Varios nodos de Tor roban contraseñas e intentan inicios de sesión

Share this…

El funcionamiento de la red Tor se resume en redirigir el tráfico de los usuarios a través de una serie de proxies distribuidos de manera que el usuario no pueda ser identificado ni rastreado. Estos proxies, también llamado relés, están montados y mantenidos por voluntarios y aunque tienen cierto mantenimiento por parte de Tor Project en ocasiones usuarios malintencionados montan servidores maliciosos con los que espiar o robar datos de los usuarios que se conectan a través de dicho relé.

Un investigador de seguridad ha estado trabajando un mes en identificar nodos de la red Tor maliciosos encargados de robar datos personales y privados de los usuarios (por ejemplo contraseñas) y de iniciar sesión de forma remota con los datos robados. Para ello ha utilizado una técnica original y bastante curiosa que se resume en utilizar un cebo para engañar al nodo.

Para ello el investigador de seguridad compró un dominio sencillo y llamativo (bitcoinbuy, como una web de compra y venta de bitcoin) y acto seguido creó un subdominio “admin” desde donde en teoría se gestionaría toda la plataforma. A esta web la añadió un sencillo script de inicio de sesión muy similar al de muchas páginas web y configuró una contraseña aleatoria terminada en “sbtc”.

El script de inicio de sesión registra también los errores, la dirección IP del intento de inicio de sesión y la hora de dicho intento. Acto seguido empezó a navegar por su web iniciando sesión en su web desde cada nodo de salida. Desde hace tiempo se sabe que en la red Tor hay “nodos buenos” y “nodos malos”, sin embargo uno de los resultados más llamativos es que alguno de los nodos que intentó iniciar sesión en la web durante el primer día fue estaban denominados como “seguros” por Tor Project.

Varios nodos de Tor roban contraseñas e intentan inicios de sesión
Varios nodos de Tor roban contraseñas e intentan inicios de sesión

El investigador de seguridad ha estado haciendo esto durante 32 días. Al iniciar sesión desde cada nodo de salida la web guardaba una entrada de “conexión exitosa”. Si al revisar el registro de la web se observaba que desde alguna IP se han intentado establecer dos conexiones es que el nodo ha estado haciendo de las suyas. Durante este tiempo su página web ha registrado 12 intentos fallidos de conexión y 16 inicios de sesión exitosos automáticos por parte de diferentes nodos de la red Tor, lo que significa que esos nodos han “espiado” sus conexiones y robado sus credenciales de acceso a su web para posteriormente poder hacer de las suyas en el panel de administración.

Este investigador de seguridad ya ha reportado sus resultados a los responsables del mantenimiento de Tor a la espera de que tomen las medidas necesarias para el bloqueo y cierre de dichos nodos, especialmente el que se configura como “seguro” y luego utiliza los datos de inicio de sesión para intentar acceder a la administración de la web.

Fuente:https://www.redeszone.net/