​Como a NSA (Ou Qualquer Um) Pode Quebrar o Anonimato do Tor

Com recentes ataques à deep web feitos pelo FBI e Europol, a rede parece estar na mira das autoridades como nunca antes. E agora, isso: Tor, o método mais comum de se acessar a deep web, não é tão anônimo quanto diz ser, de acordo com um novo estudo dos pesquisadores da Universidade de Columbia.

Mesmo com a recente atuação das autoridades na deep web, a confiança dos usuários no Tor seguiu praticamente a mesma, inclusive com um pesquisador afirmando que "parece que não há nenhuma [vulnerabilidade] no esquema de anonimato do Tor". Mas Sambuddho Chakravarty da Universidade de Columbia descobriu uma brecha que lhe permitiu identificar usuários do Tor em 100% do tempo em um experimento laboratorial, e 81.4% do tempo em testes conduzidos no mundo real.

O Tor sempre manteve o tráfego na internet anônimo ao atrasar ou alterar os pacotes de dados enviados através dos servidores (por isso ele costuma ser mais lento que seu navegador comum), fazendo parecer que o tráfego vem de outro lugar (o endereço IP "visto" pelo servidor é chamado de "nodo de saída"). Se o servidor final do site que você visitou também pode detectar o ponto de origem em que se tráfego adentra o Tor (o "nodo de entrada" ou "retransmissor de entrada"), então perde-se o anonimato.

"O Tor (como qualquer projeto atual de anonimato de baixa latência) falha quando o invasor consegue ver as duas pontas do canal de comunicação", escreveu o Tor Project em sua página de perguntas frequentes. "Por exemplo, suponha que o invasor controle ou monitore o retransmissor do Tor que você escolheu para entrar na rede, e também controle ou monitore o site que você está visitando. Neste caso, a comunidade de pesquisa não conhece nenhum projeto de baixa latência que possa impedir o invasor de forma confiável a correlacionar volume e timing nestes dois extremos".

Porém, acontece que o método de Chakravarty usa uma vulnerabilidade codificada em quase todo roteador comercial e um pouco de análise estatística para descobrir quem é quem. É complicado, mas funciona mais ou menos assim:

Ele configura um servidor e site falsos na deep web, onde a vítima tem que baixar um arquivo grande. Dentro do arquivo está o código que lhe permite acessar uma funcionalidade da maioria dos roteadores chamada NetFlow, que foi criada pela Cisco para dividir o tráfego em diferentes tipos de dados: email, navegador, e outros, por exemplo.

Enquanto isso acontece, o servidor também está enviando dados de volta para os diversos nodos do Tor, servidores criados para disfarçar a localidade de alguém. Se o usuário continuar a ser roteado por estes nodos (o que exige que o arquivo continue sendo baixado por vários minutos, talvez uma hora), Chakravarty tem como usar a informação do NetFlow daquele usuário para "adivinhar" (com ajuda de algo de análise estatística avançada) de onde é o nodo de entrada daquele usuário ao analisar o tipo de dados que o roteador do usuário está acessando.

Em forma de gráfico, parece-se com isso:

Fig. 2 Processo Geral Para Análise Com Base em NetFlow Contra o Tor

O usuário baixa um arquivo do servidor 1, enquanto o mesmo injeta um padrão de tráfego na conexão TCP do nodo de saída 2. Após um tempo, a conexão é encerrada e o adversário recebe dados de fluxo correspondentes ao servidor de saída e do nodo de entrada para o tráfego de usuário 3, e computa o coeficiente de correlação entre o servidor de saída de tráfego e entrada com as estatísticas do usuário 4.

Soa complicado e talvez um pouco forçado, mas um "adversário poderoso", ele diz, precisa apenas criar um site falso e ter capacidades rudimentares de lidar com números para recriar este processo. Se por acaso este adversário administrar diversos outros nodos, a coisa fica ainda mais fácil.

Na prática, isso quer dizer que o FBI, a NSA, ou qualquer um poderia criar uma situação em que, se você visitar um site falso cheio de drogas ou pornografia infantil ou o que for e baixar um arquivo relativamente grande dele (cerca de 100 MB, ele sugere), sua identidade poderá ser descoberta, em 81% do tempo.

Direto da pesquisa:

"Em nosso modelo de ataque, presumimos que a vítima é atraída a acessar um servidor em especial através do Tor, enquanto o adversário coleta dados NetFlow correspondentes ao tráfego entre o nodo de saída e o servidor, bem como navegadores Tor e o nodo de entrada da vítima. O adversário tem o controle daquele servidor em especial (e possivelmente muitos outros que as vítimas poderiam visitar), e assim sabe de que nodo de saída se origina o tráfego da vítima."

Nada disso é exatamente fácil de fazer (apesar de que Chakravarty destacou ter usado apenas software livro para fazê-lo), mas está dentro do alcance (e interesses) do FBI e NSA.

"Presumimos a existência de um adversário poderoso, capaz de observar o tráfego de entrada e saída dos nodos da rede Tor em diversos pontos", escreveu. "Tal adversário talvez seja uma nação-estado poderosa ou um conluio entre estas nações."

Como o sistema de Chakravarty essencialmente dá um tremendo de um pitaco (científico) em quem você é, falsos positivos, ocorridos em 6% do tempo, são inevitáveis, e por isso Roger Dingledine, presidente do Tor Project, diz que ele não é bom o bastante para ser útil no mundo real.

"Assim soa como se você visse um fluxo de tráfego em um ponto da rede Tor, e tivesse um conjunto de 100.000 fluxos do outro, e tentasse encontrar uma correspondência, 6.000 destes fluxos apareceriam. É fácil ver como, em escala, esta 'falácia da taxa base' poderia tornar o ataque inútil", escreveu Dingledine no blog do Tor.

É um argumento justo, mas supõe que um adversário poderoso não teria métodos adicionais de rastreio de pessoas assim que tivesse seus IPs em mãos – algo que a NSA ou FBI tem. Também presume que este não poderia simplesmente esperar que um IP aparecesse por diversas vezes, talvez até ao longo de meses – algo que a NSA ou FBI poderia fazer. Chakravarty adicionou que não seria necessário que a ação viesse de parte de algum poderoso agente do estado e que outros que tem diversos nodos do Tor em mãos poderiam fazê-lo também.

O Tor sempre disse que este tipo de ataque seria possível, mas que a incidência de falsos positivos o tornaria inviável para que as autoridades o usassem. Em outras palavras, o Tor prega segurança através dos números: se há mais gente rodando retransmissores Tor (também chamados de nodos), fica muito mais difícil para o adversário usar de fato este ataque.

"Devo também enfatizar que a possibilidade ou não destes ataques tem a ver com quanto da internet o adversário pode medir ou controlar", afirmou Dingledine. "Parece-me que falta muito trabalho aqui para provar que isso poderia funcionar na prática."

De qualquer forma, Dingledine admite ser um experiência de pensamento interessante e não nega que Chakravarty conseguiu "desanonimizar" as pessoas por meio de seus experimentos. Restam as perguntas: estariam a NSA ou FBI dispostos a realizar estes ataques? E como estes grupos lidariam legalmente e minimizariam falsos positivos? Levando em conta como ambos lidaram com questões de privacidade recentemente, não parece estar fora do reino das possibilidades que o grupo começasse a investigar toneladas de IPs e lidasse com esse probleminha depois.

Tradução: Thiago "Índio" Silva