Todos los 110 nodos maliciosos fueron designados como servicios de directorios ocultos, que almacenaban información de usuarios finales que accedían a direcciones web .onion, las cuales confían en el anonimato de la red Tor. Durante un periodo de 72 días que empezó el pasado 12 de febrero, los científicos de la Northeastern University han hecho un seguimiento de los nodos maliciosos realizando honeypot a las direcciones .onion, a las que les pusieron el mote de “honions”. Esos “honions” operaron como servicios de ocultación normales, pero sus direcciones se mantenían de forma confidencial. Haciendo un seguimiento del tráfico enviado a los honions, los investigadores han sido capaces de identificar directorios que se estaban comportando de una manera no respetaba las normas de Tor. Entre los ataques a los sitios web que están detrás de la red Tor se pueden encontrar inyecciones de SQL, ataques de XSS, numeración de usuarios, alteraciones en el rendimiento del servidor, etc.

No hay evidencias de que los nodos maliciosos hayan sido capaces de identificar a los operadores o a los visitantes de los sitios web ocultos o bien monitorizar el tráfico de texto plano entre cliente o servidor, sin embargo, no se puede descartar dicha posibilidad. Las inyecciones de SQL y los ataques de XSS pueden mostrar información sensible sobre los servicios que contienen errores de configuración o administración, así como vulnerabilidades que todavía no se han hecho públicas. Pero eso no es todo, ya que más de un cuarto de los directorios maliciosos también funcionan como nodos de salida, permitiendo a los nodos maliciosos ver el tráfico de forma no cifrada.

Para poder crear un directorio malicioso, el operador tiene que modificar el código suministrado por Tor y añadirle capacidades de registro, por lo que es muy difícil que todos esos nodos hayan sido mal configurados de forma involuntaria o que sean resultado de algún tipo de problema técnico. Sabiendo esto, se puede concluir que Tor no puede garantizar de forma automática el anonimato de los servicios ocultos o de las personas que los visitan y utilizan.

Más del 70% de los directorios maliciosos utilizados para fisgonear estaban almacenados en servicios en la nube, haciendo difícil la identificación de los operadores. En algunos casos, los directorios no visitaban los servicios honions de forma inmediata, sino que esperaban varios días para probar los honeypots con el fin de no ser detectados. Como respuesta a todo esto, los desarrolladores de Tor se han puesto manos a la obra para solventar el problema.

La red Tor no es infalible. En este 2016 cubrimos una noticia en la cual un antiguo trabajador de Tor desarrolló un malware para desenmascara a usuarios de dicha red, generando un conflicto judicial debido que los métodos empleados fueron muy cuestionados.

 

Más información: Security Week 2016

Fuente: ArsTechnica | muyseguridad