El servicio de anonimato Tor y la herramienta anticensura han sido atacados por dos amenazas en las últimas semanas: el gobierno ruso ha bloqueado la mayoría de los nodos Tor en ese país y cientos de servidores maliciosos han estado transmitiendo tráfico.
El Servicio Federal de Rusia para la Supervisión de las Comunicaciones, la Tecnología de la Información y los Medios de Comunicación, conocido como Roskomnadzor, comenzó bloqueando Tor en el país el martes. El movimiento dejó a los usuarios de Tor en Rusia:dijo por los líderes del Proyecto Tor a unos 300.000, o aproximadamente o el 15 por ciento de los usuarios de Tor, luchando por en contrar formas de ver los sitios ya bloqueados y proteger sus hábitos de navegación de los investigadores del gobierno.
“Contenido ilegal”
Tor Project managers el martes por la mañana dijo algunos ISP en Rusia comenzaron a bloquear los nodos de Tor el 1 de diciembre y Roskomnadzor había amenazado con bloquear el sitio principal de Tor. Unas horas más tarde, el organismo gubernamental ruso hecho bien sobre esas amenazas.
“El motivo fue la difusión de información en el sitio que garantiza el trabajo de los servicios que brindan acceso a contenido ilegal”, Roskomnadzor dijo al servicio de noticias AFP el miércoles para explicar la decisión. “Hoy, el acceso al recurso ha sido restringido”. El organismo de censura ha bloqueado previamente el acceso a muchas VPN que habían operado en el país.
Los gerentes de Tor han respondido creando un sitio espejo que todavía es accesible en Rusia. Los gerentes también están pidiendo voluntarios para crear Puentes Tor, que son nodos privados que permiten a las personas eludir la censura. Los puentes utilizan un sistema de transporte conocido como obfs4, que oculta el tráfico para que no parezca relacionado con Tor. Hasta el mes pasado, había unos 900 puentes de este tipo.
Muchos puentes predeterminados dentro de Rusia ya no funcionan, dijo Tor. “¡Hacemos un llamado a todos para que hagan girar un puente Tor!” escribieron los líderes del proyecto. “Si alguna vez ha considerado ejecutar un puente, ahora es un excelente momento para comenzar, ya que se necesita su ayuda con urgencia”.
Ataque de Sybil
Mientras tanto, el martes, el sitio de noticias de seguridad The Record informó sobre los hallazgos de un investigador de seguridad y operador del nodo Tor que una sola entidad anónima había estado ejecutando una gran cantidad de retransmisores Tor maliciosos. En su punto máximo, los relés llegaron a 900. Eso puede ser hasta el 10 por ciento de todos los nodos.
El anonimato de Tor funciona enrutando el tráfico a través de tres nodos separados. El primero conoce la dirección IP del usuario y el tercero sabe a dónde se destina el tráfico. El medio funciona como una especie de intermediario confiable para que los nodos uno y tres no se conozcan entre sí. La ejecución de una gran cantidad de servidores tiene el potencial de romper esas garantías de anonimato, dijo Matt Green, experto en cifrado y privacidad de la Universidad Johns Hopkins.
“Mientras esos tres nodos no estén trabajando juntos y compartiendo información, Tor puede funcionar normalmente”, dijo. “Esto se estropea cuando tienes a una persona pretendiendo ser un montón de nodos. Todo [the attackers] tiene que estar en el primer salto o en el tercer salto “. Dijo que cuando una sola entidad opera el primer y tercer nodos, es fácil inferir la información que se supone que está ofuscada usando el nodo del medio.
Tales técnicas a menudo se conocen como ataques Sybil, nombrados por el personaje titular de un Miniserie de televisión de 1970 que sufría de trastorno de identidad disociativo y tenía 16 personalidades distintas. Los ataques de Sybil son una técnica de suplantación que involucra a una sola entidad que se hace pasar por un conjunto de nodos al reclamar identidades falsas o generar nuevas identidades.
Citando a un investigador conocido como Nusenu, The Record dijo que en un momento dado, había un 16 por ciento de posibilidades de que un usuario ingresara a la red Tor a través de uno de los servidores maliciosos. Mientras tanto, también había un 35 por ciento de posibilidades de pasar por uno de los servidores intermedios maliciosos y un 5 por ciento de posibilidades de salir por uno de los servidores.
“Una cosa muy gubernamental para hacer”
Nusenu dijo que los relés maliciosos se remontan a 2017 y, a lo largo de los años, la persona responsable ha agregado regularmente una gran cantidad de ellos. Normalmente, la persona desconocida ha operado hasta cientos de servidores en un momento dado. Los servidores suelen estar alojados en centros de datos ubicados en todo el mundo y en su mayoría se configuran como puntos intermedios y de entrada.
Los líderes del Proyecto Tor le dijeron a The Record que Tor eliminó los nodos tan pronto como se enteró de ellos.
El investigador dijo que una variedad de factores sugiere que los nodos son obra de un atacante con buenos recursos respaldado por un estado-nación. Green estuvo de acuerdo y dijo que los culpables más probables serían China o Rusia.
“Suena como algo muy gubernamental”, dijo Green. China y Rusia “no tendrían reparos en meterse activamente con Tor”.
Los usuarios de Tor pueden hacer varias cosas para minimizar el daño resultante de los nodos deshonestos. El primero es utilizar el cifrado basado en TLS para el envío de correo y la navegación de sitios web. La exploración de sitios anónimos que se encuentran dentro de la red de servicios ocultos de Tor (también conocida como la Web Oscura), a diferencia de usar Tor para conectarse a sitios y servidores habituales de Internet, no se ve afectado por la amenaza. Desafortunadamente, esta no suele ser una opción para las personas que desean acceder a sitios que han sido bloqueados por la censura.