1 puntos por GN⁺ 2024-09-19 | 1 comentarios | Compartir por WhatsApp
  • Una investigación periodística reveló que 1 usuario de la versión antigua de Ricochet, una app retirada hace mucho tiempo, fue desenmascarado mediante un ataque de las fuerzas del orden, pero hasta donde ha podido verificar Tor Project no hay indicios de que Tor Browser haya sido atacado o explotado
  • Se estima que la pérdida de anonimato ocurrió mediante un guard discovery attack, y el software usado en ese momento no contaba con las protecciones Vanguards-lite ni el addon vanguards para impedirlo
  • En la actualización del 10 de octubre de 2024, no se pudo confirmar si los v3 Onion Services mencionados por DW se vieron afectados, y sigue siendo posible que no tuvieran protección Vanguard en el momento del ataque
  • Este caso se relaciona con el acceso interno a Onion Service, por lo que tiene poca relación directa con la discusión sobre exit node; los usuarios de Tor Browser que no mantienen conexiones de larga duración son menos vulnerables a este mismo análisis de temporización
  • Los usuarios deben mantener su software actualizado y seguir las indicaciones de los canales oficiales, mientras que los operadores de relays pueden contribuir ampliando la diversidad de hardware, software y ubicación geográfica de la red

El caso Ricochet y el alcance de Tor Browser

  • El caso en el que 1 usuario de Tor que usaba una versión antigua de la aplicación retirada hace tiempo Ricochet fue desenmascarado a través de un Onion Service se convirtió en objeto de una investigación periodística
  • Hasta donde Tor Project ha podido confirmar, no existe evidencia de que Tor Browser haya sido atacado o explotado
  • Los usuarios de Tor pueden seguir accediendo a la web de forma segura y anónima con Tor Browser, y la red Tor mantiene un estado saludable
  • En un contexto donde usuarios de todo el mundo necesitan proteger su privacidad al navegar por internet, Tor sigue siendo una solución adecuada
  • Tanto los usuarios como los operadores de relays deben mantener siempre actualizadas las versiones de software

Método de ataque estimado y protecciones ausentes

  • Con la información limitada disponible, parece que 1 usuario de una versión antigua de Ricochet fue completamente desenmascarado mediante un guard discovery attack
  • El software usado en ese momento no tenía protecciones contra este tipo de ataque
    • Sin Vanguards-lite
    • Sin vanguards addon
  • El fork con mantenimiento activo Ricochet-Refresh incluye esta protección desde la versión 3.0.12, lanzada en junio de 2022
  • Vanguards-lite se lanzó en Tor 0.4.7 y busca reducir la posibilidad de que un atacante confirme un middle relay malicioso junto al Guard del usuario combinando creación de circuitos inducida por el atacante y canales encubiertos basados en circuitos
  • Una vez identificado el Guard, se puede localizar al usuario objetivo usando el tiempo de conexión de netflow
  • En este caso, el descriptor de Onion Service permitía conocer cuándo el usuario estaba en línea o fuera de línea, y como el número de usuarios del Guard descubierto era bajo, el ataque con netflow pudo avanzar rápidamente

Actualización del 10 de octubre de 2024

  • Un reportaje de Deutsche Welle (DW) sugirió que los v3 Onion Services se vieron afectados por el ataque, pero Tor Project no ha podido confirmar si los servicios afectados tenían habilitada la protección Vanguard
  • Considerando el momento del ataque, es posible que esos servicios no tuvieran protección Vanguard
  • Sin protección Vanguard, los Onion Services eran más vulnerables a un guard discovery attack relativamente sencillo, aunque el método exacto sigue sin estar claro
  • Tor Project continúa investigando y planea actualizar la información si aparecen más datos

Divulgación responsable y solicitud de más información

  • Chaos Computer Club (CCC) pudo acceder a documentos relacionados con el caso para analizar y verificar las suposiciones del reportero, pero Tor Project solo recibió un resumen ambiguo y preguntas de verificación muy generales
  • Al considerar que podía existir un riesgo potencial para los usuarios, Tor Project optó por responder públicamente
  • Tor Project no buscaba identificar a la fuente, sino entender la evidencia de que hubo un ataque de pérdida de anonimato para responder con precisión y evaluar la responsabilidad de divulgarlo públicamente
  • Si hubiera tenido acceso a los mismos documentos, habría podido informar con mayor claridad sobre el estado real de la red Tor y el impacto para la gran mayoría de los usuarios
  • En este momento, la falta de hechos concretos dificulta emitir orientación oficial o una divulgación responsable para la comunidad Tor, los operadores de relays y los usuarios
  • Quienes tengan información relacionada pueden contactar a security@torproject.org
    • Si prefieren correo cifrado, pueden obtener la clave pública OpenPGP en keys.openpgp.org
    • Fingerprint: 835B 4E04 F6F7 4211 04C4 751A 3EF9 EF99 6604 DE41

Debate sobre exit node y estado de la red

  • Los Onion Services solo son accesibles dentro de la red Tor, por lo que la discusión sobre exit node no es relevante en este caso
  • Hasta donde sabe Tor Project, el ataque ocurrió entre 2019 y 2021
  • La cantidad de exit nodes ha aumentado notablemente en los últimos 2 años y actualmente supera los 2,000
  • Se puede cuestionar la concentración de nodos en ciertos países u operadores, pero eso tiene muy poca relación con el ataque descrito en los artículos publicados hasta ahora
  • El ataque ocurrió en una versión antigua de Ricochet que no contaba con las mitigaciones de análisis de temporización introducidas después por Tor Project
  • La versión actual de Ricochet-Refresh sí incluye estas protecciones
  • Los usuarios de Tor Browser que no mantienen conexiones de larga duración son menos vulnerables a este tipo de análisis de temporización

Gestión de relays y diversidad de la red

  • Después de los ataques de 2019~2021, el equipo de Tor Network Health marcó miles de relays maliciosos, y las Directory Authorities votaron para eliminarlos
  • Entre los relays retirados había algunos que parecían provenir de un solo operador o que intentaban entrar masivamente en la red
  • El equipo de Network Health implementó un proceso para identificar grandes grupos de relays presuntamente administrados por un solo operador o actor malicioso y bloquear su participación en la red
  • Tor Project considera la diversidad de relays como un problema urgente para la comunidad Tor y está discutiendo soluciones junto con la comunidad y los operadores de relays
  • En el último año se lanzaron varias iniciativas
  • El ancho de banda de Tor ha aumentado de forma considerable en los últimos años, y la red Tor es hoy más rápida que nunca

Qué pueden hacer los usuarios para ayudar

  • Quienes puedan hacerlo pueden aportar ancho de banda y relays para contribuir al crecimiento y la diversificación de la red Tor
  • Garantizar la diversidad de hardware, software y ubicación geográfica de la red Tor puede reducir de forma importante las posibilidades de abuso y vigilancia, y dificultar la ejecución de ataques al Guard
  • Para mantener la salud de la red y proteger a usuarios y operadores de relays, es necesario mantener actualizado el software de Tor y seguir las indicaciones de los canales oficiales de Tor Project
  • Tor es una de las pocas alternativas que ofrecen una visión y un modelo viable de internet distribuido, haciendo inviable la vigilancia masiva de los usuarios de internet
  • Actualmente, Tor existe dentro de las limitaciones de un ecosistema de internet que sigue siendo propiedad y está mayormente administrado por un pequeño número de grandes empresas

1 comentarios

 
GN⁺ 2024-09-19
Opiniones de Hacker News
  • Si una persona operara directamente 1000 nodos de Tor, incluidos nodos guardia y de salida, y registrara todo, creo que podría hacerlo incluso por menos de 5000 dólares al mes.
    Si quisiera encontrar a alguien que se conecta a un hidden service específico o a una URL web común, ¿no llegaría eventualmente un caso en el que los tres nodos del circuito fueran nodos operados por mí? Sería difícil apuntar a una persona concreta y tomaría mucho tiempo, pero me queda la duda de si al final no se podría encontrar a alguien que solo pase por nodos de Tor que yo controlo.

    • “Menos de 5000 dólares al mes” es demasiado optimista; tras operar varios nodos durante años, en la práctica habría que pensar en varias veces más, quizá un dígito de multiplicador.
      Un VPS de 5 dólares al mes no tiene el ancho de banda para soportar el tráfico mensual de un nodo de Tor, y para ser promovido a relay guardia tiene que mantenerse en línea y procesar tráfico de forma continua durante unos 2 o 3 meses.
      Si pones límites para ajustarte a la cuota de ancho de banda, aparece como un nodo lento y recibe menos conexiones; incluso mantener 1 Mbps de forma sostenida supera la transferencia mensual de los planes baratos de DigitalOcean o Linode.
      https://blog.torproject.org/lifecycle-of-a-new-relay/
    • Aquí “eventualmente” desdibuja el punto central. Incluso si añadieras 1000 servidores a la red Tor sin que te detectaran, la red actual tiene casi 8000 nodos.
      Simplificando, si ignoramos los tipos de nodo y los factores geográficos y solo vemos la probabilidad de que un usuario aleatorio elija tres nodos míos, es menor al 0,14%. Si el usuario usa 4 nodos para mayor seguridad, baja al 0,015%, y disminuye exponencialmente con cada relay adicional.
      Los nodos de Tor se monitorean y verifican constantemente para impedir actividad maliciosa, así que estos ataques se vuelven cada vez más difíciles. Una organización con recursos prácticamente ilimitados, como la NSA, podría hacerlo, pero para una persona o un atacante común está cerca de ser casi imposible.
      https://gitlab.torproject.org/tpo/network-health/team/-/wiki...
      Tor es antiguo, pero no ha habido señales de un aumento de arrestos porque su servicio central de anonimato se haya roto; en la mayoría de los casos famosos reales, los usuarios de Tor fueron rastreados porque cometieron otros errores.
    • Como el circuito básico es de 3 saltos, en realidad basta con controlar el nodo de entrada y el nodo de salida. Porque puedes saber el salto anterior/siguiente del tráfico que procesas.
      Si el circuito cambia cada 10 minutos, me parece que en cuestión de días se podría desanonimizar alguna proporción del tráfico de casi todos los usuarios.
      Frente a alguien con algo de capacidad técnica y dispuesto a gastar 5000 dólares, considero que Tor está roto.
      Sospecho en un 80% que Tor es un proyecto financiado por EE. UU. que concentra en un solo servicio a las personas que necesitan anonimato, haciéndolo accesible solo para gobiernos capaces de observar una parte considerable del tráfico mundial.
    • Un video publicado ayer está relacionado con este problema: https://www.youtube.com/watch?v=Gs0-8ZwZgwI
      Dicen que en Alemania atraparon de esta manera al operador de un sitio de material de explotación sexual infantil. Observaron ciertos nodos y los tamaños de los archivos que circulaban entre ellos para identificar al administrador del foro; tardaron un año y medio en encontrar a una persona específica, pero finalmente lo atraparon.
      Con eso, el usuario común parece bastante seguro, porque se necesita apuntar durante mucho tiempo a un objetivo concreto. Aun así, con suficiente esfuerzo, parece posible identificar a alguien aunque no cometa errores en la web normal, como en Silk Road.
      Una vez que averiguan la dirección, simplemente irrumpen en tu casa y te atrapan frente a la computadora, y ahí se acaba todo.
    • Tor, como todas las herramientas de seguridad y privacidad, debe evaluarse según el propósito de uso y el modelo de amenazas.
      Los recursos de investigación siempre son limitados, y los sistemas de privacidad funcionan aumentando la dificultad y el costo de la desanonimización. No tienen que ser perfectos; basta con que lo vuelvan caro.
      Si el objetivo es un anonimato básico para investigar a personas poderosas o acceder a información, es muy poco probable que alguien invierta la experiencia, el dinero y el tiempo para romper Tor con los métodos mencionados aquí.
      En cambio, si eres un líder terrorista internacional buscado en varios países, un gran criminal o el enemigo número uno de un Estado autoritario, quienes tienen esas capacidades realmente irán hasta el final.
  • Por contexto, el reportaje de NDR está aquí: https://www.ndr.de/fernsehen/sendungen/panorama/aktuell/Inve...
    Hay más información aquí: https://lists.torproject.org/pipermail/tor-relays/2024-Septe...
    NDR afirma que es un ataque de temporización capaz de identificar el “servidor de entrada”, pero casi no hay información sobre la naturaleza del ataque. También afirma que ya hubo arrestos mediante este método.

    • Como mitigación, quizá se podría usar una VPN con paquetes de padding y limitación de velocidad, para que siempre transmita y reciba al bitrate definido por el usuario.
      Sería una forma de traffic shaping en la que el tráfico real tiene mayor prioridad, pero sin superar el flujo de padding. Tal vez supone que se ejecuta directamente un daemon de Tor en algún servidor y que la VPN termina en ese nodo.
      Parece posible con shaping por clases de tc sch_htb o sch_cake, reglas iptables mangle para etiquetar paquetes, y manteniendo corriendo dos flujos rsync bidireccionales que lean de /dev/urandom o de un archivo aleatorio grande.
      Por ejemplo, el rsync nativo en el puerto 873 podría quedar como tráfico masivo de baja prioridad, y el squid mitm ssl-bump proxy en el puerto 3128 como alta prioridad.
    • También existe un artículo de Wikipedia sobre el sitio de explotación sexual infantil relacionado, Boystown.
      https://en.wikipedia.org/wiki/Boystown_(website)
  • En 2024, si eres un usuario que conoce bien internet, lo correcto es asumir que nada es 100% “seguro”. No existe la seguridad perfecta ni la privacidad perfecta
    Pero herramientas como Tor pueden hacer que usar internet sea más seguro. Si la razón para no usar Tor es que “no es seguro/nunca fue seguro”, entonces la conclusión sería que tampoco deberíamos usar internet en absoluto

    • Aunque no puede ser completamente “seguro”, Tor sigue siendo una de las herramientas más fuertes que tenemos para preservar la privacidad
      Quienes desconfían de Tor por diversas razones y deciden no usarlo en absoluto casi nunca proponen herramientas o medidas alternativas que se acerquen a su nivel de seguridad
    • Exacto. En el artículo de ayer en HN sobre prevención de caries apareció una lógica falsa parecida. La discusión iba por el lado de que un nuevo avance en el tratamiento de caries “no podía garantizar” acabar con las caries para siempre
      https://news.ycombinator.com/item?id=41573550
      No siento que alguna vez me haya dejado engañar por este tipo de razonamiento, pero seguro tengo otros puntos débiles. Aun así, me llama especialmente la atención ver cómo este argumento resulta convincente para personas inteligentes que uno pensaría que no caerían en errores tan obvios
    • Ojalá la gente que intentaba crear correo electrónico cifrado en los 90 hubiera entendido esto
    • Para ser claros, solo puede decirse que Tor es más seguro bajo la condición de que no sea una trampa de miel. El usuario no tiene forma de saberlo, y creo que hay motivos suficientes para sospechar
      En Medio Oriente hubo un ejemplo muy claro de cómo un actor estatal puede apuntar a un canal de formas inesperadas
    • Aquí se está perdiendo el punto. Ese usuario en realidad fue completamente desanonimizado, y esta entrada de blog dice que esas técnicas que tuvieron éxito ya no pueden usarse
      Cuestionar una capa específica de defensa y, al mismo tiempo, seguir una estrategia de defensa en capas es totalmente válido
  • Hay una excelente presentación de DefCon que aborda este tema desde la perspectiva de un vendedor de la darknet. Es muy buena
    https://youtu.be/01oeaBb85Xc

    • La presentación es buena, pero irónicamente conviene quitar el parámetro ?si=, porque se usa para rastreo
  • Recuerdo que Adrian Crenshaw presentó en Def Con 22 cómo atraparon a personas mientras usaban Tor. Incluso entonces decía que, en la mayoría de los casos, no fue por Tor, sino por fallas de seguridad operativa de los propios involucrados
    Me pregunto qué tan aplicable sigue siendo esta información 9 o 10 años después
    DEF CON 22 - Adrian Crenshaw- Dropping Docs on Darknets: How People Got Caught
    https://www.youtube.com/watch?v=eQ2OZKitRwc

  • No entiendo bien. ¿Por qué el CCC no comparte la información con los mantenedores de Tor Project?

    • Parece que el periodista tiene quejas contra Tor, y que los miembros del CCC que vieron los documentos no pudieron compartir más por razones legales o sociales
    • La fuente de la información no es el CCC, sino NDR, enlazado en el hilo vecino. El CCC solo vio los documentos a través de NDR
    • Quizá tengan pensado hacerlo público en el CCC de diciembre
  • Si las agencias federales operan suficientes nodos de salida, usar Tor es arriesgado en el mejor de los casos. No sé si después se implementó alguna función para impedirlo, pero si fuera a hacer algo ilegal, no me acercaría a Tor
    También existe el riesgo de tener que confiar en que los operadores del servicio protegerán bien la información personal que se expone en el marketplace. No creo que una agencia de investigación vaya a revelar su identidad para atrapar compradores de drogas, pero aun así confiar en eso parece una tontería

    • Todos “saben” que “los gobiernos occidentales operan la mayoría de los nodos de salida”, pero es una afirmación con muy poca base
      La lista de todos los relays es pública por diseño, y los relays incluyen información de contacto. Los grandes operadores son personas y organizaciones conocidas, y también contribuyen e interactúan
      Si en la práctica es difícil distinguir cuáles relays son del gobierno y hacen cosas malas contra los ciudadanos, me pregunto por qué se hace esa afirmación
      Los relays que muestran comportamiento malicioso observable se eliminan continuamente de la red. Si esos relays son del gobierno, eso también significa que Tor está gestionando bastante bien la situación
      Si una agencia de investigación quisiera hacer ataques de correlación, no tendría por qué operar relays. Sería más silencioso y amplio espiar IXP cerca de los principales hubs de relays, o tomar datos de taps que ya tiene
      Alejar a la gente de Tor puede, según el modelo de atacante asumido, hacer que la desanonimización sea más fácil
    • Muchos más delitos de lo que uno cree ocurren abiertamente. De hecho, hay gente que sube historias a Instagram presumiendo sus drogas y fajos de efectivo
      Como las agencias de investigación muchas veces ni siquiera tratan bien los delitos fáciles que tienen enfrente, la probabilidad de que procesen a usuarios de Tor es muy baja hasta que crece lo suficiente o cruza una línea y llama la atención
    • Hay que leer la entrada del blog. Dice que “los Onion Services solo son accesibles dentro de la red Tor, así que en este caso la discusión sobre nodos de salida no aplica”
    • Vigilar nodos de salida no revela un hidden service
      Para ser precisos, no lo revela nunca. Los nodos de salida no forman parte de ese circuito
    • Si solo operan nodos de salida, ¿no es cierto que aun así no pueden desanonimizar a los usuarios?
  • Si suficientes agencias gubernamentales operaran nodos de Tor, ¿en teoría no podrían proteger de la vigilancia el acceso a internet de la mayor parte de la humanidad?
    Parece un verdadero avance en tecnología de internet. Si lo hace un solo país, ese país lo controla todo, pero si todos los países compiten, se acerca a una estructura en la que todos ganan
    Eso sí, me pregunto si Tor puede escalar a nivel planetario de forma ambientalmente sostenible

    • La mayoría de los gobiernos priorizan sus obligaciones de aplicación de la ley o sus deseos de vigilancia por encima de un internet protegido contra la vigilancia, así que es difícil esperar que avancen en esa dirección
  • Este texto no está escrito de una forma que genere mucha confianza de entrada
    Aun así, hay partes que sí inspiran confianza. Tor se actualizó de forma preventiva años antes de que se supiera que la vulnerabilidad había sido explotada en la práctica, y el Tor Project llevaba años investigando el vector de ataque de un cliente Tor específico que tenía varias versiones de antigüedad
    Creo que habría bastado con decir simplemente “corregimos esa vulnerabilidad en 2022” y publicar un texto aparte sobre software obsoleto

    • No hace falta que intenten convencerme con “expresiones que generan confianza”. Si hubieran hecho una afirmación categórica como la propuesta, me habría preocupado todavía más
    • Citando el texto, dice: “hasta donde sabemos, los ataques ocurrieron entre 2019 y 2021”, y también: “esta protección existe desde la versión 3.0.12, lanzada en junio de 2022, de Ricochet-Refresh, un fork mantenido del ya retirado Ricochet”
      Es cierto que se corrigió hace años, pero por cómo lo leí, no parece haber sido simplemente un caso de usar software viejo
    • Esta vulnerabilidad no se “corrigió” volviéndola imposible, sino que se mitigó cambiando los incentivos económicos
      No puede corregirse de raíz sin un diseño de red completamente distinto, como Mixminion o Katzenpost. Alguien propuso I2P, pero en lo básico no difiere mucho de Tor. El uso de túneles unidireccionales podría ayudar
    • El problema es que, como los detalles no se compartieron con el Tor Project, ellos no pueden decir eso con 100% de certeza. No sé por qué no se compartieron
  • Me da curiosidad cuáles son los usos “legítimos” de Tor. No seguí todo el tema, pero entiendo que fue diseñado por la Marina de EE. UU. para dificultar que regímenes opresivos rastreen el uso de la web por parte de sus ciudadanos
    Más allá de querer que ciudadanos rusos puedan acceder al sitio de la BBC, sinceramente me pregunto por qué deberíamos querer Tor. Eso sí, no quiero una respuesta del tipo “mi gobierno pronto va a iniciar una persecución masiva, así que hay que prepararse”

    • Es la misma razón por la que este sitio usa SSL, aunque no tenga contenido para adultos, tiendas ni acceso a bancos o datos personales
      Si todo está protegido con SSL, ya no hace falta explicar por qué solo ciertas cosas están protegidas con SSL. La misma lógica puede aplicarse al uso de Tor
    • Basta pensar cómo te sentirías si un desconocido se te acercara en la calle y te dijera que le gustó el artículo de Wikipedia que estabas leyendo anoche
      Todo el mundo quiere “privacidad por defecto”, pero no logra conectar bien este tipo de supuesto con la realidad. En la realidad también hay vigilancia, solo que nadie se te acerca a decírtelo directamente
    • Veo redes sociales como Facebook y Reddit a través de servicios onion. Me cansé de recibir anuncios que parecían rastrear mi navegación normal mediante correlación de IP, píxeles de seguimiento y botones “like” embebidos
      Así que ahora bloqueo por completo el tráfico normal de Facebook/Reddit. Esto no me anonimiza. Al menos en Facebook, sigo conectado con mi cuenta. Pero limita el perfil que Meta construye sobre mí a la unión de lo que observa directamente en Facebook y lo que compra a data brokers
      Después de hacerlo, la relevancia de los anuncios de Facebook cayó mucho, y parece funcionar. Hubo algunas ocasiones en que los anuncios de pronto volvieron a ser relevantes; eso es una señal de filtración de información. Normalmente parece ser que Meta obtuvo datos de pagos con tarjeta de crédito de mi banco o de comercios y los vinculó con mi identidad
      En teoría, una VPN podría dar el mismo beneficio, pero en la práctica Facebook tiende a bloquear temporalmente las cuentas cuando se usa una VPN, y Reddit bloquea por completo el tráfico de VPN. Por eso uso los servicios onion operados directamente por los sitios, que además tienen menos probabilidades de ser tratados como tráfico malicioso
      Si usas estas plataformas, recomiendo guardar los sitios onion en Tor Browser y probarlos como interfaz principal por un tiempo. Si no resulta demasiado incómodo, puedes bloquear en la red las versiones no onion de los sitios
      https://old.reddittorjg6rue252oqsxryoxengawnmo46qy4kyii5wtqn...
      https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg...
      No confíes en los enlaces que acabo de publicar. Podría haber puesto falsos. Recomiendo verificarlos comparándolos con https://github.com/alecmuffett/real-world-onion-sites, que lleva a pruebas de propiedad de sitios onion bajo nombres de dominio normales
    • Hay una recopilación de historias anónimas de usuarios de personas que dependen de Tor para proteger su privacidad y anonimato
      https://community.torproject.org/outreach/stories/
    • Me parece casi la misma cuestión que preguntar si existe un argumento legítimo a favor de la privacidad y las comunicaciones privadas
      En varios mensajeros populares, el cifrado de extremo a extremo ya se acepta como una función normal y de uso masivo, pero cuando se aplica la misma idea a la navegación web todavía se trata como algo marginal. Esta distinción parece arbitraria y cultural
      Aunque también podría ser un problema de experiencia de usuario. WhatsApp es cómodo de usar, pero intentar usar Internet de forma normal con Tor es horrible, principalmente porque Cloudflare te bloquea por completo o te manda al infierno de los captchas