Antes que nada, agradecer por este espacio, y a 'zolo' que me invito, y postio algunos papers mios. Que para eso es la idea, no para fama, ni hacer conocido, sino para distribuir conocimientos, e informacion. Es por lo que realmente somos 'alguien'. Asique este es mi hobbie por el momento...y lo sera siempre La Seguridad Informatica.
Este es un pequeño paper, introductorio, y relacionado a como funciona TOR realmente, si bien nos metemos un poco a fondo, no es 'la perfeccion tecnica' logicamente, pero es una gran base para entender de que va este maravilloso proyecto, y tambien algunas debilidades.
Analizando Herramienta de Anonimato: TOR. :: By ConfusedMind :: .
. :: confused.vndv.com :: .
. :: 02/07/2009 :: .
.::############################################################::.
[-] ¿Que son los Anonimizadores?.
[-] ¿Que es el proyecto TOR?.
[-] Funcionamiento de TOR: Mix Network.
[-] Caracteristicas y principios de TOR..
[-] Deteccion de Ataques en TOR *.
* (1)Monitoreando los OR del Circuito.
* (2)Obstruyendo el Ataque.
* Referencia a (3)Packet Spinning Attack by Institute of Computer Science..
.::##############################################################::.Antes de comenzar quiero comentar el porque de este paper, que se me ocurrio instantaneamente al leer en un foro, un comentario sobre proxys, TOR, y demas chucherias.
En donde un determinado usuario, comentaba que preferia realizar todo tipo de conexiones mediante su aplicacion proxy web preferida TOR. Bien yo estoy de acuerdo en que se pueden hacer grande cosas con TOR, y tener 'una privacidad' con un rango mayor al determinado o acostumbrado de los que entendemos del tema.
Inclusive escribi un paper basico, de como podriamos instalarlo y usarlo en firefox o internet explorer. Pero he leido cosas en foros que me incentivaron a escribir esto, debido a grandes ignorancias de parte de los usuarios de dichos foros. Bueno basta de quejas y veamos que tal sale este analisis antes de que me olvide. Aclarar que la parte de Ataques es algo complejo y encima que me estoy durmiendo veremos que sale
:\.
.:: ¿Que son los Anonimizadores?.Mucha gente que comprende un poco del tema, sabe muy bien que como esta la situacion en el mundo, a la hora de navegar en internet lo que menos se tiene es 'Privacidad', hay muchos usuarios que realmente no les interesa esto.. Pero otras personas que si, entonces lo que buscan son alternativas, y soluciones a la hora de navegar por internet y no ser identificados por determinados servidores, o paginas webs.
Cuando hablamos de identificacion lo fundamental y principal es el hecho de cambiar el numero IP de nuestra maquina o salida a internet. Un claro ejemplo es en los 'hackers' cuando defacean un sitio y este sitio quedan logicamente logs de lo que manipuló dicho hacker y desde que direccion se hizo. Al usar una solucion alternativa mediante un anonimizador o proxy, la direccion que quedaria registrada en ese servidor atacado seria la IP Publica del Proxy o host afectado que funciona como proxy y no la del verdadero hacker... bien. Pero este paper se va a basar en todas estas cosas pero no desde el punto de vista de un hacker, sino de una persona en general la cual quiere tener un poco de privacidad y a veces comete errores de tercerizar su informacion exponiendola a internet ante uno de estos fenomenos llamados 'proxy webs'... como un simple logeo a GMAIL por ejemplo, o facebook.com.
Una herramienta muy conocida de momento y mas que herramienta es un gran proyecto, y mis respeto hacia ellos es TOR. Y es una herramienta muy utilizada tanto en ambitos 'normales' como en ambitos 'hackers'..
.:: ¿Que es el proyecto TOR?.
Tambien conocido como The Onion Routing y creado por el Laboratorio de Investigaciones Navales de los EEUU -ONR- & TFHP.. Y actualmente es mantenido por EFF -Electronic Frontier Foundation- quien financio el proyecto...TOR lo que intenta como objetivo es proteger la informacion de los usuarios y brindarle una mayor confidencialidad.
Generalmente se acude a TOR cuando usuarios requieren privacidad, para no ser rastreados por sitios webs que visitamos, o usuarios descontentos cuando su ISP de Internet les prohibe el acceso de mensajeria u otros servicios.
Otras ideas podrian ser la de uso mediante Usuarios Protestantes, los cuales quieren realizar denuncias de empresas pertenecientes al gobierno, o quejas y no quieren exponer su identidad por miedo a amenazas.. al igual que un usuario podria usar TOR para manejar las conexiones con un Servidores Web, y subir a su pagina de forma anonima cosa que no sea rastreado y sea imposible la localizacion de su ubicacion geografica..
Sin embargo no todo es color de rosa en esta vida, y es logico que con un proyecto asi, puede llamar la atencion a usuarios con intenciones no legales, o maliciosas, desde atacar a un sitio web, defacearlo, o atacar una determinada computadora personal y asi poder ocultarse.
Tambien podria ser el hecho de ser usado por un pedofilo el cual sube fotos a internet y asi complicar mas la situacion de rastreo de esta persona. O una persona que vende droga y demas cosas ilegales o robadas, estariamos en el mismo caso. .:: Funcionamiento de TOR.El funcionamiento de TOR se basa en Mix Networks y en Proxys Anonimos.
Al hablar de Mix Networks, hablamos de un concepto muy parecido al del enrutamiento, pero nada mas que esta forma permite mayor cantidad de pcs entre una comunicacion de un emisor y un receptor. Esta comunicacion se realiza mediante 3 LLAVES PUBLICAS de la siguiente manera (pk1, pk2, pk3).
1- Supongamos que Confused le manda un mensaje a Seba, de una forma que terceros no entiendan lo que yo le mando, entre otra forma intentar mandar el mensaje 'cifrado'.
2- Yo voy a cifrar el mensaje tres veces, con pk1, pk2 y pk3, el pk deriva de Public Key, lo que significa Llave Publica.
3- Una vez el mensaje fue cifrado 3 veces, envio el mensaje, el cual va a pasar por un host(proxy), el cual remueve la primer pk1, y este lo envia al segundo host(2do proxy), luego este remueve la segunda pk2, y este envia el paquete al tercer host(3er proxy) el cual se encarga de descifrar y envia el mensaje al destinatario en este caso Seba.
Una ejemplificacion de esto seria algo asi de sencillo (no se rian por el esquema es para ser quickly):
Ahora se daran cuenta porque generalmente al navegar se toma un 'retardo' o conocido como latency con tor activado?. Al igual que si conectaramos con un proxy de la china, la conexion iria hasta china y luego a el lugar geografico donde este ubicada la web que naveguemos, lo mismo para la respuesta de la web, volveria hasta china donde esta nuestro proxy y luego hasta nosotros.
Bien, una vez comprendimos como funciona el envio de paquetes mediante este metodo veamos que son los proxys anonimos.
.:: Proxys Anonimos.Un proxy es una 'computadora' mas en la red.. o tambien conocido como 'NODO'.
Lo que hace el proxy no es mas que recibir y enviar la informacion que pasa por el a otro destino.
Como si se tratase de un intermediario o mensajero. Algo asi:
[ YO ] ---------> PROXY---->SERVIDOR DESTINO <- ENVIO DE DATOS -
[ YO ]<----PROXY<---------SERVIDOR DESTINO <- RECIBO DE DATOS -
El uso de proxys tiene puntos positivos y negativos.
El positivo puede ser que si es rapido a nivel banda ancha, estaremos 'comodos ' y 'seguros',
permite una buena porcion de trafico esto quiere decir que permite lo que se conoce como datos estaticos o dinamicos... como aclare antes mandar un mail seria un dato estatico mientras que navegar por internet debido a la informacion enviada y recibida seria 'dinamico'.
El punto negativo es que si por 'x' casualidad hackean el servidor proxy, y bueno nuestra conexion puede ser manipulada por terceros antes de incluso ser enviada al host destino, o quizas incluso la respuesta del host que pasaria por el proxy a nosotros no llegaria nunca ya que los hackers la tomarian y hasta nos realizarian tecnicas phishing por ejemplo.
Bueno..creo que ira cerrando como funciona TOR, por si todavia no se imagina, lo que hace TOR es combinar tanto el Mix Network con Proxys Anonimos.
.:: Caracteristicas y principios de TOR.Antes de explicar los posibles ataques hacia TOR, voy a explicar de una forma mas tecnica el grafico anterior del funcionamiento TOR podemos decir que:
- Tor esta formado por 3 o mas OR, (onion routing) es dinamico el numero.
- Una vez que el cliente tor(el usuario con tor corriendo en su navegador) navega los datos son encapsulados en celdas TOR.
- Estas celdas cuentan con capas cifradas mediante el usuario, las cuales como vimos en el grafico de funcionamiento, cada OR(host) descifran a medida que ingresan en cada uno.
- El ultimo OR descifra y envia al destinatario, pero es el unico que no puede identificarse en la posicion del circuito de mix network.
.:: Deteccion de ataques en TOR.
Hay formas para 'aprender' a defender y detectar un ataque via TOR:
# Monitoreando los Onion Routing del circuito.Suponiendo que la victima atacada mediante TOR, posee conocimientos del IP sobre el ULTIMO OR, es decir el ultimo 'host' antes de entregar al destinatario, si es asi, la victima podria aplicar un monitoreo hacia ese ROUTER o implementar un OR falso que le permitiria verificar el trafico que llega a dicho OR..
Es muy dificil, pero no imposible, poder llegar a determinar de esta forma mediante el analisis, cual era el OR anterior, y asi con el anterior, y asi, hasta llegar a identificar al que envia los paquetes mediante ese circuito tor.
# Obstruyendo el Ataque.Suponiendo que el atacante haya sido detectado por nosotros, podriamos crear una ruta con el ultimo OR como habiamos dicho anteriormente, y enlazar la ruta hacia otros nodos al azar, de esta forma saturariamos la ruta con muchas solicitudes.
Si de esta forma vemos como resultado una fuerte decrecion en el rendimiento del envio de los paquetes, podriamos deducir por logica que alguno de esos nodos que se seleccionaron al azar estaria siendo usada por el atacante.
# Compromising Anonymity Using Packet SpinningBueno para finalizar, voy a dejar un breve comentario sobre este ataque aunque no voy a explicarlo yo sino que voy a dejar una referencia donde no podria estar mejor explicado que un paper propio dedicado a este ataque por los Investigadores de este ataque.
El ataque este es un estudio perteneciente a investigadores del Institute of Computer Science.
Este estudio nos revela que a partir de 2 fundamentos el atacante puede manipular el comportamiento de TOR a gusto del atacante.
Los dos fundamentos por los que hay que partir segun el ICS, son:- Que mientras todo el circuito TOR no sea detectado por todos los Onion Routing, los circuitos circulares no son detectables.
- Un OR legitimo, siempre va a tardar un determinado tiempo realizando calculos criptograficos.
$> REFERENCIAS ..: COMPROMISING ANONYMITY USING PACKET SPINNINGYou are not allowed to view links.
Register or Login..: TOR PROJECTYou are not allowed to view links.
Register or
Login
