusto en la moneda virtual hace que sea fácil para un atacante hacer que los nodos incluyan en la lista negra las direcciones IP de conexiones aparentemente mal comportadas.

“Descubrimos que los mensajes muy cortos pueden causar una prohibición de IP por día, que se puede usar para separar un nodo determinado o toda la red de los servicios de anonimato, como servidores proxy o Tor. Si la comunidad de Bitcoin desea usar Tor, esta parte del protocolo debe reconsiderarse “.

Los expertos de Tor Project especularon que una técnica similar podría haber sido explotada por las fuerzas del orden público en la reciente red Tor, lo que permitiría a las autoridades perseguir a sus operadores.

Mary-Ann Russon en el International Business Times informa que, según explicaron los investigadores, un pirata informático podría anonimizar a un usuario de Bitcoin de sus transacciones a través de Tor por € 1,500.

No solo la anonimización … la incautación de las autoridades del directorio

Hasta ahora hemos discutido la posibilidad de revelar las direcciones IP de los usuarios de Tor, sin embargo, también existe la posibilidad de comprometer toda la arquitectura, apuntando a componentes críticos como las autoridades de directorio.

La red Tor se basa en nueve autoridades de directorio ubicadas en Europa y Estados Unidos, que proporcionan una lista firmada de todos los relés de la red Tor. Los expertos de Tor Project destacaron que un ataque a estos servidores puede “incapacitar” la arquitectura general de Tor.

“El Proyecto Tor ha aprendido que puede haber un intento de incapacitar nuestra red en los próximos días a través de la captura de servidores especializados en la red llamados autoridades de directorio”, explicó el líder del Proyecto Tor, Roger Dingledine.

“Estamos tomando medidas ahora para garantizar la seguridad de nuestros usuarios, y nuestro sistema ya está diseñado para ser redundante para que los usuarios mantengan el anonimato incluso si se ataca la red. Tor sigue siendo seguro de usar … Esperamos que este ataque no ocurra; Tor es utilizado por muchas personas buenas “.

La captura de las autoridades del directorio podría tener el objetivo principal de sabotear toda la red Tor, pero no sería efectivo revelar las identidades de sus usuarios. Un atacante, al tomar al menos cinco de las autoridades de directorio que pertenecen a la red Tor, podría obligar a los clientes Tor a conectar otros relés.

Este tipo de ataque solo podría ser realizado por un actor que esté interesado en desmantelar la red Tor. Los expertos especulan que la policía podría ejecutar operaciones encubiertas para bloquear la infraestructura y obstaculizar a los equipos criminales que explotan el sistema de anonimato.

Esto podría ser un problema grave. No olvide que la red Tor proporciona una red segura de vigilancia y censura para millones de personas que viven en regímenes represivos.

“Toda persona tiene derecho a la privacidad. Este derecho es la base de una sociedad democrática “.

Referencias

Posibles intentos futuros de deshabilitar la red Tor

La incautación de las autoridades del directorio podría bloquear la red Tor

Anonimato de Bitcoin: ¿Hay una manera para que los hackers descubran su dirección IP?

(Pégalo porque es realmente perfecto, con un gran análisis y abstracción) espero que te ayude.

Buena suerte.

Related Content

¿Qué navegador es mejor para la navegación anónima de Internet, Tor u Opera?

¿Cuál es una buena manera de comenzar a usar Tor?

¿Es seguro usar TOR en VM instalada en su propio sistema?

¿Qué tipo de sistema sucederá a TOR?

¿Se pueden usar videos HTML5 para comprometer el anonimato en Tor?

More Interesting

¿Es seguro Tor para compartir propaganda?

¿Es suficiente usar el navegador Tor para navegar por la Web profunda o es necesario un motor de búsqueda especial como TorSearch?

¿Por qué mi contenido, etc., no aparece cuando inicio sesión con el navegador Tor?

¿Es posible que el clusterfuck de Snowden sea una artimaña internacional diseñada para derribar la Red Tor?

¿Están relacionados el navegador Tor y Firefox? Son similares de alguna manera.

¿Existe una lista compilada de los mercados de Tor / Bitcoin que se han cerrado con descripciones de cómo se encontraron?

¿Se puede seguir uno usando el sistema operativo Tails, con circuitos de cebolla y un navegador Tor encima?

Si un día inicié sesión en Facebook usando Tor, ¿se ve comprometida mi privacidad de ahora en adelante?

¿El uso del navegador TOR evita el rastreo de paquetes?

¿Puede un hacker (como el NSA) lanzar muchos nodos Tor para que puedan romperlo?

¿Cómo se creó el navegador Tor y cómo funciona como navegador privado?

¿Podría ser efectivo usar tor / tails para votar en línea?

Cómo volverse completamente anónimo en línea en 2017

¿Mi ISP sabrá si uso Tor?

¿Por qué el navegador Tor es muy lento para responder? ¿Hay alguna forma de acelerarlo?