Crédito: Shutterstock
Com recentes ataques à deep web feitos pelo FBI e Europol, a rede parece estar na mira das autoridades como nunca antes. E agora, isso: Tor, o método mais comum de se acessar a deep web, não é tão anônimo quanto diz ser, de acordo com um novo estudo dos pesquisadores da Universidade de Columbia.Mesmo com a recente atuação das autoridades na deep web, a confiança dos usuários no Tor seguiu praticamente a mesma, inclusive com um pesquisador afirmando que "parece que não há nenhuma [vulnerabilidade] no esquema de anonimato do Tor". Mas Sambuddho Chakravarty da Universidade de Columbia descobriu uma brecha que lhe permitiu identificar usuários do Tor em 100% do tempo em um experimento laboratorial, e 81.4% do tempo em testes conduzidos no mundo real.O Tor sempre manteve o tráfego na internet anônimo ao atrasar ou alterar os pacotes de dados enviados através dos servidores (por isso ele costuma ser mais lento que seu navegador comum), fazendo parecer que o tráfego vem de outro lugar (o endereço IP "visto" pelo servidor é chamado de "nodo de saída"). Se o servidor final do site que você visitou também pode detectar o ponto de origem em que se tráfego adentra o Tor (o "nodo de entrada" ou "retransmissor de entrada"), então perde-se o anonimato."O Tor (como qualquer projeto atual de anonimato de baixa latência) falha quando o invasor consegue ver as duas pontas do canal de comunicação", escreveu o Tor Project em sua página de perguntas frequentes. "Por exemplo, suponha que o invasor controle ou monitore o retransmissor do Tor que você escolheu para entrar na rede, e também controle ou monitore o site que você está visitando. Neste caso, a comunidade de pesquisa não conhece nenhum projeto de baixa latência que possa impedir o invasor de forma confiável a correlacionar volume e timing nestes dois extremos".Porém, acontece que o método de Chakravarty usa uma vulnerabilidade codificada em quase todo roteador comercial e um pouco de análise estatística para descobrir quem é quem. É complicado, mas funciona mais ou menos assim:Ele configura um servidor e site falsos na deep web, onde a vítima tem que baixar um arquivo grande. Dentro do arquivo está o código que lhe permite acessar uma funcionalidade da maioria dos roteadores chamada NetFlow, que foi criada pela Cisco para dividir o tráfego em diferentes tipos de dados: email, navegador, e outros, por exemplo.Enquanto isso acontece, o servidor também está enviando dados de volta para os diversos nodos do Tor, servidores criados para disfarçar a localidade de alguém. Se o usuário continuar a ser roteado por estes nodos (o que exige que o arquivo continue sendo baixado por vários minutos, talvez uma hora), Chakravarty tem como usar a informação do NetFlow daquele usuário para "adivinhar" (com ajuda de algo de análise estatística avançada) de onde é o nodo de entrada daquele usuário ao analisar o tipo de dados que o roteador do usuário está acessando.Em forma de gráfico, parece-se com isso:Fig. 2 Processo Geral Para Análise Com Base em NetFlow Contra o TorO usuário baixa um arquivo do servidor 1, enquanto o mesmo injeta um padrão de tráfego na conexão TCP do nodo de saída 2. Após um tempo, a conexão é encerrada e o adversário recebe dados de fluxo correspondentes ao servidor de saída e do nodo de entrada para o tráfego de usuário 3, e computa o coeficiente de correlação entre o servidor de saída de tráfego e entrada com as estatísticas do usuário 4.Soa complicado e talvez um pouco forçado, mas um "adversário poderoso", ele diz, precisa apenas criar um site falso e ter capacidades rudimentares de lidar com números para recriar este processo. Se por acaso este adversário administrar diversos outros nodos, a coisa fica ainda mais fácil.Na prática, isso quer dizer que o FBI, a NSA, ou qualquer um poderia criar uma situação em que, se você visitar um site falso cheio de drogas ou pornografia infantil ou o que for e baixar um arquivo relativamente grande dele (cerca de 100 MB, ele sugere), sua identidade poderá ser descoberta, em 81% do tempo.Direto da pesquisa:"Em nosso modelo de ataque, presumimos que a vítima é atraída a acessar um servidor em especial através do Tor, enquanto o adversário coleta dados NetFlow correspondentes ao tráfego entre o nodo de saída e o servidor, bem como navegadores Tor e o nodo de entrada da vítima. O adversário tem o controle daquele servidor em especial (e possivelmente muitos outros que as vítimas poderiam visitar), e assim sabe de que nodo de saída se origina o tráfego da vítima."Nada disso é exatamente fácil de fazer (apesar de que Chakravarty destacou ter usado apenas software livro para fazê-lo), mas está dentro do alcance (e interesses) do FBI e NSA."Presumimos a existência de um adversário poderoso, capaz de observar o tráfego de entrada e saída dos nodos da rede Tor em diversos pontos", escreveu. "Tal adversário talvez seja uma nação-estado poderosa ou um conluio entre estas nações."Como o sistema de Chakravarty essencialmente dá um tremendo de um pitaco (científico) em quem você é, falsos positivos, ocorridos em 6% do tempo, são inevitáveis, e por isso Roger Dingledine, presidente do Tor Project, diz que ele não é bom o bastante para ser útil no mundo real."Assim soa como se você visse um fluxo de tráfego em um ponto da rede Tor, e tivesse um conjunto de 100.000 fluxos do outro, e tentasse encontrar uma correspondência, 6.000 destes fluxos apareceriam. É fácil ver como, em escala, esta 'falácia da taxa base' poderia tornar o ataque inútil", escreveu Dingledine no blog do Tor.É um argumento justo, mas supõe que um adversário poderoso não teria métodos adicionais de rastreio de pessoas assim que tivesse seus IPs em mãos – algo que a NSA ou FBI tem. Também presume que este não poderia simplesmente esperar que um IP aparecesse por diversas vezes, talvez até ao longo de meses – algo que a NSA ou FBI poderia fazer. Chakravarty adicionou que não seria necessário que a ação viesse de parte de algum poderoso agente do estado e que outros que tem diversos nodos do Tor em mãos poderiam fazê-lo também.O Tor sempre disse que este tipo de ataque seria possível, mas que a incidência de falsos positivos o tornaria inviável para que as autoridades o usassem. Em outras palavras, o Tor prega segurança através dos números: se há mais gente rodando retransmissores Tor (também chamados de nodos), fica muito mais difícil para o adversário usar de fato este ataque."Devo também enfatizar que a possibilidade ou não destes ataques tem a ver com quanto da internet o adversário pode medir ou controlar", afirmou Dingledine. "Parece-me que falta muito trabalho aqui para provar que isso poderia funcionar na prática."De qualquer forma, Dingledine admite ser um experiência de pensamento interessante e não nega que Chakravarty conseguiu "desanonimizar" as pessoas por meio de seus experimentos. Restam as perguntas: estariam a NSA ou FBI dispostos a realizar estes ataques? E como estes grupos lidariam legalmente e minimizariam falsos positivos? Levando em conta como ambos lidaram com questões de privacidade recentemente, não parece estar fora do reino das possibilidades que o grupo começasse a investigar toneladas de IPs e lidasse com esse probleminha depois.Tradução: Thiago "Índio" Silva
Publicidade
Publicidade
Publicidade
Publicidade