Como pegar criminosos na rede Tor

Silk Road, o primeiro e-commerce da darknet. Focado em anonimato e privacidade, mas que ficou popular pela venda de drogas e outros produtos ilícitos.

Neste artigo, será discutido sobre a dark web, o navegador Tor Browser, a rede Tor, ataques que buscam identificar usuários Tor e ataques reais que ocorreram à rede Tor ou ao navegador.

Será que o Tor é seguro? É possível pegar criminosos na rede Tor? Como é possível? Responderemos a estas e outras perguntas a seguir.

Deep Web vs. Dark Web

Os termos dark web e deep web ficaram populares por conta do aumento dos crimes cibernéticos e por ser uma “parte obscura” da internet. Estes termos geralmente são usados como sinônimos, entretanto, significam coisas diferentes.

A deep web consiste de conteúdos da World Wide Web que não foram indexados (ou catalogados) por motores de busca, como o Google. Estes conteúdos incluem páginas com acesso limitado, por exemplo seu saldo bancário. [1]

A dark web é formada por redes que usam a Internet, mas que precisam de software, configurações e autorização específicos para serem acessadas. [1]

Relação entre a Internet, a deep web e a dark web

Dark Web, o patinho feio

Ao pesquisar o que é dark web? no Google, aparecerão artigos jornalísticos que descrevem a Dark Web como o “paraíso” dos criminosos [2], o “lugar onde os crimes acontecem” [3] ou como um “mundo perigoso” [4].

Como vimos anteriormente, nem Dark Web e Deep Web se referem a criminosos ou atos ilícitos. Na verdade, está dentro da lei usar o Tor para acessar os sites da rede ou acessar sites do dia-a-dia de forma anônima, como o Google ou o Facebook.

Porém, mesmo assim, a Dark Web é associada a crimes, e isto se deve ao fato que muitos criminosos procuram a Dark Web e outros softwares para manter o anonimato.

Anúncio na dark web de um suposto hacker que vende serviços ilegais, como arruinar com a vida de alguém, por dinheiro.

O Tor é reconhecido por ser o meio de acesso à Dark Web [5] [6] [7] [8] e por garantir o completo anonimato ao usuário [9] [10]. Será mesmo?

Observação: a rede Tor não é a única rede da Dark Web. Outros softwares formam outras redes, como o I2P [11], o Freenet [12], o Zeronet [13] e o GNUnet [14].

Tor, o melhor amigo dos criminosos… ou não

O Tor traz o conceito da “cebola”: dados criptografados em camadas

Na década de 1990, a segurança na Internet já era uma preocupação. Em 1995, David Goldschlag, Mike Reed e Paul Syverson, pesquisadores no Laboratório de Pesquisa Naval dos EUA (NRL), começaram a desenvolver uma forma de se comunicar com segurança pela Internet para as agências de inteligência. O resultado foi a criação do onion routing (em português, roteamento cebola). [15] [16] [17]

O Tor que todos conhecem, na verdade, se chama Tor Browser e é um navegador (versão modificada do Firefox) que implementa o onion routing, permitindo que o usuário navegue pela rede Tor. [18]

Como funciona o Tor?

O navegador Tor Browser, seguindo a arquitetura do onion routing, escolhe três nós da rede Tor, formando uma rota entre o usuário (origem) e o destino, chamada de circuito, por onde irão passar os dados criptografados.

O primeiro nó é chamado de nó de entrada (ou nó guarda), que recebe os dados do usuário. O segundo nó é chamado de nó intermediário, que repassa os dados para o próximo nó. O terceiro e último nó é o nó de saída, que passa os dados para o destino requisitado pelo usuário. [20]

A figura mostra um circuito virtual formado pelos nós de entrada, intermediário e de saída.

No entanto, antes de fazer a transmissão dos dados, o Tor Browser protege eles com três camadas de criptografia. Cada nó decifra exatamente uma dessas camadas (aqui a ordem importa).

Curiosidade: o nome onion routing (ou roteamento cebola) se deve às várias camadas de criptografia.

A figura mostra as diversas camadas que protegem os dados. A camada azul só é decifrada pelo nó de entrada, a camada verde, só pelo nó intermediário, e a camada vermelha, só pelo nó de saída.

Esta forma de proteger os dados garante que os nós do circuito só tenham conhecimento dos nós vizinhos. Por exemplo: o nó de entrada só sabe que os dados vieram do usuário e vão para o nó intermediário, mas não sabe qual é o destino dos dados.

Para mais detalhes, clique aqui para ver o paper original do onion routing, fonte consultada para fazer esta seção.

Ataques ao Tor

Colocar uma máscara não vai te tornar mais anônimo 🤔

A seguir, serão apresentados ataques ao Tor (rede e navegador) que buscam identificar usuários (e, portanto, criminosos) e casos reais de ataques que ocorreram.

Observação: ataques especulativos ao Tor não serão tratados. [35]

1. Tor Stinks e EgotisticalGiraffe

NSA, a agência nacional de segurança dos EUA

Para contextualizar, a NSA é uma agência de inteligência do governo dos EUA e é responsável por monitorar, coletar e processar informações do mundo todo para auxiliar na manutenção da segurança do país. Entretanto, a agência está envolvida com várias escândalos, como, por exemplo, seu programa de espionagem em massa dos cidadãos estadunidenses e a criação do Stuxnet, o vírus de computador mais avançado já feito.

🔎 Quer saber mais sobre o Stuxnet, o vírus mais avançado já criado? Clique aqui e veja meu artigo sobre ele.

Em 2013, Edward Snowden, um ex-agente da NSA, vazou documentos secretos sobre espionagem em massa que incluíam ataques ao Tor.

Primeiro slide sobre o ataque EGOSTISTICALGIRAFFE

Um dos documentos trata do ataque EgotisticalGiraffe ao Tor Browser, que explorava uma vulnerabilidade no navegador Firefox [15] [36].

Link para o documento da NSA sobre o EgotisticalGiraffe.

Além do EgotisticalGiraffe, foi vazada uma apresentação chamada Tor Stinks (em português, o Tor fede) [19]. Nesta apresentação, de 2012, é informado que a análise manual do tráfego permite identificar apenas uma pequena fração dos usuários Tor porque a agência precisaria ter acesso a todos os três nós do circuito digital (vide a explicação anterior) para realizar a análise.

Primeiro slide da apresentação Tor Stinks

O documento também diz que a NSA “nunca poderá deanonimizar todos os usuários do Tor o tempo todo” e que a agência estava investigando diversas formas de identificar os usuários do Tor, mas sem progresso até então.

2. Nós de saída não protegem dados não criptografados

O controle de nós de saída permite ataques MitM e eavesdropping em comunicações não criptografadas

O Tor não criptografa os dados entre o nó de saída e seu destino. Assim, os nós de saída podem interceptar quaisquer dados que não estão criptografados, seja por SSL, TLS etc. Estes dados podem incluir endereço IP e credenciais (e-mail e senha, por exemplo). [23]

Vale notar que a rede Tor é formada por colaboradores que, voluntariamente, mantêm os nós da rede. É fácil para agências de inteligência, como a NSA, comprometerem nós de saída para monitorar o tráfego que passa por eles.

Nós de saída que foram pegos realizando ataques MitM em 2020

No começo de 2021, um pesquisador de segurança publicou em seu blog que um único agente malicioso (threat actor) desconhecido estava controlando mais de 25% dos nós de saída do Tor. O ataque foi descoberto em 2020 porque o agente malicioso estava realizando um ataque chamado SSL Stripping, que rebaixa a comunicação HTTPS (segura) para uma comunicação HTTP (insegura). [21] [22] [24]

3. Ataques de confirmação de tráfego

Correlação, conceito estatístico usado para confirmação de tráfego

O Tor é suscetível aos ataques de confirmação de tráfego, em que o adversário controla ou observa ambos os nós de entrada e saída e então compara as características do tráfego (tempo, volume etc.) para descobrir se um par nó de entrada e saída fazem parte do mesmo circuito e, portanto, descobrir a identidade do usuário e o que ele está acessando. [25] [26] [27]

Em 2009, uma postagem no blog do The Tor Project confirma que o Tor Browser não foi planejado para prevenir este tipo de ataque porque se um adversário controla os dados que entram e saem, basta realizar alguns cálculos para descobrir informações sobre os usuários. [25]

Em 2014, foi descoberto um grupo de atacantes anônimos que utilizaram uma combinação de ataque de confirmação de tráfego e ataque Sybil visando deanonimizar usuários. Medidas foram tomadas e a vulnerabilidade foi corrigida. [26]

Apesar de tudo, esta categoria de ataques permanece sendo um problema em aberto. [26] [27]

4. Análise de tráfego

A análise de tráfego é um ataque que ocorre pela análise do tráfego de uma rede, no caso, a rede Tor.

Como a rede Tor funciona sobre a Internet, é possível que adversários tentem descobrir informações observando o tráfego que passa pela rede Tor, o que é chamado de ataque de análise de tráfego. A quantidade de informações que são adquiridas dependem da posição que o atacante está. [28] [30]

Em 2019, o The Tor Project identificou uma série de novos ataques de análise de tráfego de baixo custo e potenciais mitigações. Estes ataques envolvem “oráculos”, que são infraestruturas disponíveis ao público e que auxiliam a análise. [29]

Atualmente, ataques de análise de tráfego continua sendo um tópico de pesquisa em aberto e também afeta usuários não-Tor. [28]

5. Guard Discovery

O guard discovery (ou descoberta do nó guarda) é um ataque que permite ao adversário determinar qual é o nó de entrada que está sendo utilizado por um usuário Tor. [28]

Ao ser descoberto, o nó de entrada pode ser comprometido, coagido ou vigiado a fim de entregar informações do usuário Tor, como seu endereço IP, o que é um passo para a deanonimização deste mesmo usuário. [28] [30] [31]

6. Mau uso

Não adianta usar uma ferramenta com segurança de nível militar/governamental se você não a usa corretamente.

Como vimos, atacar a rede Tor e seus usuários é uma tarefa complexa e custosa, dependendo da extração e análise de dados que trafegam pela rede e o controle (ou comprometimento, ou coação) de nós na rede.

Porém, o mau uso pode ajudar agentes públicos a deter criminosos com mais facilidade, o que inclui as seguintes ações:

1. Dar informações a serviços e websites: o usuário pode, voluntariamente, dar informações sobre si mesmo a websites e serviços, como nome, e-mail pessoal, endereço, número de telefone etc., o que acaba com o anonimato. [32]
2. Abrir documentos baixados via Tor: além do risco de malware, os arquivos podem baixar outros recursos fora do Tor, revelando o endereço IP do usuário. [32]
3. Comunicação não segura: como discutido anteriormente, o Tor só criptografa o tráfego dentro da rede, e não fora dela. A criptografia fora da rede depende do site que o usuário está acessando. Se, por exemplo, o site estiver usando HTTP, informações podem ser vazadas. Para isso, tem o modo apenas HTTPS. [32]
4. Plugins de navegador: plugins, ou extensões, como Flash, RealPlayer, Quicktime etc. podem ser manipulados para revelar o endereço IP do usuário. [32]
5. Usar Torrent sobre o Tor: permite deanonimizar o tráfego do Tor e do Torrent do usuário, simultaneamente, além de tornar a rede Tor mais devagar. [33]
6. Comprar usando moeda rastreável: a Dark Web permite anonimato suficiente para que pessoas possam comprar e vender produtos ilegais. Porém, como agentes públicos podem rastrear transações [34], o uso de moedas comuns podem identificar criminosos. Por isso, eles geralmente usam criptomoedas com foco em privacidade, como a Monero.

Um exemplo de mau uso do Tor foi um aluno de Harvard que usou o Tor e o Guerrilla Mail para enviar uma ameaça de bomba na universidade e adiar as provas. O Tor cumrpiu seu papel. Porém, o aluno esqueceu que estava conectado à rede da universidade. Uma análise simples e rápida revelou o culpado. [37]

Conclusão

O navegador Tor Browser e a rede Tor cumprem bem o papel de tornar a comunicação sobre a Internet segura. Apesar disso, foi provado que é possível identificar uma fração dos usuários (com exemplos), seja por ataques à rede, por ataques ao navegador ou pela burrice de alguns criminosos.

Algumas dúvidas que ficam para próximos artigos são: será que as agências de inteligência ao redor do mundo sabem como deanonimizar usuários do Tor? Será que existe um substituto mais seguro para o Tor?