Las dos características principales que dan soporte a la red TOR (The Onion Routing)
son el cifrado de los datos entre los nodos de la red (para garantizar
la privacidad) y el anonimato de las comunicaciones, haciendo que el
cliente no sepa en qué dirección IP se encuentra realmente el servidor y que el servidor no sepa en qué dirección IP se encuentra el cliente. Esta red es una de las que dan soporte principal a la Deep Web
y por eso ha estado bajo ataque desde su concepción. Para romper este
anonimato se han visto muchos técnicas en el pasado - algunas haciendo reconocer al proyecto que había sido roto el anonimato por completo - , como comprometer los nodos de entrada y/o salida de la red, o realizar ataques de correlación estadística de tráfico para poder localizar qué dirección IP se encuentra en cada una de las direcciones de la red TOR. Ahora, investigadores han publicado Raptor, un paper que explica cómo romper el anonimato de la red TOR controlando un Sistema Autónomo completo.
Para atacar el anonimato de la red TOR, los investigadores se plantean un escenario en el que el atacante controle un Sistema Autónomo,
lo que le da una posición relevante sobre el tráfico de la red. Al
final, cada sistema autónomo es eso, una red de gran tamaño que se
comporta de forma autónoma en cuanto a su enrutamiento interno, y
controla el encaminamiento de tráfico hacia y desde otros sistemas
autónomos por medio de protocolos de enrutamiento de frontera llamados BGP (Border Gateway Protocols).
Teniendo esta posición, los investigadores se basan en cuatro escenarios
en los que un atacante que controle el tráfico y enrutamiento de un
sistema autónomo puede romper el anonimato y conocer entre qué dos pares
se está produciendo la comunicación. En el primer de los casos,
aprovechándose de la escala y teniendo acceso al tráfico de datos que se
envía desde el cliente TOR al nodo de entrada y desde el nodo de salida al servidor publicado en la red TOR. En todo momento se trata de ver las direcciones IP de las conexiones y no el contenido de la conexión.
Figura 3: Escenario de ataque 1- Se ve el tráfico de entrada y salida de los nodos |
En un segundo escenario, los investigadores fueron capaces de romper el
anonimato de la conexión si eran capaces de acceder al tráfico de
entrada del cliente y a las respuestas TCP ACK enviadas desde el servidor web. Hay que tener en cuenta que las rutas en TOR son cambiantes en cada caso.
Figura 4: Escenario 2 - Se ve el tráfico de la conexión de entrada y las repuestas TCP ACK |
De igual forma, en un tercer escenario, desde el sistema autónomo, accediendo al tráfico de que va del nodo de salida TOR al servidor publicado y a las respuestas TCP ACK que van hacia el cliente TOR, también fueron capaces de romper el anonimato.
Figura 5: Escenario 3 - Se accede a los datos de la conexión de salida y las respuestas TCP ACK al cliente |
El último escenario se basa solo en tráfico TCP ACK, permitiendo que se pueda acceder a las direcciones IP tanto del servidor como del cliente solo correlando los mensajes de acknowledge de la comunicación TCP.
Figura 6: Escenario 4 - se accede solo al tráfico de las respuestas TCP ACK |
Para hacer este experimento utilizaron un sistema autónomo con 50 clientes TOR y 50 servidores web que publicaban un fichero de 100 MB. Correlando el tráfico, obtuvieron según sus datos, un porcentaje de éxito que osciló entre el 94% y el 96 %.
Tal y como describen en el paper, un atacante controlando un sistema
autónomo de gran tamaño podría llegar a romper el anonimato de más del 90% de las conexiones, dejando TOR bastante tocado.