2 vulnerabilidades día cero en TOR son publicadas. No hay parches disponibles, 3 fallas más por publicar

Un nuevo riesgo de seguridad ha sido detectado. Expertos en seguridad web han reportado el hallazgo de dos vulnerabilidades en la red y el navegador Tor. El Dr. Neal Krawetz está a cargo del hallazgo de dos vulnerabilidades día cero en Tor Project, cuyos desarrolladores parecen no haber abordado desde que fueron notificadas. 

Krawetz también menciona que revelará al menos otras tres vulnerabilidades día cero en Tor, incluyendo una falla que podría revelar la dirección IP real de los servidores Tor. A pesar de las recientes declaraciones del investigador, nadie de Tor Project se ha pronunciado al respecto.

El experto en seguridad web, que opera múltiples nodos Tor, menciona que la primera falla podría ser explotada por compañías y proveedores de servicios de Internet podrían bloquear a los usuarios y evitar que se conectaran empleando la red anónima con sólo escanear las conexiones de red, buscando una firma distinta de paquete, exclusiva del tráfico Tor. Este paquete podría usarse como método de bloqueo de conexiones, lo que podría considerarse como una conducta abusiva, especialmente en países donde el Internet se enfrenta a severas restricciones gubernamentales.

Hace apenas unas horas, Krawetz compartió algunos detalles sobre la segunda vulnerabilidad. Al igual que en el reporte anterior, esta falla permitiría detectar y bloquear el tráfico anónimo, aunque empleando un método diferente, pues este ataque depende de la detección de conexiones indirectas.   

Acorde a expertos en seguridad web, estas conexiones se hacen entre los puentes Tor, un tipo especial de punto de entrada a la red que puede emplearse si los proveedores de servicios de Internet bloquean el acceso a la red anónima. Un puente Tor actúa como proxy y retransmite las conexiones de usuario a la propia red Tor.

“Las conexiones a los puentes Tor pueden ser detectadas con facilidad, empleando una técnica similar a la del rastreo de paquetes TCP específicos. De este modo es posible evitar que cualquier usuario se conecte a la red Tor, ya sea directa o indirectamente”, agregó Krawetz.

Respecto a sus motivaciones para divulgar públicamente su hallazgo, Krawetz menciona que Tor Project no ha tomado en serio sus fallas de seguridad, refiriéndose a otros incidentes en los que los responsables de este proyecto han desestimado los riesgos de seguridad encontrados, mismos que siguen activos y podrían ser explotados en cualquier momento.  

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.