domingo, 16 de novembro de 2014

81% dos usuários da Tor podem ser identificados com um ataque de análise de tráfego

Esquema de Análise de Tráfego

81% dos usuários da Tor podem ser identificados com um ataque de análise de tráfego

Um time de pesquisadores conduziram um estudo entre 2008 e 2014 sobre identificação de usuários da Tor, o time trabalhou para divulgar as origens de seus endereços IPs.

Um grupo liderado pelo professor Sambuddho Chakravarty, que pesquisa sobre Anonimato e Privacidade para o Instituto de Tecnologia da Informação Indraprastha em Delhi, publicou vários artigos sobre o tópico nos últimos anos. Chakravarty revindica que seu time atingiu 100% de sucesso em identificações de origens em seu laboratório.

A pesquisa revelou que mais de 81% dos usuários da Tor podem ser identificados por exploração da tecnologia NetFlow desenvolvida pela Cisco para seus appliances de rede.

A tecnologia NetFlow foi introduzida pela Cisco em seus roteadores para implementar um instrumento para coletar o tráfego de redes IP assim que elas entram ou saem de uma interface. Os dados fornecidos pelo NetFlow permite um administrador de rede a qualificar o tráfego gerenciado pelo roteador e identificar causas de congestionamentos. O protocolo é um padrão que roda por padrão em hardwares de diversos outros fabricantes.

A técnica proposta por Chakravarty, implementa uma análise de tráfego ativa baseada na introdução de tráfegos perturbadores no lado do servidor e procurando por uma pertubação similar no lado do usuário através de correlação estatística.

"Nós apresentamos uma análise de tráfego ativa baseada deliberadamente na perturbações de características do tráfego do usuário pelo lado do servidor, e observamos uma perturbação similar através de correlação estatística. Nos testamos a precisão de nosso método usando tanto testes em laboratório como também através de um relay Tor público servindo centenas de usuários. Nosso método revelou as origens atuais de tráfegos anônimos com 100% de precisão para testes em laboratório e atingimos uma média de cerca de 81,4% no mundo real, com média de falso positivo em 6,4%." Afirma o artigo.
Numa pesquisa anterior, Charkravarty demonstrou que ter acesso a alguns pontos de troca de tráfego na internet é o bastante para monitorar uma porcentagem significante de caminhos da rede a partir de nós da Tor até servidores destino. Isso significa que um poderoso e persistente atacante pode rodar uma análise de tráfego procurando assim por tráfegos parecidos em vários pontos da rede.

Essa nova pesquisa de exploração revela como rodar um ataque de análise de tráfego efetivo em larga escala.

Diferente da pesquisa anterior, esse novo ataque de análise de tráfego não precisa necessariamente que fontes do governo façam monitoramento. Os pesquisadores explicam que um único AS (Sistema Autônomo) poderia monitorar mais de 39% do tráfego aleatório gerado por circuitos da Tor.

O ataque de análise de tráfego não requer uma enorme infraestrutura como o ataque anterior, mas explorar um ou mais relays Tor de alta largura de banda e performance. O time utilizou um servidor público modificado da Tor, hospedado atualmente na Universidade de Columbia, rodando Linux para estes testes.

Topologia de um ataque de análise de tráfego
Processo Global para Análise de Tráfego baseado no Netflow contra a Tor Network. O usuário baixa um arquivo do servidor (1), enquanto o servidor injeta um tráfego padrão dentro de conexões TCP, vê-se conexões crescendo no nó de saída (2). Depois de um tempo, as conexões terminam e o adversário obtém os dados do flow correspondentes ao servidor de saída e o nô de entrada para o tráfego do usuário (3), e computa a correlação de coeficientes entre o servidor de saída e entrada para as estatísticas do usuário (4).
Os pesquisadores simularam atividade de internet de um típico usuário da Tor, injetaram um padrão de tráfego repetitivo (por exemplo: arquivos HTML) para dentro de conexões TCP que são vistas originadas em um nó de saída alvo, e então analisam o tráfego para o nós de saída, assim como é derivado do flow do roteador, para melhorar a identificação dos usuários.

Topologia do Ataque de Análise de Tráfego
Na primeira fase da pesquisa foi conduzida em laboratório com resultados surpreendentes, na segunda fase o time iniciou em sessões de tempo real com tráfego Tor. O time analisou o tráfego obtido deste servidor público de Tor relay que servia centenas de circuitos da Tor simultaneamente.

As vítimas alvo eram hospedadas em três diferentes localidades no Planetlab, a rede central de pesquisas que suporta o desenvolvimento de novos serviços de redes. As localidades escolhidas foram: Texas (US), Leuven (Belgium) e Corfu (Greece).

Os usuários vítimas que fizeram o download de grandes arquivos do servidor, deliberadamente introduziram pertubações na checada de seu tráfego TCP, que possibilitou a injeção de tráfego padrão na transmissão entre o servidor e o nó de saída.

"O processo foi finalizado após um pequeno período e nós computamos a correlação entre os bytes transferidos entre o servidor e o recém encerrado relay de saída Tor e o nó de entrada e vários usuários que os usaram, durante este intervalo" declara o artigo.
A sessão de testes foi organizada em duas partes, a primeira sessão para testar e eficiência quando dados recuperados de pacotes NetFlow de código aberto, e em um segundo momento o time usou agrupamento de dados obtidos de seus roteadores Cisco de testes.

Resultado da Análise
A identificação de usuários do Tor visa esforços judiciais e agências de inteligência, que têm grandes recursos e que são capazes de rodar ataques similares. Muitos especialistas especulam também que a recente "Operação Onymous" permitiu a identificação de mercados negros, incluindo o popular "Silk Road 2.0", podem ter sido atacadas com análise de tráfego na Tor para identificar os operadores desses mercados negros.

Para saber mais:

 - Onion Links - Navegando com o Tor Browser
 - Entendendo a Tor Network
 - Deep Web