Está en la página 1de 10

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero.

Entendiendo los conceptos bsicos de los Anonymizers

Entendiendo los conceptos bsicos de los Anonymizers


Aristizbal, Nicols., Cristancho, Javier Alexander., y Romero, Andrs Oswaldo. {aristizabaln, cristanchoj, andres-romero}@javeriana.edu.co Pontificia Universidad Javeriana

Resumen Los Anonymizers son una solucin que ofrece el mercado para navegar por internet y evitar ser identificado. Es importante saber diferenciar este trmino de otras soluciones que tambin existen y que permiten mantener la confidencialidad del usuario. The Onion Routing es un proyecto de investigacin que busca proteger la informacin a sus usuarios dndoles mayor confidencialidad. Es ampliamente usado por organizaciones y personas para mantener sus datos en el anonimato, pero como hace parte de un proyecto abierto, tambin es utilizado por usuarios con fines no legales. Tambin es posible pasar como annimo por medio del uso de Proxy annimos. Lgicamente TOR no es un sistema totalmente seguro por lo que es posible hacerle ataques a sus vulnerabilidades y utilizar esto como una tcnica anti forense. Dentro de los ataque conocidos se encuentran Packet Spinning Attack y Traffic Analysis Attack.

ndice de Trminos Anonymizers, anonymity, anti forense, confidencialidad, TOR (The Onion Routing), OR (Onion Router). I. INTRODUCCIN

a seguridad informtica se basa en tres premisas fundamentales bien conocidas: Confidencialidad, Integridad y Disponibilidad. En la actualidad, estas premisas se ven vulneradas en varios sistemas principalmente en internet. La confidencialidad por ejemplo, se ve altamente afectada por esta red global ya que para su correcto

funcionamiento, se requiere que la informacin de sus usuarios sea expuesta a travs de los protocolos. Aunque para muchos usuarios corrientes la privacidad no implica un problema o una necesidad, algunos usuarios del internet (especialmente entidades gubernamentales, bancarias, y comerciales) dependen de esta ya que la informacin que manejan dentro de internet est conformada de datos sensibles que al ser modificados podran llegar a alterar el funcionamiento de la entidad (como por ejemplo las cuentas bancarias, los informes de inventario, las cuentas de acceso a los servicios de la entidad, entre otros). Esta necesidad ha llevado a la bsqueda y el estudio de posibles soluciones para el manejo de la confidencialidad dentro de internet. Una de las soluciones propuestas para proteger a los cibernautas y todos sus datos sensibles, es pasar de manera annima por los diferentes dispositivos de red evitando ser reconocido con la identidad que realmente se posee. Actualmente, existen diversas formas de pasar como annimo a travs de internet. Entre estas estn los protocolos cifrados (grupo de firmas, firmas ciegas, credenciales annimas, entre otras) que adems de proteger la informacin a travs del cifrado, pasan a travs de canales annimos[1]. Otra forma de pasar como annimo es a travs del uso de los Anonymizers. Los Anonymizers son herramientas enfocadas en hacer que la actividad en internet no pueda ser rastreada, escondiendo la informacin personal del computador del usuario que accede a internet. Este documento pretende ser una pequea gua sobre los conceptos bsicos de los Anonymizers y las formas ms conocidas de este. Adems se realizar una breve descripcin sobre TOR (Seccin III), uno de los Anonymizer ms conocido y utilizado en la actualidad. Posteriormente se

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

identificarn algunas vulnerabilidades de dicho Anonimizer que podran ser utilizadas para alterar el funcionamiento del sistema y para protegerse en contra de los ataques que podran realizar algunos usuarios a travs de este sistema (Seccin IV) II. ACLARACIN DE TRMINOS
Ilustracin 1. Principio de Anonimidad

Como ya se explic anteriormente, el anonimato toma un papel relevante en este documento. Sin embargo, los conceptos relacionados con el anonimato son muy utilizados en seguridad informtica y por tanto podran generar confusiones en el lector. A continuacin se realizar una breve descripcin de aquellos trminos que podran presentar confusiones. Cabe aclarar que los trminos no sern traducidos para evitar confundirlos con otros del habla espaola[2]. Anonymity (anonimato). Es la condicin de no ser identificable dentro de una red. Cuando un sujeto desea enviar informacin (emisor) a otro sujeto dentro de la red (receptor) este pasar por annimo si: 1. El emisor establece una ruta annima para comunicarse con el receptor. 2. Gracias a dicha ruta, el receptor desconoce la informacin del emisor. 3. El receptor no puede establecer ni rastrear dicha ruta para detectar al emisor original. Para habilitar el anonimato, el emisor contar con un set de sujetos que tienen la facultad de realizar acciones sobre la comunicacin establecida entre el emisor y el receptor, y en este caso en particular, realizarn redireccionamiento entre ellos mismos para finalmente entregar el mensaje al receptor. Es importante tener en cuenta que dichos sujetos no conocen la ruta completa de la comunicacin entre el emisor y el receptor. Los sujetos escogidos para esta labor con conocidos como conjunto de annimos. Los dos conjuntos (el de sujetos y annimos) pueden ser disyuntos, pueden ser los mismos o se pueden solapar. Estos grupos pueden cambiar con el tiempo.

Unlinkability. En espaol significa imposibilidad de vnculo y se refiere a que, dentro de la perspectiva de un atacante, dos tems de inters (sujetos, mensajes, eventos, acciones, etc.) ni se vinculan o relacionan ms ni menos de lo que ya estaban relacionados despus de que se realiza la observacin. Esto quiere decir que la probabilidad de que el atacante relacione los dos tems permanece igual antes y despus de la observacin por parte de este. Unobservability. En espaol es la incapacidad de observacin. Es la condicin de los tems de inters de no ser poder ser distinguidos del resto de tems. Se tienen identificados los receptores y los emisores pero no es posible determinar cual especficamente dentro de dichos grupos es el que se est analizando. Esta es una propiedad deseable en los sistemas esteganogrficos. Asegura que un tem puede utilizar un servicio o recurso sin que otras entidades puedan notar que lo est utilizando. La diferencia con el anonimato es que en esta aproximacin se puede identificar que se est realizando alguna actividad, pero no se puede determinar qu se est realizando especficamente, mientras que en el anonimato se puede determinar qu es lo que se est realizando especficamente, pero no se puede saber la identidad de los que lo realizan. Pseudonymity. Nombre falso que se le da a algo para ocultar la identidad real. Tambin es llamado nym para evitar utilizar el prefijo pseudo que significa falso. Pseudonymity es el uso de pseudnimos como identificadores (IDs). Existen mltiples visiones acerca de cul de estos enfoques se debe usar para obtener seguridad en las comunicaciones que no se pueden abolir en los sistemas. El anonimato ofrece un poco mas de seguridad que los pseudnimos en el sentido de que los

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

pseudnimos pueden ser identificados y asociados a sujetos especficos lo que generara una prdida en el valor del uso de los pseudnimos. Por otro lado, los pseudnimos sirven para cultivar relaciones de confianza a largo plazo las cuales son muy demandadas actualmente para los negocios. El uso de este principio facilita la realizacin de autenticacin y control de abusos[3] . Un gran problema en el uso de pseudnimos es que muchas de las soluciones asociadas a stos, relacionan el pseudnimo con informacin real del dueo de ste, de manera que la informacin que llegue al pseudnimo, pueda ser redireccionada a las manos del sujeto real[4]. III. TIPOS DE ANONYMIZERS
A. The Onion Router (TOR )
1

[5]El Laboratorio de Investigaciones Naval de los EE.UU. y The Free Haven Project investigaron y desarrollaron TOR, la segunda generacin de desarrollo en el diseo onion-routing (enrutamiento en arquitectura cebolla). Gracias a la ayuda de la Oficina de Investigacin Naval de los EE.UU. (ONR, Office of Naval Research) y DARPA se pudo garantizar la seguridad de las comunicaciones gubernamentales. Despus de dos aos de haber desarrollado TOR en el 2003, Electronic Frontier Foundation (www.eff.org) financi la continuacin del proyecto Free Haven y lograron en un ao mantener la privacidad de los ciudadanos en lnea. En 2006, el proyecto TOR se haba incorporado como una organizacin sin nimo de lucro [6] y haba recibido apoyo financiero de organizaciones muy importantes como The Omidyar Network, la Oficina Internacional de Difusin de los EE.UU. (The US International Broadcasting Bureau), y de otros grupos comprometidos en la lucha contra el bloqueo y la censura en Internet. TOR es una red de tneles virtuales que permiten a las personas y grupos mejorar su privacidad y seguridad en Internet. Tambin posibilita a los programadores crear nuevas herramientas que incorporen caractersticas de privacidad. TOR proporciona la base para un abanico de aplicaciones que permitan a las organizaciones y a los individuos

compartir informacin sobre redes pblicas sin comprometer su privacidad. Uno de los usos ms importantes que le puede otorgar TOR a todos los usuarios, es la proteccin de su privacidad, como por ejemplo, el uso de TOR para evitar ser rastreados por los sitios web que visitan o si es posible proteger la identidad de los familiares cuando estos realizan actividades de bsquedas o charlas por internet, TOR permite conectarse a nuevos sitios de internet sin ser rastreado, adems permite ingresar a servicios de mensajera instantnea cuando son bloqueados por el proveedor de Internet (ISPs). Adems permite la publicacin de pginas web sin revelar la localizacin de las personas que lo publican, ni donde se encuentran ubicados. Se utiliza bastante en el campo de proteccin de testigos o de personas que deben preservar su identidad en total anonimato por posibles ataques. As mismo, a nivel corporativo, el uso de TOR se ha incrementado por el deseo continuo de garantizar la confidencialidad de informacin bastante vulnerable en las compaas, como la contabilidad o planes estratgicos, las cuales pueden ser atacadas por corporaciones o compaas inescrupulosas que podran utilizar esta informacin con fines lucrativos o destructivos. Igualmente, TOR es usado por activistas y denunciantes como los defensores de los derechos humanos y derechos laborales, que realizan denuncias a violaciones de los derechos y a su vez quieren proteger su identidad. Sin embargo, muchas personas han denunciado el uso de esta herramienta para fines inescrupulosos y poco ticos como los ataques a otros computadores, sin ser rastreados con facilidad, adems ha sido usado por personas que desean beneficiarse con pornografa infantil y no ser detectados en la red, igualmente los terroristas, secuestradores, distribuidores de drogas y en resumen toda aquella persona que desee violentar la ley sin ser detectadas. Ahora ms a fondo en el tema del funcionamiento de TOR, es necesario mencionar algunos conceptos bsicos que permitirn entender la anonimidad, como los son Digital Mixing y servidores proxy annimos[7]. Digital mixing (o mix network) es un concepto inventado por David Chaum en 1980s el cual se

TOR: Acrnimo en Ingls de The Onion Router.

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

busca garantizar anonimidad de alto nivel con comunicacin personal. Digital mixing usa un concepto similar al enrutamiento solo que este aade mas nodos entre la comunicacin del emisor y el receptor. Las capas son usadas creando llaves pblicas, como se muestra en la Ilustracin 2.

Ilustracin 2. Encriptacin con tres capas[7]

Para mejorar este concepto, el siguiente ejemplo permitir clarificar el significado de Digital Mixing. Si Alicie desea enviar un mensaje a Bob sin la intervencin de terceros, ella cifrar el mensaje tres veces con la ayuda de criptografa de llave pblica. Ella luego enviar este mensaje a un servidor proxy el cual remover la primera capa y luego este lo enviar al siguiente nodo el cual realizara lo mismo, hasta llegar al ltimo servidor, el cual se encargara de descifrar y enviar el mensaje al destinatario. Como se ilustra a continuacin.

Ilustracin 3. Digital Mixing, proceso de cifrado de mensaje con tres capas[7]

Es importante tener en cuenta que el uso de Digital Mixing es solo efectivo en caso de envi de paquetes de datos de tamao estticos, como los del e-mail, porque si es usado para el uso de navegacin web, o transferencia de datos, es posible que resulte en una alta latencia o en su defecto, demora en el envi de cada paquete. Ahora bien, un servidor proxy annimo es un servidor el cual tiene como funcin ser un nodo en una red, esto quiere decir que solo recibe datos de un punto y los enva a otro. El sistema de servidores proxy tiene algunos aspectos positivos, como el posible uso de transferencia de datos de tamao

esttico y dinmico, adems no requiere de tcnicas de cifrado de llaves pblicas para que funcione, y por ltimo es un sistema simple. Sin embargo, los servidores proxy tienen un defecto fatal, que los hace menos confiables y bastante vulnerables. En caso de que un tercero no fiable controle el servidor proxy (por ejemplo, un grupo de delincuentes que utilicen el servidor para realizar phishing2) el usuario ya no est seguro, y su comunicacin no ser annima. TOR en vez de utilizar tcnicas distintas a las mencionadas anteriormente, realiza tcnicas combinando Digital Mixing y proxys annimos. TOR ayuda a reducir los riesgos del anlisis de trfico tanto sencillo como sofisticado, distribuye las transacciones en distintos puntos de Internet, de forma que un nico punto no puede enlazarse con el destino. La idea es similar a usar una ruta sinuosa, difcil de seguir, el objetivo es ir borrando las huellas peridicamente para despistar a alguien que est siguiendo la pista de los paquetes annimos. En lugar de tomar la ruta directa desde el origen al destino, los paquetes de datos en la red TOR toman caminos aleatorios a travs de varios repetidores que tapan los rastros para que ningn observador de un nico punto sea capaz de decir de dnde proceden los datos o hacia dnde se dirigen. [6]Para crear una ruta privada en la red con TOR, el software del usuario o cliente construye incrementalmente un circuito de conexiones cifradas a travs de repetidores en la red. El circuito se extiende un tramo cada vez y cada repetidor a lo largo del camino conoce nicamente qu repetidor le proporciona los datos y a qu repetidor se los entrega. Ningn repetidor individual conoce nunca el recorrido completo que ha tomado un paquete de datos. El cliente negocia un conjunto separados de claves de cifrado para cada tramo a lo largo del circuito para asegurar que cada tramo no puede rastrear estas conexiones a medida que lo atraviesan

2 Phising: es una modalidad de estafa diseada con la finalidad de robarle la identidad. El delito consiste en obtener informacin tal como nmeros de tarjetas de crdito, contraseas, informacin de cuentas u otros datos personales por medio de engaos.

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

Ilustracin 4. Obteniendo la lista de nodos

Ilustracin 6. Cambios en la ruta

Una vez que un circuito ha sido establecido, por la red TOR se pueden intercambiar muchas clases de datos y desplegar distintos tipos de aplicaciones software. Debido a que cada repetidor no ve ms de un tramo en el circuito, ni un espa, ni un repetidor intervenido pueden usar anlisis de trfico para asociar el origen y el destino de las conexiones. TOR slo funciona con flujos TCP y puede ser usado por cualquier aplicacin que soporte SOCKS.

TOR no puede solucionar todos los problemas de anonimato. Se centra nicamente en proteger el transporte de los datos. Si no se desea que los sitios que son visitados vean informacin de identificacin, es necesario usar un software de apoyo especfico para el protocolo en cuestin. Por ejemplo, es posible usar proxys web como Privoxy3 mientras navegas para bloquear cookies y ocultar informacin acerca del tipo de navegador. Para usar adecuadamente TOR es necesario tener cuenta algunas recomendaciones, antes de realizar cualquier actividad en la red de manera annima, algunas de stas son[5]: 1. TOR slo protege las aplicaciones de Internet que estn configuradas para enviar trfico a travs de TOR no se hace annimo automticamente a todo trfico. Es recomendable usar Firefox con la extensin TORbutton. 2. Los plugins del navegador como Java, Flash, ActiveX, RealPlayer, Quicktime, el plugin PDF de Adobe y otros pueden ser manipulados para revelar su direccin IP. Probablemente deba desinstalar sus plugins (vaya a "about:plugins" para ver qu est instalado), o investigue QuickJava, FlashBlock, y NoScript si realmente los necesita. Considere eliminar extensiones que buscan ms informacin sobre los sitios web con los que los rellena (como Google toolbar), ya que pueden evitar TOR y/o
3 Privoxy: Privoxy es un servidor proxy de filtrado mediante el cual podemos bloquear la publicidad de las pginas webs, bloquear pginas enteras o simplemente parte de ellas

Ilustracin 5. Alice escoge camino para comunicarse

Por eficiencia, el software de TOR utiliza el mismo circuito para las conexiones que se establecen en los mismos diez minutos aproximadamente. A las peticiones posteriores se les proporciona un circuito nuevo para evitar que alguien pueda asociar tus primeras acciones con las posteriores.

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

enviar informacin confidencial. Alguna gente prefiere usar dos navegadores (uno para TOR, otro para navegar de forma no segura). 3. Tenga cuidado con las cookies: si alguna vez navega sin TOR, ni Privoxy y un sitio le da una cookie, esa cookie podra identificarle aunque empiece a usar TOR otra vez. Debera limpiar las cookies frecuentemente. CookieCuller puede ayudarle a proteger las cookies que no quiera perder. 4. TOR vuelve annimo el origen de su trfico, y lo encripta todo dentro de la red TOR, pero no puede cifrar su trfico entre la red TOR y su destino final. Si est comunicando informacin confidencial, debera tener el mismo cuidado que en la espeluznante Internet normal use HTTPS u otro cifrado y autentificacin de punta a punta. 5. Aunque TOR evita que los atacantes de tu red local descubran o influyan en tu destino, ste abre nuevos riesgos: nodos TOR de malicioso en la salida o mal configurados pueden enviarlo a una pgina errnea, o incluso enviar applets Java embebidos disfrazados como dominios que son generalmente confiables. Son conocidas muy pocas vulnerabilidades de TOR, sin embargo importantes y necesarias si se desea realizar un anlisis de posibles ataques, stas son [10]: 1. La primera tcnica permite al propietario de un sitio web conocer la verdadera identidad de un usuario que utiliza TOR mediante el uso de un applet de Java que enva un paquete ICMP (TOR no soporta tneles ICMP) al sitio web y de que muestra la verdadera identidad del visitante del sitio web. 2. El segundo mtodo requiere ser dueo de un ExitNode. Por ser dueo de la ExitNode el atacante puede inyectar cdigo javascript o un applet de Java en las pginas solicitadas que transmite al usuario original TOR que le

ayudar a desvelar la identidad del usuario TOR. A diferencia de otras aplicaciones que ofrece navegacin annima, TOR es bastante lento debido al hecho de que todo est cifrado, y se transmite a travs de 3 servidores en todo el mundo. En el futuro, algunos de los logros que pretende cumplir los realizadores del proyecto TOR, son: mejorar la escalabilidad de la red TOR; realizar clasificacin de los anchos de banda de los usuarios de TOR; mantener incentivados a los voluntarios que donen sus mquinas como nodos dentro de la red TOR; mantener un mecanismo de cach en los nodos de salida para ahorrar en uso de ancho de banda y mejorar el rendimiento de la red; mejorar los directorios de distribucin, en vez de que los clientes pidan directorios de usuarios cada 15 minutos, stos puedan ser actualizados cuando cambien. IV. SOLUCIONES ANTIFORENSES Aunque la mayora de la literatura que habla de los Anonymizers los define como proyectos con fines acadmicos y educativos que buscan incrementar la privacidad de sus usuarios a travs de la red, algunos autores han hecho nfasis en los problemas que estos pueden llegar a representar si son utilizados incorrectamente. De hecho, esa ventaja que es ofrecida por esta clase de sistemas puede ser una fuerte herramienta para los usuarios malintencionados de la red que desean atacar otros sistemas sin dejar rastro. Por ejemplo, Dhanjani, Nitesh[11], considera TOR como un excelente esfuerzo enfocado en defender la privacidad en lnea demuestra a travs de un experimento realizado utilizando TOR, Socat4, y Nessus5 como se puede configurar TOR para realizar ataques sobre otros equipos. Partiendo de la problemtica descrita anteriormente, esta seccin pretende recopilar los estudios realizados por otros autores para defenderse del uso indebido de los Anonymizers.

4 Utilidad basada en lnea de comandos que establece dos canales de comunicacin en bytes y transfiere datos a travs de ellos. 5 Potente escner de redes de Software Libre. Consta de dos partes (cliente/servidor) que pueden estar instaladas en las misma mquina por simplicidad (en este post as se expone).

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

Los soluciones anti forenses que se mostrarn a continuacin han sido desarrolladas por varios autores que han estudiado las vulnerabilidades de los Anonymizers6 descubriendo huecos de seguridad que permiten atacar y alterar dichos sistemas para posteriormente monitorearlos, y (en algunos casos) manipularlos. Para mostrar estas dos posibles alteraciones anteriormente enunciadas, se realizar una descripcin de dos tipos de ataque sobre TOR. Dichos ataques parten de algunas caractersticas de TOR que permiten determinar con mayor facilidad sus vulnerabilidades. Dichos principios y caractersticas son: 1. Los circuitos conformados por TOR se componen usualmente de 3 OR7 los cuales interactan para atender la solicitud de un TP8. Aunque este es su comportamiento frecuente, TOR no establece un tamao fijo de los OR que conformarn un circuito. 2. El mensaje mandado a travs del TP es encapsulado en paquetes denominados celdas TOR. 3. Las celdas TOR constan de varias capas cifradas por el TP, las cuales van siendo descifradas por los OR (cada OR descifra una capa) 4. Todos los OR excepto el ltimo, no se encuentran en capacidad de identificar su posicin en el circuito. Partiendo de esas caractersticas se desarrollan los ataques expuestos a continuacin. Cabe resaltar que los ataques presentados a continuacin no solo sirven para detectar usuarios malintencionados dentro de TOR sino que tambin sirven para modificar el comportamiento normal de la red y para anular la privacidad que esta herramienta ofrece a sus usuarios. 1. Traffic Analysis Attack[12] Como su nombre lo indica, este tipo de ataques se basan en el anlisis del trfico presente en la red.
Aunque las vulnerabilidades expuestas por los autores pueden aplicar en algunos casos para todo tipo de Anonymizers, todos los casos de estudio y prueba han sido desarrollados sobre TOR 7 Acrnimo de Onion Router. Un Onion router es el nombre que se le pone a los routers que hacen parte de TOR. Adems de realizar funciones de enrutamiento estos realizan funciones de descifrado de mensajes. 8 Acrnimo de Tor Proxy. El Tor Proxy es el equipo que desea solicitar el servicio de privacidad a la red de TOR.
6

Existen varias formas para realizar este tipo de ataque cuyo resultado final ser la posibilidad de monitorear la red conformada por el TOR. Tipos de Ataque. Como se mencion en el prrafo anterior, existen varios tipos de ataque conocidos que permiten realizar anlisis de trfico sobre TOR. A continuacin explicaremos algunos de ellos: i. Monitoreo de sobre los OR del circuito: Teniendo en cuenta que la vctima del ataque va TOR tiene acceso a la IP del ltimo OR escogido para acceder a l, la vctima puede intentar (i) vulnerar e implantar un monitor sobre dicho router, (ii) implantar un OR falso (este procedimiento ser explicado ms adelante en la descripcin del Packet Spinning Attack) que reemplace al original y le permita realizar un monitoreo sobre el trfico que le llegaba a dicho OR. Se podra pensar que ese procedimiento tan sencillo podra repetirse hasta llegar al OR inicial. Sin embargo la estructura de TOR hace que un solo OR trabaje a travs de varios circuitos de red, lo cual podra dificultar el trabajo. Adems el manejo de cifrado que provee TOR dificulta la labor de reconstruccin del circuito. Sin embargo puede que en algunos casos, analizando el comportamiento del OR se pueda determinar cul es el OR anterior que est enviando la informacin a travs del conteo de paquetes. ii. Clogging Attack: Este ataque puede ser utilizado cuando el que realiza el ataque a travs de TOR es detectado durante la realizacin de ese ataque. Utilizando nuevamente el ltimo OR la victima puede crear una ruta entre dicho nodo y otro grupo de nodos escogidos al azar y saturar dicha ruta con muchas solicitudes. Si detecta una reduccin en el rendimiento del envi de los ataques, se puede deducir que alguno de los nodos escogidos al azar hace parte de la ruta que est utilizando el atacante. De ser as, la victima podra monitorear el comportamiento de los nodos

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

escogidos o intentar la bsqueda binaria para deducir que nodos conforman la red. Una variante de este ataque consiste en realizar una bsqueda de los nodos a travs de fuerza bruta, utilizando algn exploit9 sobre el protocolo IP, se podra retrasar el envo de paquetes alguno de los OR de la red TOR y analizar si dicho retraso altera la velocidad con la que llegan los paquetes enviados por el atacante. Beneficios: Poder realizar ataques de este tipo permitira tener un control del trfico parcial o total sobre la red de TOR. Dicho control del trfico le permitir detectar a la victima de los ataques va TOR, que OR estn interactuando entre s para comunicarse con su computadora o servidor y en el mejor de los casos, se podr saber la IP real del atacante.

especial del circuito donde se coloca un OR corrupto al final del circuito. El OR falso no realiza operaciones de criptografa sino que devuelve el paquete a otro OR para que lo sigan descifrando. Al llegar nuevamente al falso OR este estar descifrado completamente. Es en este momento cuando el OR falso bota el paquete y coloca nuevamente una copia del paquete original las veces que quiera dejando la interaccin entre los OR del circuito en un ciclo infinito. La ilustracin 7 muestra cmo debe quedar la configuracin del circuito (parte baja de la ilustracin) en relacin a su configuracin ms comn (parte alta de la ilustracin).

2. Packet Spinning Attack[13] Este tipo de ataque parte de un estudio realizado por un grupo de investigadores del Institute of Computer Science (ICS) de la Fundacin Foundation for Research & Technology Hellas (FORTH) que partiendo de dos principios fundamentales permite que el atacante manipule el comportamiento de TOR a su gusto. Dichos principios son: i. Mientras que todo el circuito no sea detectado por todos los OR, los circuitos circulares no son detectables ii. Un OR legtimo siempre gastar un poco de tiempo realizando operaciones de criptografa. Este ataque se compone de dos fases: la fase de LOOP y la fase de COMPROMISO. Fase LOOP. En esta fase se necesita un TP falso y un OR falso. Que alteren el comportamiento normal de un solo circuito. Utilizando scripts y complementos de TOR se realiza una configuracin
9 Es una porcin de software, de datos o secuencia de comandos que se aprovechan de un bug o vulnerabilidad para causar comportamiento que el sistema ya sea hardware o software no espera

Ilustracin 7. Configuracin de un circuito normal (arriba) vs. configuracin alterada del circuito en la Fase de LOOP (abajo)

Al terminar esta fase muchos de los OR utilizados por la red de TOR se encontrarn saturados de operaciones que reducirn sus tiempos de respuesta. La reduccin en los tiempos har que el sistema no lo tome en cuenta para realizar ms labores de enrutamiento haciendo que tome en cuenta a otros OR presentes en el sistema. Este procedimiento debe hacerse cuantas veces sea necesario dependiendo la cantidad de OR genuinos presente dentro de TOR. Para ello se puede utilizar el mismo OR falso configurndolo para que altere varios circuitos al mismo tiempo (ver Ilustracin 8) Fase de COMPROMISO. Tomando como base la saturacin de OR desarrollada en la etapa anterior, la fase de compromiso tiene como objetivo establecer a los usuarios de TOR circuitos compuestos en su mayora (y en el mejor de los casos en su totalidad) por OR falsos manipulados y controlados directamente por el atacante.

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

Si en la fase anterior se comprometieron y atacaron gran cantidad de OR genuinos el atacante simplemente deber insertar ms OR maliciosos que no hagan parte de ninguno de los circuitos alterados en la etapa anterior para que puedan ser seleccionados por TOR como OR para nuevos circuitos. Entre mas OR originales hayan sido bloqueados en la etapa anterior, mayor probabilidad habr de que sean seleccionados los nuevos OR insertados.

Ilustracin 8. Fase de COMPROMISO

Como se muestra en la ilustracin 8, el OR utilizado en la fase de LOOP ha comprometido todos los OR genuinos de la red TOR (denotados con el color blanco). Debido a que todos se encuentran comprometidos TOR no los escoge para conformar nuevos circuitos debido a que su tiempo de respuesta es muy largo. Es aqu donde el atacante inserta dos OR falsos los cuales sern tomados en cuenta por TOR para formar el circuito que utilizar la vctima. Circuito que adems de no ofrecer privacidad se prestar para realizar otro tipo de ataques sobre la vctima. Un ataque experimental. En su trabajo, Pappas et al[13] realizaron un ataque experimental utilizando TorFlow, un paquete complementario escrito en Python compuesto de scripts que se comunican con OR activos. Utilizando esta herramienta desarrollaron scripts que creaban OR maliciosos.

Para reducir el tiempo en la realizacin del experimento, alteraron el lmite de banda ancha por OR a 1Mbit10. Posteriormente, configuraron un TP utilizando nuevamente TorFlow. Los investigadores se dieron cuenta que adems de servir para la fase de LOOP, el TP alter el funcionamiento de los TP originales que se estaban ejecutando durante el experimento. Los primeros cambios experimentados fue la dificultad que tuvo el TP legtimo de construir un circuito a tiempo. TOR deja un tiempo de construccin de circuito de 60 segundos y como este tardaba ms tiempo en la construccin de su circuito, los usuarios experimentales de TOR notaron una reduccin importante en la velocidad del funcionamiento del Anonymizer, ya que los OR no se encontraban en capacidad de procesar la solicitud a tiempo. El experimento finalmente arroj el resultado esperado. No solo se fueron creando circuitos conformados de OR falsos sino que adems se detecto lentitud en la comunicacin ya que los OR falsos asignados a los circuitos no estaban en capacidad de procesar la solicitud de crear y realizar labores dentro de un circuito a la misma velocidad de los OR normales lo cual generaba ms fallas en los TP. Beneficios. Si la vctima del ataque va TOR detecta dicho ataque. Esta podra desarrollar un contraataque similar al explicado anteriormente que le permita tener control sobre los circuitos desarrollados dentro de la red, para que de esta forma pueda monitorear, controlar e inclusive devolver, cualquier ataque que le estn realizando.

REFERENCIAS
[1] Camenisch, Jan., & Lysyanskaya, Anna., A formal Treatment of Onion Routing, 2005, Springer, LNCS. [2] Pfitzmann, Andreas., Hansen, Marit., Anonymity, Unlinkability, Unobservability, Pseudonymity, and Identity Management A Consolidated Proposal for Terminology, Dec 6 2005,
10 Esta reduccin en el tiempo tena como objetivo facilitar el desarrollo del experimento. Aunque esta alteracin no genera ninguna otra facilidad, el interesado en desarrollar este experimento en una red TOR grande deber configurar mas OR maliciosos y esperar ms tiempo a que los resultados surtan efecto. Para ms detalles sobre los resultados y las conclusiones del experimento, remitirse a la referencia bibliogrfica.

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense

Pontificia Universidad Javeriana. Aristizbal, Cristancho, Romero. Entendiendo los conceptos bsicos de los Anonymizers

10

http://dud.inf.tu-dresden.de/Anon_Terminology.shtml [3] Raymond, Jean-Francois., Traffic Analysis: Protocols, Attacks, Design Issues and Open Problems, LNCS. [4] Calyton, Richard., Danezis, George., G, Markus., Real World Patterns of Failure, LNCS, 2001. [5] Dingledine, Roger., Mathewson, Nick y Syverson. Paul, Deploying Low-Latency Anonymity, IEEE Security & Privacy, Sep. 2007. [6] The tor Project Inc, The tor project, http://www.torproject.org, 2008 [7] F.W.J. van Geelkerken TOR: The Onion Router, http://www.iusmentis.com/society/privacy/remailers/onio nrouting/, Dec. 2006. [8] Microsoft, Todo lo que debe saber acerca del "phishing", http://www.microsoft.com/latam/seguridad/hogar/spam/p hishing.mspx , Ago. de 2004 [9] Fentilinux, Privoxy, http://www.fentlinux.com/listing/manuales/privoxy.pdf [10] AnonWatch, TOR in depth, http://www.anonwatch.com/?p=3, May. 20, 2008 [11] Dhanjani, Nitesh., Launching Attacks via Tor, http://www.oreillynet.com/onlamp/blog/2005/07/launchi ng_attacks_via_tor.html, Jul de 2005. [12] Back, Adam., Moller, Ulf., & Stiglic, Aton., Traffic Analysis Attacks and Trade-Offs in Anonymity Providing Systems, p245257. Springer-Verlag, LNCS. [13] Pappas, Vasilis., Athanasopoulos, Elias., I, Sotiris., & P, Evangelos., Compromising Anonymity Using Packet Spinning, Springer.

Autores ARISTIZABAL MEJA, NICOLS Estudiante de Ingeniera de Sistemas Octavo Semestre Pontificia Universidad Javeriana CRISTANCHO CASTAEDA, JAVIER ALEXANDER Estudiante de Ingeniera de Sistemas Noveno Semestre Pontificia Universidad Javeriana ROMERO BARRETO, ANDRS OSWALDO Estudiante de Ingeniera de Sistemas Noveno Semestre Pontificia Universidad Javeriana

Pontificia Universidad Javeriana Agosto 2008 Informtica Forense