By Leave a Comment on Navegação tor e anónima – quão seguro é?

Um artigo publicado no site de blogues aberto a todos os interessados, Medium, no início desta semana, deu origem a algumas manchetes assustadoras.

Escrito como um artigo de pesquisa independente por um autor indo apenas por nusenu, a história é manchete:

Como os Relés Tor Maliciosos estão Explorando Usuários em 2020 (Parte I)

23% da capacidade de saída da rede Tor tem atacado usuários Tor

Loosely falando, esse strapline implica que se você visitar um site usando Tor, tipicamente na esperança de permanecer anônimo e se manter longe de vigilância indesejada, censura ou até mesmo apenas um simples rastreamento da web para fins de marketing…

…então uma em cada quatro dessas visitas (talvez mais!) será sujeito ao escrutínio intencional dos criminosos cibernéticos.

Isso soa mais do que preocupante – faz parecer como se o uso do Tor pudesse estar tornando-o ainda menos seguro do que você já é, e portanto, que voltar a um navegador normal para tudo pode ser um passo importante.

Então vamos olhar rapidamente para como o Tor funciona, como bandidos (e países com regras rígidas sobre censura e vigilância) podem abusar dele, e como a manchete acima mencionada realmente é assustadora.

A rede Tor (Tor é a abreviatura de roteador de cebola, por razões que serão óbvias dentro de momentos se você imaginar uma cebola se desfazendo enquanto você a descasca), que foi originalmente projetada pela Marinha dos EUA, objetiva:

  1. Disfarçar sua verdadeira localização na rede enquanto você navega, para que os servidores não saibam onde você está.
  2. Para dificultar que alguém “junte os pontos”, rastreando os seus pedidos de navegação web até ao seu computador.

Neste ponto, pode estar a pensar, “Mas é exactamente isso que uma VPN faz, e não só para a minha navegação, mas para tudo o que eu faço online”.

Mas não é.

Uma VPN (rede virtual privada) encripta todo o seu tráfego de rede e retransmite-o de forma codificada para um servidor VPN executado pelo seu fornecedor de VPN, onde é descodificado e “injectado” na Internet como se fosse originado desse servidor VPN.

Todas as respostas de rede são portanto recebidas pelo seu provedor VPN em seu nome, e entregues de volta a você de forma criptografada.

A conexão criptografada entre o seu computador é dublada como um túnel VPN, e é, em teoria, invisível ou pelo menos inoperacional por outras pessoas online.

Então, como você pode ver, uma VPN trata do primeiro problema listado acima: disfarçar a sua verdadeira localização na rede.

Mas uma VPN não trata do segundo problema, ou seja, tornar difícil para qualquer um “juntar os pontos”.

Certo, uma VPN torna difícil para a maioria das pessoas juntarem-se aos pontos, mas não impede que todos o façam, pela simples razão de que o fornecedor de VPN sabe sempre de onde vêm os seus pedidos, para onde vão, e que dados você acaba por enviar e receber.

O seu fornecedor de VPN, portanto, torna-se essencialmente o seu novo ISP, com o mesmo grau de visibilidade na sua vida online que um ISP regular.

Por que não usar duas VPN?

Neste ponto, você provavelmente está pensando: “Por que não usar duas VPNs em sequência? Em termos de jargão, por que não construir um túnel dentro de um túnel?

Você encriptaria seu tráfego de rede para VPN2 para descriptografar, depois encriptaria novamente para VPN1 para descriptografar, e o enviaria para VPN1.

Então VPN1 saberia de onde veio o seu tráfego e VPN2 saberia para onde ele estava indo, mas a menos que os dois provedores conspirassem, cada um deles saberia apenas metade da história.

Em teoria, você teria cumprido ambos os objetivos acima por uma espécie de abordagem de dividir e conquistar, porque qualquer um que quisesse rastreá-lo de volta precisaria primeiro obter logs de tráfego descriptografados da VPN2, e depois obter detalhes de nome de usuário da VPN1 antes de começar a “juntar os pontos”.

Por que parar a dois?

Como você pode imaginar, mesmo usando duas VPNs, você não está totalmente em casa e seco.

Primeiro, usando as mesmas duas VPNs toda vez, há um padrão óbvio nas suas conexões, e portanto uma consistência no rastro que um investigador (ou um bandido) poderia seguir para tentar rastreá-lo de volta.

Por tudo o que o seu tráfego segue uma rota complicada, no entanto, segue sempre a mesma rota, por isso pode valer a pena o tempo e o esforço para um criminoso (ou um polícia) trabalhar para trás através das duas camadas de VPN, mesmo que isso signifique o dobro da quantidade de hacking ou o dobro das garantias.

Segundamente, há sempre a possibilidade de que os dois provedores de VPN que você escolher possam ser detidos ou operados pela mesma empresa.

Em outras palavras, a separação técnica, física e legal entre as duas VPNs pode não ser tão significativa quanto você poderia esperar – ao ponto de que eles podem nem precisar de conluio para rastreá-lo de volta.

Então por que não usar três VPNs, com uma no meio que não sabe nem quem você é nem para onde você está indo no final?

E porque não cortar e mudar essas VPNs regularmente, para adicionar ainda mais mix-and-mystery na equação?

Bem, muito simplificado, é assim que o Tor funciona.

Um conjunto de computadores, oferecido por voluntários de todo o mundo, actuam como relés anónimos para fornecer o que é essencialmente uma VPN “mix-and-mystery” aleatória e multi-túnel para pessoas que navegam através da rede Tor.

Durante a maior parte do ano passado, o número total de relés disponíveis para a rede Tor oscilou entre cerca de 6000 e 7000, com cada circuito Tor que é configurado usando três relés, em grande parte aleatórios, para formar uma VPN de três túneis.

O seu computador escolhe quais os relés a usar, não a rede em si, de modo que há de facto uma grande quantidade de mix-and-mystery em constante mudança envolvida em fazer ricochetear o seu tráfego através da rede Tor e vice-versa.

O seu computador vai buscar as chaves públicas de criptografia para cada um dos relés do circuito que está configurando, e então codifica os dados que você está enviando usando três camadas de criptografia tipo cebola, de modo que a cada salto no circuito, o relé atual só pode tirar a camada mais externa de criptografia antes de entregar os dados para o próximo.

Relay 1 sabe quem você é, mas não para onde você está indo ou o que você quer dizer.

Relay 3 sabe onde você está indo mas não quem você é.

Relay 2 mantém os outros dois relés separados sem saber quem você é ou para onde você está indo, tornando muito mais difícil para os relés 1 e 3 colarem, mesmo que eles estejam dispostos a fazer isso.

Não é bem assim tão aleatório

No gráfico acima, você vai notar que a linha verde no meio denota relés Tor especiais conhecidos como guardas, ou guardas de entrada por completo, que são o subconjunto de relés de trabalho considerados adequados para o primeiro salto em um circuito de 3 relés.

(Por razões técnicas, Tor realmente usa o mesmo protetor de entrada para todas as suas conexões por cerca de dois meses, o que reduz a aleatoriedade em seus circuitos Tor de alguma forma, mas devemos ignorar esse detalhe aqui.)

Simplesmente, a linha laranja na parte inferior denota saídas, ou nós de saída por completo, que são relés que são considerados confiáveis o suficiente para serem selecionados para o último salto em um circuito.

Note que aqui estão apenas cerca de 1000 nós de saída ativos a qualquer momento, dos 6000 a 7000 relés disponíveis no total.

Você provavelmente pode ver para onde isto está indo.

Embora os nós de saída do Tor não possam dizer onde você está, graças aos efeitos de anonimização do guarda de entrada e do relé do meio (que muda frequentemente), eles conseguem ver o seu tráfego final, desencriptado e o seu destino final, porque é o nó de saída que retira a camada final de encriptação mix-and-mystery do Tor.

(Quando você navega para sites regulares via Tor, a rede não tem escolha a não ser emitir seus dados brutos, originais e descriptografados para seu salto final na internet, ou então o site que você estava visitando não seria capaz de fazer qualquer sentido dele.)

Em outras palavras, se você usar o Tor para navegar para uma página web não-HTTPS (não criptografada), então o nó de saída do Tor que lida com seu tráfego pode não só bisbilhotar e modificar seus pedidos de saída da web, mas também mexer com quaisquer respostas que retornem.

E com apenas 1000 nós de saída disponíveis em média, um bandido que quer adquirir o controle de uma porcentagem considerável de saídas não precisa configurar milhares ou dezenas de milhares de servidores – algumas centenas farão.

E este tipo de intervenção é o que nusenu alega ter detectado na rede Tor em uma escala que às vezes pode envolver até um quarto dos nós de saída disponíveis.

Mais especificamente, a Nusenu afirma que, por vezes durante 2020, centenas de relés Tor na lista de “nós de saída” foram criados por voluntários com intenções criminosas com motivos ulteriores:

A extensão total das suas operações é desconhecida, mas uma motivação parece ser clara e simples: lucro. Eles executam ataques de pessoa no meio dos usuários Tor manipulando o tráfego enquanto ele flui através de seus relés de saída. Parece que eles estão principalmente atrás de sites relacionados a moedas criptográficas – nomeadamente serviços de múltiplos misturadores de bitcoin. Eles substituíram os endereços bitcoin no tráfego HTTP para redirecionar as transações para suas carteiras ao invés do endereço bitcoin fornecido pelo usuário. Os ataques de reescrita de endereços bitcoin não são novos, mas a escala de suas operações é. Não é possível determinar se eles se envolvem em outros tipos de ataques.

Simplesmente colocado, Nusenu alega que esses bandidos estão esperando para se aproveitar de usuários de moedas criptográficas que pensam que o Tor por si só é suficiente para garantir tanto seu anonimato quanto seus dados, e que por isso navegam via Tor mas não têm o cuidado de colocar https:// no início de novos URLs que eles digitam.
.

HTTP considerado prejudicial

Para o melhor ou para o pior, muitas vezes você pode ignorar o https:// quando digitar URLs em seu navegador, e ainda assim você vai acabar em um site HTTPS, criptografado e protegido por cadeado.

Muitas vezes, o servidor do outro extremo reagirá a uma solicitação HTTP com uma resposta que diz: “De agora em diante, por favor, não use mais HTTP simples e antigo”, e seu navegador se lembrará disso e atualizará automaticamente todas as conexões futuras para esse site para que eles usem HTTPS.

As respostas “nunca mais use HTTP” implementam o que é conhecido como HSTS, abreviação de HTTP Strict Transport Security, e é suposto que elas o mantenham seguro contra bisbilhotices e manipulação de tráfego mesmo que você nunca pare para pensar sobre isso.

Mas há um problema de galinha e ovo, ou seja, se os bandidos interceptarem sua primeira conexão não-HTTPS para um site que você realmente deveria estar acessando via HTTPS apenas, antes da mensagem “no more HTTPS” passar, eles podem ser capazes de:

  • Mantê-lo falando HTTP para o nó de saída deles, enquanto fala HTTPS para o destino final. Isso faz com que o site final pense que você está se comunicando com segurança, mas impede que você perceba que o site de destino quer que você fale HTTPS.
  • Reescreva qualquer resposta do destino final para substituir qualquer link HTTPS por HTTP. Isso impede que seu navegador atualize para HTTPS mais tarde na transação, mantendo-o preso ao antigo HTTP.

O que fazer?

Aqui estão algumas dicas:

  • Não se esqueça de digitar https:// no início da URL! Por razões históricas, os navegadores ainda são padrão para HTTP até que eles saibam melhor, então quanto mais cedo você visitar um site digitando explicitamente https:// no início da URL, mais cedo você se protege tornando suas intenções óbvias.
  • Se você rodar um site, sempre use o HSTS para dizer aos seus visitantes para não usar HTTP na próxima vez.
  • Se você rodar um site onde privacidade e segurança não são negociáveis, considere a possibilidade de adicionar seu site à lista de pré-carga do HSTS. Esta é uma lista de sites para os quais todos os principais navegadores sempre usarão HTTPS, o que quer que a URL diga.
  • Se o seu navegador suporta, ou tem um plugin para aplicá-lo, considere desligar completamente o suporte HTTP. Por exemplo, o Firefox agora tem um recurso de configuração não-padrão chamado dom.security.https_only_mode. Alguns sites antigos podem não funcionar corretamente com esta configuração ativada, mas se você está falando sério sobre segurança, tente!

MODO DE ENABORAR HTTPS-ONLY MODE EM FIREFOX 79

Ativar o modo somente HTTP no Firefox.
1. Vá para about:config. 2. Procure por https_only_mode. 3. Alternar a opção em.
Tentar visitar uma página HTTP onde HTTPS não está disponível ou bloqueado.

(Infelizmente, a opção “HTTPS-only” do Firefox ainda não está disponível no navegador Tor, que ainda está usando uma versão Extended Support Release onde este recurso ainda não apareceu.)

Deixe uma resposta

O seu endereço de email não será publicado.