Análisis de la red Tor: defectos y vulnerabilidades

16

Redes que permiten navegar de forma totalmente anónima, paraísos para los amantes de su privacidad, sean cuales sean sus motivos. Sin duda, la red Tor, relacionada directamente con la Deep Web, es la más popular de su categoría. Por supuesto, no es la única, y a la vista de los últimos acontecimientos, no es tan anónima, ni inexpugnable, como se suele creer.

Muchos expertos en seguridad coinciden en que esto es así. Silvia Barrera, Jefa del grupo de Redes de la Unidad de Investigación Tecnológica, nos contaba en una entrevista en Globb Security que “la Deep Web no es anónima, ya que siempre se dejan rastros o indicios que pueden dar pistas”. Los servicios policiales están rastreando La última investigación en este terreno viene de la mano del laboratorio de Kaspersky. Sus expertos han realizado un análisis para averiguar si realmente los usuarios de esta red pueden usarla de forma totalmente anónima o no.

Los gobiernos también están detrás de estas redes, donde se esconden y actúan los ciberdelincuentes. Es por ello que recientemente el gobierno de Estados Unidos lanzó Memex, una herramienta con la que rastrear la Deep Web. Precisamente la detención del creador de Silk Road (que operaba en Tor) hizo que saltaran las alarmas y se pusiera en duda el anonimato de esta red.

Vulnerabilidades y defectos de configuración

Los expertos de Kaspersky Lab opinan que la red cuenta con algunos problemas de configuración y vulnerabilidades que pueden provocar que los usuarios no sean tan anónimos como quisieran.

Algunos de sus problemas se encuentran en los navegadores. Por ejemplo, los documentos filtrados sobre la NSA demuestran que la agencia usa exploits para Firefox, la base sobre la que se construyó Tor. Estos exploits sin embargo tienen un ciclo de vida corto, y dependen de la versión del navegador, la propia NSA ha reconocido que el uso de las herramientas de explotación de vulnerabilidades no permiten la vigilancia permanente de los usuarios de las redes anónimas.

Un método reciente para comprometer un navegador web, según informa Kaspersky Lab, es el uso de WebRTC DLL. Esta DLL está diseñada para organizar un canal de transmisión de flujo de vídeo de apoyo a  HTML5, que se utiliza para establecer la dirección IP real de la víctima. Las peticiones del llamado STUN de WebRTC se envían en texto plano, evitando Tor y las consecuencias resultantes. Sin embargo, esta «deficiencia», también se rectificó de inmediato por los desarrolladores del navegador Tor, por lo que ahora el navegador bloquea WebRTC por defecto.

Red Tor

Otro de los puntos conflictivos son los sistemas de monitorización. Los usuarios pueden compartir sus recursos para configurar un servidor de nodo, un elemento de la red Tor que hace de intermediario en el tráfico de la información de un cliente de red. estos son el último eslabón en las operaciones de descifrado del tráfico, por lo que pueden ser un lugar por donde se filtre la información, y abrir una posibilidad de obtener información del tráfico descifrado si por ejemplo, las direcciones de los recursos son extraídas de las cabeceras HTTP.

Huellas digitales

Además de  WebRTC, HTML5 ha traído la etiqueta lienzo, diseñada para crear imágenes de mapa de bits con JavaScript, Según han analizado los expertos de Kaspersky, esta etiqueta tiene una peculiaridad: cada navegador web hace que las imágenes tengan forma diferente dependiendo de varios factores.

Los parámetros de las imágenes renderizadas pueden identificar de forma exclusiva un navegador web y el software y el hardware del entorno. En base a esto, se puede crear una huella digital. No todos sus métodos se pueden implementar en el navegador de TOR: SuperCookies no se pueden utilizar en este navegador, Flash y Java están desactivados por defecto y  el uso de la fuente está restringido. Por eso, los primeros intentos de los investigadores de crear una huella digital fueron bloqueados, pero hay algunas lagunas, con lo que las huellas digitales en TOR pueden llegar a hacerse sin notificaciones.

Conclusiones de la investigación

Los datos obtenidos hacen plantearse a los investigadores cómo podrían llegar a usarse estos conceptos para revelar la identidad de los usuarios de Tor.

El código JavaScript se puede instalar en varios objetos que participan en el tráfico de datos en el Internet profundo lo que significa que los atacantes no sólo inyectan código malicioso en sitios web legales sino que también pueden hacerlo en la Internet profunda. De este modo, un supuesto atacante podría conocer los temas de interés para un determinado usuarios a partir de esa huella digital y saber, por ejemplo, las webs en las que un usuario inicia sesión. Por el momento, no parece que los desarrolladores de TOR estén pensando en inhabilitar el código JavaScript.

Kaspersky Lab explica que su investigación, que se puede consultar íntegra en su web, se ha realizado en laboratorio, pero asegura que sus hallazgos son prometedores y ofrecen luz sobre la falta de anonimato de la red.

 

About Author

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

16 comentarios

Leave A Reply