1 pontos por GN⁺ 2024-09-19 | 1 comentários | Compartilhar no WhatsApp
  • Um usuário de uma versão antiga do Ricochet, aplicativo descontinuado há muito tempo, foi desanonimizado por um ataque de autoridades policiais, mas, até onde o Tor Project conseguiu apurar, não há indícios de que o Tor Browser tenha sido atacado ou explorado
  • A desanonimização provavelmente ocorreu por um guard discovery attack, e o software usado na época não tinha as proteções Vanguards-lite nem o addon vanguards para impedir isso
  • Na atualização de 10 de outubro de 2024, não foi possível confirmar se a reportagem da DW envolvia v3 Onion Services, e continua existindo a possibilidade de que a proteção Vanguard não estivesse presente no momento do ataque
  • Este caso está relacionado ao acesso interno de um Onion Service, então tem pouca relação direta com a discussão sobre exit nodes, e usuários do Tor Browser que não mantêm conexões por longos períodos são menos vulneráveis ao mesmo tipo de análise temporal
  • Usuários precisam manter o software atualizado e seguir as orientações dos canais oficiais, enquanto operadores de relay podem contribuir ampliando a diversidade de hardware, software e localização geográfica da rede

O caso Ricochet e o escopo do Tor Browser

  • Um caso em que um usuário do Tor usando uma versão antiga do aplicativo Ricochet, aposentado há muito tempo, foi desanonimizado por meio de um Onion Service tornou-se alvo de uma reportagem investigativa
  • Até onde o Tor Project conseguiu confirmar, não há evidências de que o Tor Browser tenha sido atacado ou explorado
  • Usuários do Tor podem acessar a web com segurança e anonimato usando o Tor Browser, e a rede Tor continua em bom estado
  • Em um cenário em que pessoas no mundo todo precisam proteger sua privacidade ao navegar na internet, o Tor continua sendo uma solução adequada
  • Usuários e operadores de relay devem sempre manter as versões de software atualizadas

Método de ataque estimado e proteções ausentes

  • Com base nas informações limitadas disponíveis, parece que um usuário de uma versão antiga do Ricochet foi completamente desanonimizado por um guard discovery attack
  • O software usado na época não tinha recursos de proteção contra esse tipo de ataque
    • Sem Vanguards-lite
    • Sem o addon vanguards
  • O fork mantido Ricochet-Refresh passou a incluir essa proteção a partir da versão 3.0.12, lançada em junho de 2022
  • O Vanguards-lite foi lançado no Tor 0.4.7 e tem como objetivo reduzir a possibilidade de um invasor confirmar um middle relay malicioso ao lado do Guard do usuário, combinando criação de circuitos induzida pelo atacante com canais ocultos baseados em circuito
  • Uma vez que o Guard seja identificado, é possível localizar o usuário de interesse usando o tempo de conexão do netflow
  • Neste caso, o descriptor do Onion Service permitia saber quando o usuário estava online e offline, e como o número de usuários do Guard identificado era pequeno, o ataque com netflow podia avançar rapidamente

Atualização de 10 de outubro de 2024

  • A reportagem da Deutsche Welle (DW) sugeria que v3 Onion Services foram afetados pelo ataque, mas o Tor Project não conseguiu confirmar se a proteção Vanguard estava ativada nos serviços afetados
  • Considerando o momento do ataque, é possível que esses serviços não tivessem proteção Vanguard
  • Sem a proteção Vanguard, Onion Services ficavam mais vulneráveis a um guard discovery attack relativamente simples, embora o método exato ainda não esteja claro
  • O Tor Project continua investigando e pretende atualizar o caso quando houver mais informações

Divulgação responsável e pedido de mais informações

  • O Chaos Computer Club (CCC) teve acesso a documentos relacionados ao caso e pôde analisar e verificar as suposições do repórter, mas o Tor Project recebeu apenas um resumo ambíguo e perguntas de verificação muito amplas
  • Como entendeu que poderia haver risco potencial para usuários, o Tor Project optou por uma resposta pública
  • O Tor Project tentou entender não a identidade da fonte, mas sim as evidências de que houve um ataque de desanonimização, para responder com precisão e avaliar a responsabilidade da divulgação
  • Se tivesse tido acesso aos mesmos documentos, poderia ter informado com mais clareza o estado real da rede Tor e o impacto sobre a maioria dos usuários
  • No momento, faltam fatos para que seja possível emitir orientações oficiais ou uma divulgação responsável para a comunidade Tor, operadores de relay e usuários
  • Quem tiver informações relacionadas pode entrar em contato pelo security@torproject.org
    • Se preferir e-mail criptografado, é possível obter a chave pública OpenPGP em keys.openpgp.org
    • Fingerprint: 835B 4E04 F6F7 4211 04C4 751A 3EF9 EF99 6604 DE41

Discussão sobre exit nodes e estado da rede

  • Como Onion Services só podem ser acessados dentro da rede Tor, a discussão sobre exit nodes não é relevante neste caso
  • Até onde o Tor Project sabe, o ataque ocorreu entre 2019 e 2021
  • O número de exit nodes aumentou bastante nos últimos dois anos e agora passa de 2.000
  • É válido questionar a concentração de nós em determinados países ou operadores, mas isso tem pouquíssima relação com o ataque descrito nos artigos divulgados até agora
  • O ataque ocorreu em uma versão antiga do Ricochet, sem os recursos de mitigação de análise temporal que o Tor Project introduziu depois
  • O Ricochet-Refresh mais recente já inclui essas proteções
  • Usuários do Tor Browser que não mantêm conexões por longos períodos são menos vulneráveis a esse tipo de análise temporal

Gerenciamento de relays e diversidade da rede

  • Após os ataques de 2019 a 2021, a equipe Tor Network Health sinalizou milhares de relays ruins, e as Directory Authorities votaram para removê-los
  • Entre os removidos estavam relays que pareciam ter vindo de um único operador ou que tentavam entrar na rede em grande escala
  • A equipe Network Health implementou um processo para identificar grandes grupos de relays suspeitos de serem administrados por um único operador ou por agentes maliciosos e impedir sua participação na rede
  • O Tor Project considera a diversidade de relays uma questão urgente para a comunidade Tor e está discutindo soluções com a comunidade e com os operadores de relay
  • Várias iniciativas começaram no último ano
  • A largura de banda do Tor aumentou consideravelmente nos últimos anos, e a rede Tor está mais rápida do que nunca

Como os usuários podem ajudar

  • Quem puder pode fornecer largura de banda e relays para contribuir com o crescimento e a diversificação da rede Tor
  • Garantir a diversidade de hardware, software e geografia da rede Tor pode reduzir bastante as possibilidades de abuso e vigilância e tornar ataques de guard mais difíceis de executar
  • Para manter a saúde da rede e proteger usuários e operadores de relay, é preciso manter o software do Tor atualizado e seguir as orientações dos canais oficiais do Tor Project
  • O Tor é uma das poucas alternativas que oferecem uma visão e um modelo viável de internet descentralizada, tornando irrealista a vigilância em massa de usuários da internet
  • Atualmente, o Tor existe dentro das limitações de um ecossistema de internet majoritariamente possuído e administrado por algumas grandes empresas

1 comentários

 
GN⁺ 2024-09-19
Opiniões no Hacker News
  • Se uma pessoa operar pessoalmente 1000 nós Tor, incluindo nós guard e de saída, e registrar logs de todos eles, parece que talvez seja possível fazer isso por menos de 5000 dólares por mês
    Se você quiser encontrar alguém que acessa um hidden service específico ou uma URL comum da web, não acabaria chegando, em algum momento, a um caso em que os três nós do circuito fossem todos operados por você? Seria difícil mirar em uma pessoa específica e levaria muito tempo, mas fico me perguntando se, no fim, não daria para encontrar alguém que passe apenas por nós Tor controlados por mim

    • “Menos de 5000 dólares por mês” é otimista demais; na prática, depois de operar vários nós por alguns anos, é preciso considerar algumas vezes mais, na casa de um dígito
      Um VPS de 5 dólares por mês não tem largura de banda suficiente para aguentar o tráfego mensal de um nó Tor, e para ser promovido a relay guard é preciso ficar online continuamente, processando tráfego, por cerca de 2 a 3 meses
      Se você impõe limites para se adequar à franquia de largura de banda, ele passa a aparecer como um nó lento e recebe menos conexões; manter apenas 1 Mbps de forma constante já excede o volume mensal de transferência dos planos baratos da Digital Ocean ou da Linode
      https://blog.torproject.org/lifecycle-of-a-new-relay/
    • Aqui, “em algum momento” desvia do ponto principal. Mesmo que você adicionasse 1000 servidores à rede Tor sem ser detectado, a rede atual tem quase 8000 nós
      Para simplificar, ignorando tipos de nós e fatores geográficos, se olharmos apenas para a probabilidade de um usuário aleatório escolher três nós seus, ela fica abaixo de 0,14%. Se o usuário usar 4 nós para aumentar a segurança, cai para 0,015%, e diminui exponencialmente a cada relay acrescentado
      Como os nós Tor são continuamente monitorados e verificados para impedir atividades maliciosas, esse tipo de ataque vai ficando cada vez mais difícil. Uma organização com recursos praticamente ilimitados, como a NSA, talvez consiga, mas para uma pessoa ou um atacante comum é algo quase impossível
      https://gitlab.torproject.org/tpo/network-health/team/-/wiki...
      O Tor é antigo, mas não houve sinais de que o serviço central de anonimato tenha sido quebrado a ponto de as prisões dispararem; nos casos famosos reais, na maioria das vezes os usuários de Tor foram rastreados porque cometeram outros erros
    • Como o circuito padrão tem 3 hops, na verdade basta controlar o nó de entrada e o nó de saída. Isso porque você consegue saber o hop anterior/seguinte do tráfego que processa
      Se o circuito muda a cada 10 minutos, acho que em poucos dias seria possível desanonimizar alguma porcentagem do tráfego de quase todos os usuários
      Para um adversário com alguma capacidade técnica e disposto a gastar 5000 dólares, considero o Tor quebrado
      Suspeito uns 80% que o Tor seja um projeto apoiado pelos EUA que concentra as pessoas que precisam de anonimato em um único serviço, tornando-o acessível apenas a governos capazes de observar uma parte significativa do tráfego mundial
    • Um vídeo publicado ontem tem relação com esse problema: https://www.youtube.com/watch?v=Gs0-8ZwZgwI
      Dizem que, na Alemanha, pegaram o operador de um site de material de exploração sexual infantil usando esse método. Observaram certos nós e os tamanhos dos arquivos que circulavam entre eles para identificar o administrador do fórum; levou um ano e meio para encontrar uma pessoa específica, mas no fim conseguiram
      Com esse nível, usuários comuns parecem bastante seguros. É preciso mirar em um alvo específico por muito tempo. Ainda assim, com esforço suficiente, parece possível identificar alguém mesmo sem cometer erros na web comum, como no Silk Road
      Depois de descobrir o endereço, é só invadir a casa e pegar a pessoa diante do computador; nesse momento, acabou
    • O Tor, como toda ferramenta de segurança e privacidade, precisa ser avaliado conforme o objetivo de uso e o modelo de ameaça
      Recursos investigativos são sempre limitados, e sistemas de privacidade funcionam aumentando a dificuldade e o custo da desanonimização. Não precisam ser perfeitos; basta torná-la cara
      Se o objetivo for o anonimato básico para investigar pessoas poderosas ou acessar informações, é muito baixa a probabilidade de alguém investir especialização, dinheiro e tempo para quebrar o Tor pelos métodos discutidos aqui
      Por outro lado, se você for um líder terrorista internacional procurado em vários países, um criminoso de grande escala ou o inimigo número um de um Estado autoritário, quem tiver essa capacidade realmente irá até o fim
  • Pelo contexto, a reportagem da NDR está aqui: https://www.ndr.de/fernsehen/sendungen/panorama/aktuell/Inve...
    Mais informações aqui: https://lists.torproject.org/pipermail/tor-relays/2024-Septe...
    A NDR afirma que é um ataque de timing capaz de identificar o “servidor de entrada”, mas há pouquíssima informação sobre a natureza do ataque. Também afirma que já houve prisões usando esse método

    • Como mitigação, talvez dê para adicionar uma VPN que use pacotes com padding e limite de velocidade, fazendo com que o usuário sempre envie e receba na taxa de bits definida por ele
      Seria uma forma de traffic shaping em que o tráfego real recebe prioridade alta, mas sem ultrapassar o fluxo de padding. Talvez isso pressuponha rodar o daemon do Tor diretamente em algum servidor e fazer a VPN terminar nesse nó
      Parece possível fazer isso com shaping por classes em tc sch_htb ou sch_cake, regras iptables mangle para marcar pacotes, e manter continuamente dois fluxos bidirecionais de rsync lendo de /dev/urandom ou de um arquivo aleatório grande
      Por exemplo, o rsync nativo na porta 873 ficaria como tráfego bulk de baixa prioridade, e um squid mitm ssl-bump proxy na porta 3128 ficaria com alta prioridade
    • Também há um artigo na Wikipedia sobre o site relacionado de exploração sexual infantil Boystown
      https://en.wikipedia.org/wiki/Boystown_(website)
  • Em 2024, para um usuário que entende de internet, o correto é partir do princípio de que nada é 100% “seguro”. Não existe segurança perfeita nem privacidade perfeita
    Mas ferramentas como o Tor podem tornar o uso da internet mais seguro. Se a conclusão for que não se deve usar o Tor só porque ele “não é seguro/nunca foi seguro de verdade”, então a conclusão também seria que não se deve usar a própria internet

    • Embora não possa ser completamente “seguro”, o Tor ainda está entre as ferramentas que temos com a preservação de privacidade mais forte
      Pessoas que, por vários motivos, não confiam no Tor e decidem não usá-lo de jeito nenhum quase nunca apresentam ferramentas ou medidas alternativas que ofereçam um nível de segurança próximo ao do Tor
    • Sim. Ontem, no texto do HN sobre prevenção de cáries, apareceu uma falsa lógica parecida. A discussão era algo como dizer que um novo avanço no tratamento de cáries não “garante” acabar com as cáries para sempre
      https://news.ycombinator.com/item?id=41573550
      Não sinto que eu já tenha caído nesse tipo de argumento, mas com certeza tenho outras fraquezas. Ainda assim, chama especialmente a atenção ver esse raciocínio convencer pessoas inteligentes que parecem não cair em erros óbvios
    • Às vezes penso que teria sido bom se as pessoas que tentavam criar e-mail criptografado nos anos 90 tivessem entendido isso
    • Para deixar claro, só dá para dizer que o Tor é mais seguro na condição de que ele não seja uma armadilha. O usuário não tem como saber isso, e acho que há motivos suficientes para suspeitar
      No Oriente Médio, houve um exemplo muito claro de que um ator estatal pode mirar um canal de uma forma inesperada
    • Você está perdendo o ponto aqui. Esse usuário de fato foi completamente desanonimizado, e o post do blog diz que as técnicas que tiveram sucesso nesse caso não podem mais ser usadas
      É totalmente válido questionar uma camada específica de defesa e, ao mesmo tempo, buscar uma estratégia de defesa em camadas
  • Há uma excelente palestra da DefCon que trata desse tema do ponto de vista de um vendedor da darknet. É muito boa
    https://youtu.be/01oeaBb85Xc

    • A palestra é boa, mas, ironicamente, o parâmetro ?si= é usado para rastreamento, então é melhor removê-lo
  • Lembro que Adrian Crenshaw apresentou na Def Con 22 como pessoas foram presas enquanto usavam Tor. Mesmo naquela época, ele dizia que, na maioria dos casos, não foi por causa do Tor, e sim por falhas de segurança operacional das próprias pessoas
    Fico curioso para saber até que ponto essa informação ainda se aplica 9 ou 10 anos depois
    DEF CON 22 - Adrian Crenshaw- Dropping Docs on Darknets: How People Got Caught
    https://www.youtube.com/watch?v=eQ2OZKitRwc

  • Não entendo bem. Por que o CCC não compartilha as informações com os mantenedores do Tor Project?

    • Parece que o jornalista tem queixas contra o Tor, e os membros do CCC que viram os documentos ficaram impedidos de compartilhar mais por motivos legais ou sociais
    • A fonte das informações não é o CCC, e sim a NDR, linkada na thread ao lado. O CCC apenas viu os documentos por meio da NDR
    • Talvez eles pretendam divulgar isso no CCC em dezembro
  • Como órgãos federais operam uma quantidade suficientemente grande de nós de saída, usar Tor é arriscado, na melhor das hipóteses. Não sei se depois foi implementado algum recurso para impedir isso, mas, se eu fosse fazer algo ilegal, ficaria longe do Tor
    Há também o risco de ter que confiar que o operador do serviço vai proteger direito os dados pessoais expostos em um marketplace. Não acho que uma agência de investigação revelaria sua identidade para prender compradores de drogas, mas ainda assim confiar nisso parece tolice

    • Todo mundo “sabe” que “governos ocidentais operam a maioria dos nós de saída”, mas isso é algo com pouquíssima evidência
      A lista de todos os relays é pública por design, e os relays têm informações de contato associadas. Grandes operadores são pessoas e organizações conhecidas, contribuem e interagem
      Se é difícil distinguir quais relays de fato fazem coisas ruins contra cidadãos em nome do governo, fico me perguntando por que fazer essa afirmação
      Relays com comportamento malicioso observável são removidos continuamente da rede. Se eles forem do governo, isso também significa que o Tor está administrando a situação muito bem
      Se uma agência de investigação for fazer um ataque de correlação, não há motivo para operar relays. Grampear IXPs perto dos principais hubs de relays, ou obter dados de grampos que ela já tem, seria mais silencioso e mais amplo
      Afastar as pessoas do Tor pode, dependendo do modelo de atacante presumido, tornar a desanonimização ainda mais fácil
    • Mais crimes acontecem às claras do que se imagina. Existem mesmo pessoas que postam stories no Instagram exibindo suas drogas e maços de dinheiro
      Como agências de investigação muitas vezes nem lidam direito com crimes fáceis que estão bem diante delas, a chance de processarem usuários do Tor é muito baixa até que cresça o suficiente, ou passe de algum limite e chame atenção
    • É preciso ler o post do blog. Ele diz: “Onion Services só são acessíveis dentro da rede Tor, portanto, neste caso, a discussão sobre nós de saída não é relevante”
    • Monitorar nós de saída não revela um hidden service
      Mais exatamente, nunca revela. Nós de saída não fazem parte desse circuito
    • Se alguém opera apenas nós de saída, ainda assim não consegue desanonimizar usuários, certo?
  • Se um número suficiente de órgãos governamentais operar nós Tor, teoricamente isso não poderia proteger o acesso à internet da maior parte da humanidade contra vigilância?
    Parece um avanço real em tecnologia de internet. Se apenas um país fizer isso, esse país controla tudo; mas, se todos os países competirem, fica perto de uma estrutura em que todos ganham
    Só fico me perguntando se, em escala planetária, o Tor conseguiria escalar de forma ambientalmente sustentável

    • A maioria dos governos valoriza mais obrigações de aplicação da lei ou desejos de vigilância do que uma internet protegida contra vigilância, então é difícil esperar esse rumo
  • Este texto não foi escrito de um jeito que inspire confiança de imediato
    Ainda assim, há partes que passam confiança. O Tor foi atualizado de forma preventiva anos antes de se saber que a vulnerabilidade tinha sido explorada de fato, e o Tor Project vinha investigando o vetor de ataque de um cliente Tor específico, que estava anos desatualizado
    Acho que bastava dizer “corrigimos essa vulnerabilidade em 2022” e publicar um texto separado sobre software antigo

    • Não precisam tentar me convencer com “expressões que inspiram confiança”. Se tivessem feito uma afirmação categórica como a sugerida, eu teria ficado ainda mais preocupado
    • Citando o texto, ele diz que “até onde sabemos, os ataques ocorreram entre 2019 e 2021”, e que “essa proteção existe no Ricochet-Refresh, um fork de manutenção do Ricochet descontinuado, desde a versão 3.0.12, lançada em junho de 2022”
      É verdade que foi corrigido há alguns anos, mas, pela minha leitura, não parece ter sido simplesmente um caso de uso de software antigo
    • Essa vulnerabilidade não foi “corrigida” tornando-a impossível, mas mitigada ao alterar o incentivo econômico
      Sem um desenho de rede completamente diferente, como Mixminion ou Katzenpost, não há como corrigi-la fundamentalmente. Alguém sugeriu I2P, mas, no fundo, ele não é muito diferente do Tor. O uso de túneis unidirecionais pode ajudar
    • O problema é que os detalhes não foram compartilhados com o Tor Project, então eles não podem dizer isso com 100% de certeza. Não sei por que não foram compartilhados
  • Tenho curiosidade sobre os usos “legítimos” do Tor. Não acompanhei a fundo, mas entendo que ele foi projetado pela Marinha dos EUA para dificultar que regimes opressivos rastreiem o uso da web por cidadãos
    Fora querer que cidadãos russos consigam acessar o site da BBC, estou genuinamente curioso sobre por que alguém deveria querer o Tor. Só não quero ouvir uma resposta do tipo “meu governo vai começar perseguições em massa em breve, então preciso me preparar”

    • É pelo mesmo motivo que este site usa SSL, embora não tenha conteúdo adulto, loja nem acesso a banco ou informações pessoais
      Quando tudo é protegido por SSL, não é preciso explicar por que uma coisa específica é protegida por SSL. O mesmo raciocínio pode ser aplicado ao uso do Tor
    • Basta imaginar como você se sentiria se um desconhecido se aproximasse de você na rua e comentasse que gostou do artigo da wiki que você estava lendo ontem à noite
      Todo mundo quer “privacidade por padrão”, mas não consegue ligar bem essa hipótese à realidade. Na vida real, a vigilância também acontece; só que ninguém vem falar diretamente com você sobre isso
    • Vejo redes sociais como Facebook e Reddit por meio de serviços onion. Cansei de ver anúncios que pareciam rastrear minha navegação comum por correlação de IP, pixels de rastreamento e botões “like” embutidos
      Por isso, agora bloqueio completamente o tráfego normal do Facebook/Reddit. Esse método não me anonimiza. Pelo menos no Facebook, continuo logado na minha conta. Mas limita o perfil que a Meta constrói sobre mim à união do que ela observa diretamente no Facebook com o que compra de data brokers
      Depois de fazer isso, a relevância dos anúncios do Facebook caiu bastante, então parece funcionar. Houve algumas vezes em que os anúncios de repente voltaram a ficar relevantes, e isso é um sinal de vazamento de informação. Normalmente parece ser quando a Meta obtém registros de pagamentos com cartão de crédito do meu banco ou de lojistas e os associa à minha identidade
      Uma VPN também poderia, em teoria, oferecer o mesmo benefício, mas, na prática, o Facebook tende a bloquear temporariamente a conta quando se usa VPN, e o Reddit bloqueia totalmente tráfego de VPN. Por isso uso os serviços onion operados pelos próprios sites, que também têm menor probabilidade de serem tratados como tráfego malicioso
      Se você usa essas plataformas, recomendo favoritar os sites onion no Tor Browser e usá-los por um tempo como interface padrão. Se não for inconveniente demais, dá para bloquear na rede as versões não onion desses sites
      https://old.reddittorjg6rue252oqsxryoxengawnmo46qy4kyii5wtqn...
      https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg...
      Você não deve confiar nos links que acabei de postar. Eu poderia ter postado falsificações. Recomendo verificar comparando com https://github.com/alecmuffett/real-world-onion-sites, que leva a provas de propriedade de sites onion sob nomes de domínio comuns
    • Há uma coleção de relatos anônimos de usuários de pessoas que dependem do Tor para proteger privacidade e anonimato
      https://community.torproject.org/outreach/stories/
    • Parece quase a mesma questão de perguntar se há argumentos legítimos a favor da privacidade e da comunicação privada
      Em vários mensageiros populares, a criptografia de ponta a ponta hoje é aceita como um recurso normal e mainstream, mas, quando a mesma ideia é aplicada à navegação na web, ela ainda é tratada como algo marginal. Essa distinção parece arbitrária e cultural
      Talvez, porém, seja uma questão de experiência do usuário. O WhatsApp é agradável de usar, mas tentar usar a internet normalmente pelo Tor é horrível. Principalmente porque a Cloudflare bloqueia tudo de vez ou joga você no inferno dos captchas