Investigadores aperfeiçoam método de ataque à Tor

Controlando os nós de entrada na rede, consegue-se localizar serviços ocultos e desmascarar visitantes.

teclado

Uma nova técnica pode permitir a atacantes determinarem com elevado grau de precisão sites escondidos na Tor e os utilizadores visitantes, embora seja difícil, diz a organização gestora da rede.

O método beneficia da melhoria de técnicas anteriores para monitorização do rasto digital de tráfego e foi elaborado por investigadores do MIT e do Qatar Computing Research Institute (QCRI).

A equipa descobriu formas de discernir entre diferentes tipos de conexões no tráfego cifrado no Tor. As anteriores técnicas tèm desvantagens significativas. Por exemplo, sites com anúncios de terceiros e “scripts” que mudam frequentemente tornam as “impressões digitais” rapidamente pouco fiáveis.

E também há a influência de uma grande quantidade de ruído de fundo no tráfego proveniente de um cliente Tor, tornando difícil isolar apenas os circuitos pertinentes para análise. A nova técnica desenvolvida pelos pesquisadores do MIT e QCRI resolve o segundo problema, especialmente no que se refere aos serviços escondidos: sites acessíveis apenas dentro da rede Tor.

Com a nova técnica de rastreio de circuitos, um atacante, a controlar um dispositivo de monitorização de um nó de entrada, pode determinar se um circuito Tor a passar por ele é usado para aceder a um serviço oculto (ou é usado para navegação geral na Internet), com uma precisão de 99%.

Isso ajuda a eliminar o ruído de fundo e focar apenas nos circuitos de serviço oculto. Os investigadores também argumentam que incidir em serviços ocultos com as técnicas de rastreio se tornou mais fácil do que para sites da Internet em geral.

Os investigadores recolheram “impressões digitais” de 50 serviços ocultos e descobriram ser possível determinar com 88% de exactidão quando um cliente Tor os visita.

O conteúdo dos primeiros não muda tanto. “No nosso ataque, mostramos que, no conjunto dos serviços escondidos, não temos limitações existentes nos ataques anteriores”, sustenta Mashael AlSabah, um professor assistente de ciência da computação na Universidade do Qatar e um dos autores do estudo.

Os investigadores recolheram “impressões digitais” de 50 serviços ocultos e descobriram ser possível determinar com 88% de exactidão quando um cliente Tor os visita. Também aplicaram a mesma técnica, com uma taxa semelhante de sucesso, ao desmascarar serviços ocultos quando os computadores, onde estes estão alojados, usam as entradas “guardadas”.

Cibercriminosos atacantes podem ampliar hipóteses de sucesso

Os atacantes podem aumentar as suas hipóteses de sucesso criando vários “guardas” de entrada. Um cliente de Tor normalmente escolhe três “guardas” de entrada e usa-as por um período de 45 dias, em média. Cada vez que uma nova conexão é estabelecida, um dos três “guardas” de entrada é seleccionado.

O estudo será apresentado no 24º Simpósio de Segurança da USENIX durante o próximo mês. Os investigadores contam propor alterações à rede Tor para, na sua opinião tornarem mais difíceis os referidos rastreios.

Soluções do problema ainda por comprovar

“É um problema conhecido que os circuitos de serviços escondidos são perceptíveis, mas este ataque é muito difícil de executar”, diz o Projeto Tor num comunicado. “As contra-medidas descritas no documento são interessantes pois os autores afirmam que a implantação de algumas delas neutralizariam o ataque e defendem melhor contra ataques ocultos de rastreio de impressões de circuito de serviço, em geral. Isso ainda tem que ser provado”, diz a organização.




Deixe um comentário

O seu email não será publicado