A– Ataques a Clientes

Ataque baseado em plugins

• Objetivo: desvendar o endereço IP do usuário;
• Pré-requisito: conseguir que o navegador execute plugins, o que é desabilitado por padrão no Tor Browser;
• Modus operandi: plugins como Flash, Java e ActiveX são executados fora do controle do navegador, contornando por padrão as configurações de proxy do Tor. Assim sendo, contactam a Internet diretamente, entregando o endereço IP do usuário.

Torben

• Objetivo: desvendar quais páginas web um dado usuário está acessando via Tor;
• Pré-requisito: conseguir manipular as páginas web solicitadas pelo cliente;
• Modus operandi: junto com as páginas, o cliente é levado a acessar conteúdo de fontes duvidosas, o que serve de indicador sobre as páginas acessadas.

Vazamento de dados P2P

• Objetivo: desvendar o endereço IP do usuário;
• Pré-requisito: incluir um peer BitTorrent malicioso na lista de peers fornecidos pelo tracker BitTorrent (man-in-the-middle);
• Modus operandi: as conexões com trackers BitTorrent podem ser anonimizadas com Tor, mas as conexões P2P (peer-to-peer), como o próprio nome indica, não. Consequentemente, por meio delas é entregue o endereço IP do usuário.

Indução de seleção de Tor Guard Node (nó de entrada)

• Objetivo: forçar o cliente a conectar-se a um nó de entrada controlado pelo adversário – isso é inócuo por si só, mas é pré-requisito para ataques mais elaborados;
• Pré-requisito: ser administrador de rede, provedor de internet, ou adquirir posição de controle na rede do usuário ilegitimamente;
• Modus operandi: bloquear conexões a nós públicos de entrada força, ou ao menos induz, o cliente a escolher o nó de entrada do adversário, por falta de opção.

R.A.P.TOR (Routing Attacks on Privacy in Tor)

Ferramenta para lançar ataques pré-definidos.

Exploração de portas impopulares

• Objetivo: desvendar o endereço IP do cliente;
• Pré-requisitos:
  1. controlar nós de entrada e saída;
  2. injetar scripts nos sites acessados pelo usuário;
  3. controlar um servidor na Internet.
• Modus operandi: os nós de saída da rede Tor frequentemente restringem os números de portas a que se podem conectar. Se o adversário libera uma dessas portas impopulares nos nós de saída que controla, e força o cliente a se conectar a um servidor sob seu controle nessa exata porta, por meio dos scripts injetados nas páginas web requisitadas pelo cliente, então poucos nós fora de seu controle terão capacidade de fazer essa conexão, e consequentemente, de serem escolhidos para formar o último elo do circuito. A correlação de tráfego permite deduzir o endereço IP do usuário.

B– Ataques aosHidden Services

Contagem de células e padding

1. o Hidden Service, induzido a se conectar ao ponto controlado pelo adversário, envia algum cookie/token do adversário para ele;
2. o ponto adversário, recebendo o sinal, responde pelo mesmo circuito com células de padding em quantia arbitrária, gerando uma assinatura no tráfego;
3. o nó de entrada malicioso que perceba essa assinatura, confirmará que foi o nó escolhido pelo Hidden Service. Como os nós de entrada sabem os endereços IP, está identificado o servidor.

Manipulação de células Tor

1. algum cliente envia um pacote/célula Tor para um Hidden Service a fim de iniciar a comunicação;
2. o ponto controlado pelo adversário, situado no meio do caminho, altera minimamente o pacote (1 bit) de forma que não esteja mais em conformidade com o protocolo;
3. o Hidden Service responde com uma mensagem de erro (“destroy”);
4. o nó de entrada malicioso do Hidden Service e o ponto sob controle do adversário registram em um servidor central do adversário o momento exato (“timestamp”): em que o pacote foi enviado; em que o Hidden Service respondeu com erro; e em que o erro chegou ao ponto arbitrário.
5. A correlação temporal permite então deduzir o endereço IP, pois o nó de entrada sabe-o.

Caronte

ferramenta para detectar automaticamente vazamentos de localização em Hidden Services por falha humana do administrador, não vulnerabilidade no protocolo.

Off-path MitM

um adversário que de algum modo se apossa da chave privada do Hidden Service consegue personificá-lo sem precisar entrar no caminho entre cliente e servidor.

C– Ataques àRede

Descoberta de Bridges

identificar bridges, cujas informações não são publicamente disponíveis.

Negação de Serviço

o exemplo clássico, CellFlood, aproveita-se do fato de que uma operação de 1024-bit leva 20x mais tempo para ser executada numa chave privada do quê numa pública, o que acarreta em cada célula Tor levar 4 vezes mais tempo para ser processada do quê para ser criada.

Sniper

tipo de Negação de Serviço. Um relay específico, por meio de mensagens válidas do protocolo, é levado a armazenar grandes quantias de dados em seu buffer, até o processo Tor travar na máquina e ele ficar offline. Se muitos nós forem alvo do Sniper, os clientes são levados a se conectarem no nó adversário, por falta de opção.

D– Ataques à Rede

Em todos os casos, o objetivo é deduzir qual o circuito Torde um dado cliente;

Análise de Tráfego

• Pré-requisitos:
• controlar um servidor malicioso e forçar o cliente a se conectar a ele;
• controlar numerosos nós de entrada.
• Modus operandi: o servidor malicioso envia um fluxo constante de pacotes especificamente elaborados para o cliente. Por correlação estatística com os pacotes que chegam nos nós de entrada, deduz-se o circuito do cliente.

Timing

• Pré-requisito: controlar tanto o nó de entrada quanto o de saída do cliente;
• Modus operandi: correlação temporal entre a saída e a chegada dos pacotes, sem precisar conhecer o conteúdo deles. Grandemente facilitado por interrupções do tráfego em intervalos predefinidos.

Shaping

variante do Timing. Ao invés de interromper o tráfego, altera-se a largura de banda dos fluxos em intervalos predeterminados, o que permite identificá-los com maior precisão.