Cuidado al usar Tor: están tratando de tomar el control de la red

Tor Browser es un excelente navegador que nos permite acceder a los enlaces de la Deep Web Web con dominios .onion. Además, nos permite navegar de manera segura en cualquier web al poder anonimizar nuestro tráfico y enrutarlo por varios nodos repartidos por el mundo. Sin embargo, alguien acaba de llevar a cabo un peligroso ataque contra la red que le ha permitido tomar el control del 25% de los nodos de salida.

Así lo ha revelado el propio Tor Project, que afirma que una persona o un grupo está controlando un importante número de nodos de salida. Se calcula que en torno al 23% de toda la red de nodos de salida de Tor está bajo el control de una sola persona o grupo. El tráfico en la red Tor normalmente pasa por varios nodos hasta que llega al de salida, cuya IP es la que ve la web final y que es operado por voluntarios. Gracias a ello, no pueden llegar a saber nunca cuál es el origen del tráfico al no poder conocer la IP original.

Cualquier tráfico HTTP en Tor puede ser interceptado por el atacante

Cualquier persona que esté gestionando un nodo de salida puede espiar el tráfico que pasa por él. Por ello, es importantísimo que las conexiones estén cifradas con HTTPS o SSH, ya que, si el tráfico es HTTP y pasa en texto plano, este atacante podría acceder a todos los datos. En este caso, está claro que hay un intento malicioso por intentar espiar gran parte del tráfico.

Aunque lo primero que se nos ocurre es que pueda ser el FBI el que está detrás de esto, en realidad se trata de alguien que está intentando llevar a cabo un ataque de SSL Stripping para espiar a visitantes de páginas web de criptomonedas. Si en el tráfico que pasa por el nodo se detecta una dirección de un monedero de Bitcoin, las direcciones se reescriben en tiempo real por un monedero controlado por el atacante para recibir él las transacciones.

El ataque aprovecha que, cuando escribes una URL, primero se intenta conectar al dominio .com HTTP sin cifrar para luego redireccionarlo del puerto 80 al 443 con HTTPS. El nodo malicioso intercepta parte de esas solicitudes HTTP e intenta evitar que pasen a HTTPS y se cifre el tráfico, intentando así alterar los datos de las direcciones de Bitcoin en tiempo real.

Usa HTTPS para evitarlo

Por suerte, podemos protegernos del ataque usando plugins como HTTPS Everywhere para forzar que el navegador use cifrado, aunque tiene inconvenientes como que pueden no establecer conexiones con páginas HTTP. Las webs pueden usar también HSTS Preloading, pero hay muchas que no lo hacen. Por tanto, si no tenemos cuidado, es posible que nuestro tráfico acabe pasando sin cifrar por los nodos de estos atacantes.

El ataque empezó a producirse a principios de 2020, donde alguien pasó a controlar el 25% de los nodos. El ataque fue detectado en mayo, y se eliminaron los nodos del directorio de Tor. Sin embargo, en junio volvieron al ataque con el 22% de los nodos y volvieron a bloquearse. Días después, volvieron con el 20% de los nodos.

El Tor Project ha confirmado que llevan meses luchando contra estos ataques, y a pesar de haberles bloqueado dos veces, están sobrepasados por la situación por falta de personal después de haber despedido a un tercio de su plantilla por el coronavirus y problemas de financiación. Así, no hay gente suficiente garantizando que la red sea totalmente segura.

El grupo se encuentra ahora mismo pensando en soluciones como bloquear todo el tráfico HTTP. Más a largo plazo, están trabajando en un sistema que minimice el uso de nodos que no son de confianza. Mientras tanto, es recomendable que uséis HTTPS Everywhere para evitar que os espíen.

Fuente: The Register | adslzone

Protege-9