Testes com "Nós de Saída" e Utilização de Honeypot
Em meio a isso, um pesquisador de segurança que atende pelo nome de Chloe, recentemente testou cerca de 1.400 nós de saída do Tor através da criação de um site de phishing Bitcoin-theme, através de uma página de login, além de utilizar combinações de usuário/senha únicos, a cada vez que ela (ele?) utiliza nós diferentes para visitar e fazer login no referido site. Isto permitiu a Chloe, verificar se alguém que estivesse operando um nó de saída do Tor, tentaria usar as credenciais de login que eles recolhem a partir de tráfego não encriptado. Em pouco mais de um mês, cerca de 1.400 nós foram testados mais de 95 vezes. Nesse período, houve 12 tentativas de acesso sem sucesso (com uso de senha errada), e 16 tentativas bem-sucedidas utilizando as senhas únicas (e essas tentativas não foram feitas por Chloe). As senhas usadas permitiram que Chloe identificasse qual os nós de saída que, obviamente, os operadores haviam utilizado, com referência a um sniffing de tráfego que passa por ele, e assim, comunicá-los ao projeto Tor. Ainda assim, alguns desses nós ainda estão ativos até hoje e não tem sido marcados como "bad". Finalmente, é bom salientar que também é possível que haja mais operadores espiões do que o evidenciado - talvez alguns estivessem apenas interessados em acessar esse site de phishing particular.
Qualquer um pode criar um nó de saída e devido a ele estar no lugar onde o tráfego é decriptografado, qualquer pessoa que executa um nó de saída pode ler o tráfego que passa por ele. Nós de saída considerados "bad" são inteiramente possíveis, então, vem uma má notícia. Se eles existem, como é que podem ser encontrados? Exatamente por isso que Chloe criou um site falso, com uma lista completa dos nós de saída e, em seguida, conectou ao site honeypot várias vezes através da rede Tor, usando um nó de saída diferente e uma senha única a cada vez. De forma primordial, os nomes de usuário e senhas foram enviadas através de HTTP ao invés de HTTPS criptografado para quando as camadas criptográficas do Tor forem descobertas, eles ficassem visíveis no fluxo de tráfego.
Senhas, Espionagem e Resultados
As senhas não foram armazenadas em qualquer lugar e eram demasiadamente difíceis de adivinhar; se elas foram realmente roubadas, isso foi feito por alguém bisbilhotando em modo "on-the-wire". Além do mais, a percentagem de testes que experimentou um log extra durante essas tentativas foi muito pequena (cerca de 0,015%) e é possível que os resultados sejam irrelevantes devido a outros fatores tais como espionagem ou mesmo a realização de testes para a detecção de erros. Dessa forma, podemos concluir que a pesquisa de Chloe é interessante, mas não é exatamente uma arma perigosa. Em face disso, é importante lembrar que em 2007, houve a configuração de apenas cinco nós de saída do Tor e eles foram usados para interceptar milhares de e-mails privados, mensagens instantâneas e credenciais de contas de e-mail. Dentre as vítimas dessa investida, estavam as embaixadas da Austrália, Japão, Irã, Índia e Rússia, o Ministério das Relações Exteriores do Irã, o Ministério da Defesa da Índia e o Gabinete de Ligação do Dalai Lama. Dessa maneira, foi concluído que as pessoas estavam usando o Tor, na crença equivocada de que era uma ferramenta de criptografia "end-to-end".
Injeção de Malware em Arquivos Executáveis
A rede Tor funciona através da transmissão dos dados entre vários computadores da rede, fazendo com que o destinatário não saiba qual foi exatamente o computador que fez a solicitação original. Só que isso torna também possível que o nó de saída se torne um ponto crítico, ponto este que poderá interceptar e manipular dados, como foi descoberto em uma investigação realizada anteriormente. Em um registro de outubro do ano de 2014, um destes nós de saída estava injetando malware em todos os executáveis que fossem transferidos através da comunicação estabelecida. Isto quer dizer que, mesmo se alguém tivesse acesso a um site de confiança e a partir de lá baixasse um programa legítimo, o arquivo que seria recebido em seu seu computador iria infectá-lo e colocá-lo sob o controle destes atacantes. Entretanto, isto foi reportado à rede Tor e o nó de saída foi invalidado, o que não impede que volte a acontecer no futuro. Tal situação é crítica no caso dos nós de saída, uma vez que até aí todo o tráfego é encriptado e por isso, praticamente impossível de ser adulterado. Caso sejam usadas apenas comunicações seguras (https) para evitar o referido tipo de problema, este estilo de manipulação de dados torna-se impossível, até porque é uma coisa de que quem se preocupa com a sua privacidade ao ponto de usar a rede Tor. Além disso, é preciso reforçar sobre o cuidado extremo que se deve ter com tudo o que se baixa e executa no computador (ou mesmo em seu smartphone, tablet, etc.) sendo conveniente ter total confiança não só no seu ponto de origem, mas também em todo o caminho que esses dados terão que atravessar até chegarem até nós.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=18562