25 mar. 2015

RAPTOR: TOR comprometido desde Sistemas Autónomos (AS)

En el último tiempo, TOR ha sido regularmente atacado desde distintos frentes para bajar su grado de anonimato y ahora investigadores de la universidad de Princenton descubrieron una manera de aislar usuarios en la red.
En su paper, los investigadores muestran cuatro formas de controlar el enrutamiento de un Sistema Autónomo (AS) a través de la manipulación del protocolo BGP, para eliminar el anonimato de los pares. La investigación, que los investigadores denominaron RAPTOR, difiere de los ataques anteriores contra el anonimato, la mayoría de los cuales se basan en observar el flujo de tráfico entre diferentes puntos de la red TOR.

Desde el control de un sistema autónomo, con estos cuatro escenarios un atacante podría ser capaz de reunir suficiente información para aislar a un usuario:
  • Observar el tráfico de datos desde el cliente TOR al nodo de entrada y desde el nodo de salida al servidor publicado en la red TOR;
  • Observar el tráfico desde el cliente al nodo de entrada y capturar los TCP ACKs desde;
  • Capturar el TCP ACK de un nodo hacia el cliente y el tráfico de datos desde el nodo de salida al servidor;
  • Capturar sólo el tráfico TCP ACK desde el nodo del cliente y del servidor.
Para el experimento los investigadores utilizaron 50 nodos actuando como clientes TOR y 50 como servidores web alojando un archivo de 100 MB. Luego capturaron tráfico en cada extremo durante 300 segundos y lograron obtener el número de secuencia TCP y los campos ACK. En los resultados experimentales, los investigadores dicen "haber logrado un 95% en la detección, el cual puede mejorarse con otras técnicas disponibles".

El documento señala que un atacante de nivel estatal (por ejemplo la NSA), exigiendo el análisis de tráfico BGP de un gran proveedor (por ejempo AT&T, Level3, etc.) sólo necesita capturar un número relativamente pequeño de datos para obtener hasta un 90 por ciento de las conexiones de TOR.

Los investigadores dicen que los ataques pueden ser mitigados pero la red TOR necesita supervisar el ruteo de paquetes de datos para tratar de detectar estos ataques.

Fuente: The Register

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!