Tradução do artigo "Thoughts and concerns about Operation Onymous" - Tor Project - 09/11/2014
O que aconteceu
Recentemente foi anunciado que uma coalização de agências do governo tomaram o controle de vários serviços ocultos (hidden service) do Tor. Nós ficamos tão surpresos como a maioria de vocês. Infelizmente, nós temos poucas informações sobre como isso foi realizado, mas nós temos algumas reflexões que queremos compartilhar.
Ao longo dos últimos dias, nós recebemos e lemos matérias dizendo que um número de relays do Tor foram apreendidos por agentes do governo. Nós não sabemos por que esses sistemas foram apreendidos, nem sabemos sobre os métodos de investigação que foram utilizados. Mais especificamente, temos notícia que três sistemas do Torservers.net desapareceram e há outro relato de um relay de um operador independente. Se alguém tiver mais detalhes, por favor entre em contato conosco. Se seu relay foi apreendido, por favor fale a identidade dele para que nós possamos pedir para as autoridades de diretório rejeitá-los da rede.
Mas, indo direto ao ponto, as recentes publicaçãoes chamam essas apreensões dos serviços ocultos de Operação Onymous e afirmam que foi coordenado pela Europol e outras entidades do governo. As primeiras matérias diziam que 17 pessoas foram presas e 400 serviços ocultos foram apreendidos. Mais tarde, as matérias esclareciam que eram centenas de URLs hospedadas aproximadamente por 27 sites que ofereciam serviços ocultos. Nós não fomos contatados diretamente ou indiretamente pela Europol ou qualquer outra agência involvida.
O Projeto Tor está mais interessado em entender como esses serviços foram localizados e se isso indica uma fraqueza na segurança dos serviços ocultos do Tor que poderia ser explorado por criminosos ou pela polícia para reprimir dissidentes. Nós também estamos interessados em descobrir por que as autoridades apreenderam os relays do Tor, uma vez que a operação visava os serviços ocultos. Esses dois eventos estão relacionados?
Como eles localizaram os serviços ocultos?
Então nós ficamos nos perguntando "Como eles localizaram os serviços ocultos?". Nós não sabemos. Nas democracias liberais, nós devemos esperar que quando chegar o momento de processar alguma das 17 pessoas que foram presas, a polícia teria que explicar para o juíz como os suspeitos passaram a ser suspeitos, e como um benefício colateral da operação da justiça, o Tor poderia aprender se há falhas de segurança nos serviços ocultos ou outra falha crítica nos serviços voltados para a internet. Nós sabemos através dos recentes vazamentos que a Drug Enforcement Administration (DEA/US) e outros tem construído um sistema de perjúrio organizado e sancionado, o qual se referem como "construção paralela"
Infelizmente, as autoridades não especificaram como eles conseguiram localizar os serviços ocultos. Aqui estão alguns dos cenários plausíveis:
Segurança Operacional A primeira e mais óbvia explicação é que os operadores desses serviços ocultos fracassaram em usar uma segurança operacional adequada. Por exemplo, há matérias de um dos sites sendo infiltrado por agentes e o testemunho escrito revela vários erros de segurança operacional.
SQL injections Outra explicação é a exploração de bugs web comuns como SQL injections ou RFIs (inclusão remota de arquivos). Muitos desses sites eram shoppings eletrônicos programados na pressa com uma grande área de ataque. Bugs exploráveis em aplicações web é um problema comum.
Desanonimização do Bitcoin Ivan Pustogarov tem conduzido recentemente uma pesquisa interessante sobre o anonimato do Bitcoin. Aparentemente, há maneiras de ligar as transações e desanonimizar os clientes do Bitcoin mesmo usando Tor. Talvez os serviços ocultos estivessem rodando clientes de Bitcoin e foram vítimas de ataques parecidos.
Ataque na rede Tor O número de retiradas e o fato dos relays do Tor foram apreendidos poderiam significar que a rede Tor foi atacada para revelar a localização daqueles serviços ocultos. Nós recebemos algumas informações interessantes de um operador de um serviço oculto apreendido que pode indicar isso também. Ao longo dos últimos anos, pesquisadores descobriram vários ataques na rede Tor. Nós implementamos algumas defesas contra esses ataques, mas essas defesas não resolvem todos os problemas conhecidos e pode até haver ataques que nós não sabemos.
Por exemplo, alguns meses atrás, alguém estava lançando ataques de desanonimização sem um alvo na rede Tor. As pessoas suspeitaram que esses ataques foram executados por pesquisadores do CERT. Enquanto a falha foi arrumada e rapidamente aplicada na rede, é possível que como parte desse ataque, eles conseguiram desanonimizar alguns desses serviços ocultos.
Outro possível vetor de ataque ao Tor poderia ser o ataque de Descoberta de Guarda ("Guard Discovery"). Esse ataque não revela a identidade dos serviços ocultos, mas permite que um atacante descubra o nó de guarda (Guard Node) de um determinado serviço oculto. O nó de guarda é o único nó na rede inteira que sabe o verdadeiro endereço IP do serviço oculto. Por isso, se um atacante conseguir comprometer o nó de guarda ou de alguma forma obter acesso a ele, ele pode lançar um ataque de confirmação de tráfego para descobrir a identidade do serviço oculto. Nós estivemos discutindo várias soluções sobre esse tipo de ataque nos últimos meses, mas não é um problema fácil de resolver corretamente. Ajuda e feedback sobre os projetos propostos é necessária.
Da mesma forma, há o ataque onde o serviço oculto seleciona o relay do atacante como seu nó de "guarda" (Guard node). Isso pode ocorrer aleatoriamente ou isso pode ocorrer se o serviço oculto seleciona outro relay como seu guarda e o atacante torna aquele nó inutilizável, por um ataque de negação de serviço ou algo parecido. O serviço oculto será forçado então, a selecionar um novo guarda. Eventualmente, o serviço oculto selecionará o do atacante.
Além disso, os ataques de negação de serviço nos relays ou nos clientes na rede Tor podem ser transformados em ataques de desanonimização completa. Essas técnicas são de vários anos atrás, na pesquisa como "From a Trickle to a Flood", "Denial of Service or Denial of Security?", "Why I'm not an Entropist", e mesmo os ataques mais recentes ao Bitcoin como descrito acima. No protocolo dos Serviços Ocultos há mais vetores de ataques de negação de serviço (DoS), como as configurações do Diretórios dos Serviços Ocultos (HSDirs) e os Pontos de Introdução do Serviço Oculto.
Por fim, a execução remota de códigos de exploits contra o programa do Tor também são sempre uma possibilidade, mas não temos nenhuma evidência que esses exploits existam. Embora o código fonte do Tor seja continuamente analisado pelos nossos desenvolvedores preocupados com segurança e os membros da comunidade, nós gostaríamos uma auditoria mais focada por experientes caçadores de bugs. Iniciativas de interesse público como o Projeto Zero poderiam ajudar muito nisso. Financiar o lançamento do nosso próprio programa de recompensa de bug também poderia trazer benefícios reais para nosso código. Se você pode ajudar, por favor entre em contato.
Conselho para operadores de serviços ocultos preocupados
Como vocês podem ver, nós ainda não sabemos o que aconteceu e é difícil dar recomendações práticas as escuras.
Se vocês são operadores de serviços ocultos preocupados, nós sugerimos você ler as pesquisas citadas para para ter um melhor entendimento sobre a segurança que os serviços ocultos pode oferecer e as limitações do sistema atual. Quando estamos falando de anonimato, fica claro que quanto mais arriscado for seu modelo de ameaça, mais informado você precisa ser sobre as tecnologias que você usa.
Se seu serviço oculto tem poucos recursos de processamento, memória ou rede, um ataque de desanonimização por negação de serviço pode ser fácil de ser realizado contra seu serviço. Não deixe de rever o guia de ajuste de performance do Tor para otimizar seu relay ou cliente.
Palavras finais
A tarefa de esconder a localização de serviços web de baixa latência é um problema muito difícil e nós ainda não sabemos como fazer corretamente. Parece que há vários problemas que nenhum dos designs atuais de publicação anônimos conseguiu realmente resolver.
Desta maneira, é até surpreendente que os serviços ocultos sobreviveram até agora. A atenção que eles recebem é mínima se comparado com seu valor social e comparador com o tamanho e determinação de seus adversários.
Seria ótimo se houvesse mais pessoas analisando o nosso código e designs. Por exemplo, nós realmente gostaríamos de um feedback sobre a proposta de reformulação dos serviços ocultos ou ajuda com a pesquisa sobre os ataques de descoberta dos guardas (veja link acima).
E ainda, é importante notar que o Tor atualemnte não possui financiamento para melhorar a segurança dos serviços ocultos. Se você está interessado em financiar a pesquisa e desenvolvimento dos serviços ocultos, entre em contato conosco. Nós esperamos encontrar tempo para organizar uma campanha de crowdfund para conseguir independência e focar o financiamento para os serviços ocultos.
Outra sugestão possível que nós podemos fornecer é a seleção manual do nó de guarda do serviço oculto. Ao configurar a opção do EntryNodes no arquivo de configuração do Tor, você pode selecionar um relay na rede Tor que você confia. Tenha em mente, no entanto, que um atacante determinado poderá ainda ser capaz de determinar se esse relay é seu guarda e ainda todos outros ataques se aplicam.
Finalmente, se você é um operador de relay e seu servidor foi recentemente comprometido ou você perdeu o controle sobre ele, por favor nos avise mandando um email para bad-relay@lists.torproject.org.
Obrigado a Griffin, Matt, Adam, Roger, David, George, Karen e Jake pela contribuição nesse post.