Revelan dos zero-days de Tor… y pronto revelarán más
Un investigador de seguridad ha publicado detalles sobre dos día cero (zero-days) de Tor y promete liberar tres más.
Durante la semana pasada, un investigador de seguridad publicó detalles técnicos sobre dos vulnerabilidades que afectan la red Tor y el navegador Tor.
En las publicaciones de su blog de la semana pasada y hoy, el Dr. Neal Krawetz dijo que haría público los detalles sobre dos zero-days. Esto después de que el Proyecto Tor no haya abordado repetidamente los múltiples problemas de seguridad que informó durante los últimos años.
El investigador también prometió revelar al menos tres zero-days más de Tor. Entre esas revelaciones estaría incluido uno que puede revelar la dirección IP del mundo real de los servidores Tor.
Se ha intentado conocer la opinión sobre las intenciones del Dr. Krawetz de parte del Proyecto Tor. No obstante, el Proyecto Tor no respondió a la solicitud de comentarios ni proporcionó detalles adicionales sobre su postura al respecto.
El primer zero-day de Tor
El Dr. Krawetz opera múltiples nodos Tor y tiene una larga historia de búsqueda y reporte de errores a Tor. Krawetz reveló el primer zero-day de Tor la semana pasada.
La revelación la hizo en una publicación en su blog con fecha del 23 de julio. Ahí el investigador describió cómo las compañías y los proveedores de servicios de Internet podrían bloquear a los usuarios para que no se conecten a la red Tor. Esto al escanear las conexiones de red en busca de “una firma de paquete distinta” que sea exclusiva del tráfico Tor.
El paquete podría usarse como una forma de bloquear las conexiones de Tor para que no se inicien y efectivamente prohibir Tor por completo. Este es un problema que es muy probable que los regímenes opresivos aprovechen.
Segundo zero-day
Hoy temprano, en una publicación en su blog, el Dr. Krawetz reveló un segundo problema. Este, como el primero, permite a los operadores de red detectar el tráfico Tor.
Recordemos que el primer zero-day podría usarse para detectar conexiones directas a la red Tor (a los nodos de entrada de Tor). No obstante, el segundo puede usarse para detectar conexiones indirectas.
Estas son conexiones que los usuarios hacen a los puentes Tor, un tipo especial de puntos de entrada a la red Tor. Dichos puentes se pueden usar cuando las empresas y los ISP bloquean el acceso directo a la red Tor.
Los puentes Tor actúan como puntos proxy y retransmiten las conexiones del usuario a la propia red Tor. Debido a que son servidores Tor sensibles, la lista de puentes Tor se actualiza constantemente para dificultar el bloqueo de los ISP.
Pero el Dr. Krawetz dice que las conexiones a los puentes Tor también se pueden detectar fácilmente. Se pueden detectar utilizando una técnica similar para rastrear paquetes TCP específicos.
“Entre mi publicación anterior y esta, ahora tienes todo lo que necesitas para hacer cumplir la política [de bloquear Tor en una red]. Esto con un sistema de inspección de paquetes con estado en tiempo real. Puedes evitar que todos tus usuarios se conecten a Tor red, ya sea que se conecten directamente o usen un puent “, afirmó Krawetz.
Insatisfacción hacia la postura de seguridad del proyecto Tor
La razón por la cual el Dr. Krawetz está publicando estos zero-days es porque cree que el Proyecto Tor no ha prestado la atención necesaria. El Proyecto Tor no se toma la seguridad de sus redes, herramientas y usuarios lo suficientemente en serio.
El investigador de seguridad cita incidentes anteriores cuando trató de reportar errores al Proyecto Tor. La respuesta que recibió es que estaban al tanto del problema, trabajando en una solución, pero nunca implementando dicha solución. Esto incluye:
- Una vulnerabilidad que permite que los sitios web detecten y tomen fingerprint a los usuarios del navegador Tor. Esto por el ancho de su barra de desplazamiento; el Proyecto Tor conoce de la vulnerabilidad desde al menos junio de 2017.
- Un error que permite a los adversarios de la red detectar servidores de puente Tor utilizando su puerto OR (Onion routing). Vulnerabilidad reportada hace ocho años.
- Una vulnerabilidad que permite a los atacantes identificar la biblioteca SSL utilizada por los servidores Tor. Esta fue reportada el 27 de diciembre de 2017.
Todos estos problemas aún no se han solucionado. Dicha displicencia ha llevado al Dr. Krawetz a principios de junio de 2020 a abandonar su colaboración con el Proyecto Tor. Krawetz ha adoptado el enfoque actual de avergonzar públicamente a la empresa para que tome medidas.
I’m giving up reporting bugs to Tor Project. Tor has serious problems that need to be addressed, they know about many of them and refuse to do anything.
I’m holding off dropping Tor 0days until the protests are over. (We need Tor now, even with bugs.) After protests come 0days.
— Dr. Neal Krawetz (@hackerfactor) June 4, 2020