El archivo de prueba de Boystown contiene evidencia de un análisis de tiempo que puede usarse para desanonimizar a los usuarios de Tor. No hay remedio a la vista.
Según los expedientes de la investigación, el análisis del tráfico de datos jugó un papel importante a la hora de desanonimizar al operador de la plataforma de pedo darknet Boystown. Así lo informa la revista política Panorama. Los investigadores no aprovecharon un fallo de seguridad en el servicio de anonimización Tor, sino conexiones temporales para poder rastrear la ruta de los datos a través de la red Tor hasta el destinatario.
Para mantener el anonimato de los usuarios del navegador Tor, la conexión se cifra al menos tres veces y se enruta a través de Internet a través de tres servidores diferentes antes de llegar a su destino. Al principio se encuentra el llamado Nodo de Entrada, también llamado Entry Guard, al que el navegador Tor se conecta cifrado de extremo a extremo. Sólo este nodo conoce la verdadera dirección IP del usuario.
Desde el nodo de entrada, el navegador Tor establece una conexión cifrada de extremo a extremo con otro nodo Tor, el llamado nodo intermedio. El nodo intermedio solo conoce la dirección IP del nodo de entrada, por lo que no sabe qué usuario está detrás de él. El nodo de entrada, a su vez, no sabe qué están discutiendo el usuario de Tor y el nodo intermedio, porque solo ve la comunicación cifrada entre el usuario de Tor y el nodo intermedio.
El navegador Tor contacta al menos con otro nodo, el nodo de salida, a través del nodo intermedio. Sin embargo, el nodo intermedio no puede leer los datos porque la conexión entre el usuario de Tor y el nodo de salida también está cifrada de extremo a extremo. El nodo de salida, a su vez, no sabe dónde está el usuario porque sólo conoce la dirección IP del nodo intermedio. Sólo el nodo de salida establece la conexión (con suerte cifrada mediante HTTPS) con el sitio web de destino. Si el objetivo es uno de los llamados servicios ocultos de la Darknet, los datos se enrutan a través de tres nodos Tor adicionales y se cifran cada vez.
Al conectarse en cascada al menos tres veces, el nodo de entrada conoce al usuario, pero no tiene idea de para qué está usando la red Tor. El nodo intermedio es esencialmente el que menos idea tiene; no conoce el origen de los paquetes de datos ni el destino ni el propósito; es simplemente un intermediario entre los nodos de entrada y salida; El nodo de salida, por otro lado, sabe hacia dónde fluyen los datos, pero no tiene idea de quién es el originador.
Además, el navegador Tor reemplaza los nodos intermedio y de salida como máximo después de diez minutos, para que las conexiones no puedan rastrearse durante un período de tiempo más largo. Esto hace que sea muy difícil para los investigadores descubrir la identidad de los usuarios de Tor.
Flujo de datos de un vistazo
Con el llamado análisis de correlación, también conocido como análisis de tiempo, las autoridades aprovechan el hecho de que Tor es una red de baja latencia: los datos se transmiten en tiempo real, si es posible. El retraso suele ser tan pequeño que incluso puedes realizar transmisiones en vivo y chats en vivo a través de Tor. Por ejemplo, si un usuario de Tor comienza a descargar un archivo grande, un investigador que observe el tráfico del nodo de salida podría ver un aumento correspondiente en el volumen de paquetes. Debido a la baja latencia, el tráfico saliente a un servidor específico aumenta al mismo tiempo: el nodo intermedio quedaría expuesto sin que las autoridades pudieran acceder al nodo de salida o descifrar los datos.
También se podría observar un aumento en el tráfico entrante y saliente en el nodo medio en el mismo contexto temporal y, por lo tanto, se podría determinar el nodo de entrada. Y en la siguiente etapa, anonimice usted mismo al usuario si logra observar el nodo de entrada. Con alrededor de 8.000 nodos Tor en todo el mundo, parece difícil monitorear un número relevante de conexiones temporales de este tipo.
En comparación con los chats en vivo y la mensajería instantánea, Tor es particularmente vulnerable debido a sus bajas latencias: un mensaje se transmite instantáneamente desde el remitente a través del nodo Tor al destinatario. Según Panorama, esto es exactamente lo que supuestamente aprovecharon las autoridades en el caso Boystown al comunicarse con el presunto operador a través del software de chat Ricochet, que cifra los datos y los transmite de forma anónima a través de la red Tor.
Dado que los investigadores, como creadores, sabían exactamente cuándo enviaban un nuevo mensaje, fue suficiente monitorear unos cientos de nodos Tor para detectar simultáneamente paquetes de datos entrantes de tamaño similar, probablemente porque las autoridades alquilaron un número correspondiente de rápidos y bien equipados. -Servidores conectados y utilizándolos como nodos Tor Put en la red. Dado que el navegador Tor cambia los nodos de salida y medio cada pocos minutos y favorece los nodos de baja latencia y alto ancho de banda, era sólo cuestión de tiempo antes de que su interlocutor Ricochet usara el nodo Tor de los investigadores como nodo medio. De esta manera podría determinar el nodo de entrada.
Para obtener la dirección IP del sospechoso, habrían tenido que redirigirlo a uno de los nodos de entrada de los investigadores o monitorear o tomar control del nodo que estaba usando. Debido a ataques anteriores en los que los usuarios de Tor cambiaron rápidamente los nodos de entrada a nodos controlados por los atacantes y luego quedaron expuestos, el navegador Tor ahora usa el mismo nodo de entrada durante varios días a varias semanas, razón por la cual ahora se lo conoce como Entry Guard. . Podrían pasar meses hasta que el sospechoso del caso Boystown sea transferido a un guardia de entrada controlado por las autoridades.
Direcciones IP monitoreadas
Todavía no está claro dónde, pero los investigadores aparentemente sabían que el sospechoso utilizaba O 2 como proveedor de Internet. Por eso eligieron un enfoque diferente: basándose en el análisis de correlación del nodo central, ya habían descubierto la dirección IP del guardia de entrada y podían esperar que el sospechoso continuara usándola en los próximos días y semanas. Entonces, la próxima vez que el sospechoso de Ricochet esté en línea, todo lo que tuvieron que hacer fue pedirle a Telefónica las direcciones de todos los clientes de O 2 que estaban actualmente conectados a este mismo Entry Guard. El resultado puede haber sido una lista bastante corta.
Esto está lejos de ser una prueba de que una de las personas sea el operador de Boystown. Sin embargo, limitarlo a unas pocas personas permite a las autoridades concentrar sus investigaciones. El contacto con el guardia de entrada o el momento de los paquetes de datos son, en el mejor de los casos, una pequeña indicación. La captura del perpetrador sigue siendo un trabajo policial clásico: el análisis de correlación sólo ayudó a descartar a unos pocos sospechosos entre los miles de usuarios de Tor en todo el mundo.
El método de análisis de correlación se conoce desde hace mucho tiempo; se dice que jugó un papel en la incautación del Darknet Forum Germany en la Deep Web (DiDW) en 2017. En aquella época, cada día se producían fallos de conexión de servicios ocultos reveladores, que resultaban ser desconexiones forzadas DSL del acceso a Internet del operador . c’t tampoco informó en detalle en el número 22/2017 sobre el método y el papel crucial que desempeña el nodo intermedio en los ataques de correlación.
Difícil encontrar una solución rápida
Será difícil hacer que la red Tor sea más robusta contra este tipo de ataques de correlación. Si hubiera múltiplos de los 8.000 nodos Tor actuales, los atacantes e investigadores necesitarían muchos más servidores para ser seleccionados por el sospechoso con suficiente probabilidad. Sin embargo, el mayor problema en el análisis de tiempos es la baja latencia, lo que hace que la red Tor sea atractiva para los usuarios. De esta manera, los nodos podrían recopilar paquetes de datos, comprimirlos o enmascararlos con datos aleatorios adicionales, de modo que no todos los paquetes de datos entrantes sean inmediatamente reconocibles como paquetes salientes de casi el mismo tamaño.
Los usuarios de Tor deben asegurarse de utilizar la menor cantidad posible de aplicaciones en tiempo real, ya que son particularmente susceptibles al análisis de correlación. No existe una protección general porque incluso un servicio oculto comprometido podría dividir imágenes y otros datos en paquetes de tamaños muy específicos o enviarlos en intervalos de tiempo específicos, generando así una señal característica que los investigadores pueden rastrear fácilmente a través de la web oscura.
A largo plazo, el proyecto Tor tendrá que pensar en una solución. Los investigadores estatales no siempre buscan encontrar delincuentes pedófilos. En algunos países, son los políticos de la oposición, los disidentes o simplemente las personas que piensan diferente los que son perseguidos en la red oscura y, en el peor de los casos, pagan con su vida un anonimato inadecuado.
