Romper el anonimato de los usuarios de Tor. Este ha sido el objetivo del FBI desde que existe este famoso método de navegar de manera anónima en la red. Al parecer, el FBI consiguió su objetivo y pudo rastrear al menos a 1.000 usuarios. La introducción de métodos de seguridad como Selfrando no pueden evitar el fingerprinting y el rastreo de DNS.
Por ello, un grupo de investigadores americanos y suecos ha descubierto una nueva manera de atacar Tor y desanonimizar a sus usuarios mediante la utilización de búsqueda de DNS, las cuales acompañan al usuario cuando navega por la red, mediante el análisis del tráfico del usuario. Han llamado a su método ‘DefecTor’.
Esto se consigue debido a cómo funciona Tor. Para esconder de dónde se genera el tráfico, Tor dirige el tráfico a través de una red de ordenadores, con el fin de que el rastro se pierda. Esto hace que la navegación sea algo lenta, pero muy segura (a no ser que se hagan ‘ataques de correlación’, que analiza el tráfico entrante y saliente). El tráfico está totalmente cifrado, por lo que no se puede leer directamente. Por ello, se analiza el tamaño de los paquetes y patrones que permitan saber qué páginas visita el usuario.
Para hacer el fingerprinting, o análisis de huella digital que va dejando el usuario, hay queanalizar el tráfico entrante y saliente. Analizar el entrante se puede conseguir mediante redes inseguras o mediante entry guards. Para el tráfico saliente, se analiza el tráfico desde los nodos de salida. Con la nueva investigación, lo que se consigue es un nuevo método para analizar el tráfico de salida: analizar las búsquedas de DNS.
¿Qué es una búsqueda de DNS?
Cuando entráis a adslzone.net, lo que en realidad estáis haciendo es escribir un nombre que está asociado a una IP. Ambos datos están almacenados en el Domain Name System, o DNS. De esta manera, el ordenador puede encontrar la página web en la inmensidad de Internet.
En el caso de poder saber lo que el usuario ha buscado mediante sus búsquedas en el DNS, se puede saber muy fácilmente las páginas que el usuario visita. Para ello, los investigadores buscaron las huellas de webs conocidas dentro del propio tráfico cifrado que iba hacia las entry guards, y luego comparaban con las solicitudes DNS en el tráfico que salía de los nodos de salida sin cifrar, pudiendo conocer qué web visitaban los usuarios.
Cientos de miles de peticiones cada 10 minutos
Aunque suene demasiado simple, el proceso es realmente complicado debido al tráfico que circula por Tor. Cada nodo de salida analizado en el estudio tenía un número desconocido de las 300.000 visitas que circulan a través de Tor cada 10 minutos, y cada usuario cambia de nodo cada pocos minutos.
De media, una visita a una web lanza 10 búsquedas de DNS, por lo que sólo una pequeña parte de esas búsquedas reflejan realmente la página que el usuario visita. Si se incluye un vídeo en una noticia en ADSLZone, al entrar a la noticia, ya se estarán generando dos búsquedas de DNS, la de adslzone.net y la de youtube.com.
Los investigadores analizaron 2,5 millones de dominios únicos, con más de 60 millones de peticiones de DNS. Estos dominios únicos permiten al atacante saber qué sitios, de entre el millón más visitado, ha visitado el usuario.
Otro detalle que analizaron es que un tercio del tráfico de Tor venía de las populares DNS de Google, 8.8.8.8 y 8.8.4.4, lo cual es alarmante según los investigadores. Las DNS de los operadores, según afirman, ofrecen una superficie de ataque mucho menor, y utilizar un servidor de DNS como Google u OpenDNS puede poner en peligro la seguridad del usuario mucho antes. Esto es debido a que los ISP utilizan otros muchos nodos de salida.
Fuente:https://www.adslzone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad