ALERTOR... Desanonimizando infraestructuras de la Red Tor
Ponencia de Carlos Morales Diego perteneciente al módulo La deep y la dark web. La web profunda de C1b3rWall Academy 22/23
Tiempo de lectura estimado: 6 minutos
La red Tor y su infraestructura
Tor se define como sinónimo de privacidad y anonimato, ya que permite mantener la integridad y confidencialidad de la información que viaja por ella. Tal y como se ha visto a modo de introducción en otras ponencias del módulo como "TOR - Herramientas de pentest" o "Brechas de datos en la dark web", estas características hacen de ella un refugio para quienes desean utilizar el anonimato para burlar la censura en internet por parte de varios países, pero también es utilizada para cometer actividades delictivas. Desde el desconocimiento, muchas personas creen que no es posible descubrir cuáles son las infraestructuras reales que hay detrás de los servicios ocultos de Tor.
Estudios y ataques que pretenden desanonimizar las infraestructuras de Tor
Uno de ellos es OnionScan (2016), un proyecto con el que se pretende ayudar a los operadores de los servicios ocultos a reparar posibles vulnerabilidades, así como monitorizar y trazar sitios de la dark web.
También existe el ataque de Entry Guard, cuya eficacia es del 88% y es capaz de desanonimizar las infraestructuras de Tor a través de un patrón de datos de tráfico que se van generando según los protocolos que se están estudiando.
¿Qué es ALERTOR?
El proyecto ALERTOR surge como trabajo de fin de máster de Ciberinteligencia pensando en la Policía Nacional y en una estafa real, estableciéndose como herramienta que ayude a la policía a perseguir delitos telemáticos que hagan uso de la red Tor.
La referencia es un módulo de OnionScan que ayuda a detectar vulnerabilidades, pero hay otros módulos como uno de Shodan para entender el conjunto de la infraestructura, uno de trazabilidad inversa de monederos de criptomonedas, uno de vulnerabilidades de apache y uno de visualización de nodos, entre otros.
Análisis de resultados obtenidos
En 2017, el último informe publicado de OnionScan dio lugar a algunos datos como 4.000 HTTP detectados, 270 SSH y 220 monederos bitcoin detectados. Además, entre otras conclusiones, se estimaba que el 25% de los sitios totales escaneados compartían el mismo certificado.
Conclusiones
- "Los malos" siguen cometiendo errores a la hora de intentar ocultar sus servicios en la deep web.
- Se observa que intentan poner más medios para dejar bien anonimizados los servicios.
- La red Tor, sin duda, seguirá creciendo tanto en afluencia de usuarios como en la creación de nuevos sitios. Se estima que la privacidad de Tor seguirá evolucionando y fortaleciéndose.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Carlos Morales Diego
Carlos es incident responder y senior consultant en Deloitte. Es máster en Ciberinteligencia y Ciberseguridad, así como experto en Derecho Tecnológico y Forense Digital. Además, acumula más de 10 años de experiencia en el ámbito de la ciberseguridad. Contacto: @CarlosMoralesD1.
¿Cuál es tu reacción?