Como pegar criminosos na rede Tor
Neste artigo, será discutido sobre a dark web, o navegador Tor Browser, a rede Tor, ataques que buscam identificar usuários Tor e ataques reais que ocorreram à rede Tor ou ao navegador.
Será que o Tor é seguro? É possível pegar criminosos na rede Tor? Como é possível? Responderemos a estas e outras perguntas a seguir.
Deep Web vs. Dark Web
Os termos dark web e deep web ficaram populares por conta do aumento dos crimes cibernéticos e por ser uma “parte obscura” da internet. Estes termos geralmente são usados como sinônimos, entretanto, significam coisas diferentes.
A deep web consiste de conteúdos da World Wide Web que não foram indexados (ou catalogados) por motores de busca, como o Google. Estes conteúdos incluem páginas com acesso limitado, por exemplo seu saldo bancário. [1]
A dark web é formada por redes que usam a Internet, mas que precisam de software, configurações e autorização específicos para serem acessadas. [1]
Dark Web, o patinho feio
Ao pesquisar o que é dark web?
no Google, aparecerão artigos jornalísticos que descrevem a Dark Web como o “paraíso” dos criminosos [2], o “lugar onde os crimes acontecem” [3] ou como um “mundo perigoso” [4].
Como vimos anteriormente, nem Dark Web e Deep Web se referem a criminosos ou atos ilícitos. Na verdade, está dentro da lei usar o Tor para acessar os sites da rede ou acessar sites do dia-a-dia de forma anônima, como o Google ou o Facebook.
Porém, mesmo assim, a Dark Web é associada a crimes, e isto se deve ao fato que muitos criminosos procuram a Dark Web e outros softwares para manter o anonimato.
O Tor é reconhecido por ser o meio de acesso à Dark Web [5] [6] [7] [8] e por garantir o completo anonimato ao usuário [9] [10]. Será mesmo?
Observação: a rede Tor não é a única rede da Dark Web. Outros softwares formam outras redes, como o I2P [11], o Freenet [12], o Zeronet [13] e o GNUnet [14].
Tor, o melhor amigo dos criminosos… ou não
Na década de 1990, a segurança na Internet já era uma preocupação. Em 1995, David Goldschlag, Mike Reed e Paul Syverson, pesquisadores no Laboratório de Pesquisa Naval dos EUA (NRL), começaram a desenvolver uma forma de se comunicar com segurança pela Internet para as agências de inteligência. O resultado foi a criação do onion routing (em português, roteamento cebola). [15] [16] [17]
O Tor que todos conhecem, na verdade, se chama Tor Browser e é um navegador (versão modificada do Firefox) que implementa o onion routing, permitindo que o usuário navegue pela rede Tor. [18]
Como funciona o Tor?
O navegador Tor Browser, seguindo a arquitetura do onion routing, escolhe três nós da rede Tor, formando uma rota entre o usuário (origem) e o destino, chamada de circuito, por onde irão passar os dados criptografados.
O primeiro nó é chamado de nó de entrada (ou nó guarda), que recebe os dados do usuário. O segundo nó é chamado de nó intermediário, que repassa os dados para o próximo nó. O terceiro e último nó é o nó de saída, que passa os dados para o destino requisitado pelo usuário. [20]
No entanto, antes de fazer a transmissão dos dados, o Tor Browser protege eles com três camadas de criptografia. Cada nó decifra exatamente uma dessas camadas (aqui a ordem importa).
Curiosidade: o nome onion routing (ou roteamento cebola) se deve às várias camadas de criptografia.
Esta forma de proteger os dados garante que os nós do circuito só tenham conhecimento dos nós vizinhos. Por exemplo: o nó de entrada só sabe que os dados vieram do usuário e vão para o nó intermediário, mas não sabe qual é o destino dos dados.
Para mais detalhes, clique aqui para ver o paper original do onion routing, fonte consultada para fazer esta seção.
Ataques ao Tor
A seguir, serão apresentados ataques ao Tor (rede e navegador) que buscam identificar usuários (e, portanto, criminosos) e casos reais de ataques que ocorreram.
Observação: ataques especulativos ao Tor não serão tratados. [35]
1. Tor Stinks e EgotisticalGiraffe
Para contextualizar, a NSA é uma agência de inteligência do governo dos EUA e é responsável por monitorar, coletar e processar informações do mundo todo para auxiliar na manutenção da segurança do país. Entretanto, a agência está envolvida com várias escândalos, como, por exemplo, seu programa de espionagem em massa dos cidadãos estadunidenses e a criação do Stuxnet, o vírus de computador mais avançado já feito.
🔎 Quer saber mais sobre o Stuxnet, o vírus mais avançado já criado? Clique aqui e veja meu artigo sobre ele.
Em 2013, Edward Snowden, um ex-agente da NSA, vazou documentos secretos sobre espionagem em massa que incluíam ataques ao Tor.
Um dos documentos trata do ataque EgotisticalGiraffe ao Tor Browser, que explorava uma vulnerabilidade no navegador Firefox [15] [36].
Link para o documento da NSA sobre o EgotisticalGiraffe.
Além do EgotisticalGiraffe, foi vazada uma apresentação chamada Tor Stinks (em português, o Tor fede) [19]. Nesta apresentação, de 2012, é informado que a análise manual do tráfego permite identificar apenas uma pequena fração dos usuários Tor porque a agência precisaria ter acesso a todos os três nós do circuito digital (vide a explicação anterior) para realizar a análise.
O documento também diz que a NSA “nunca poderá deanonimizar todos os usuários do Tor o tempo todo” e que a agência estava investigando diversas formas de identificar os usuários do Tor, mas sem progresso até então.
2. Nós de saída não protegem dados não criptografados
O Tor não criptografa os dados entre o nó de saída e seu destino. Assim, os nós de saída podem interceptar quaisquer dados que não estão criptografados, seja por SSL, TLS etc. Estes dados podem incluir endereço IP e credenciais (e-mail e senha, por exemplo). [23]
Vale notar que a rede Tor é formada por colaboradores que, voluntariamente, mantêm os nós da rede. É fácil para agências de inteligência, como a NSA, comprometerem nós de saída para monitorar o tráfego que passa por eles.
No começo de 2021, um pesquisador de segurança publicou em seu blog que um único agente malicioso (threat actor) desconhecido estava controlando mais de 25% dos nós de saída do Tor. O ataque foi descoberto em 2020 porque o agente malicioso estava realizando um ataque chamado SSL Stripping, que rebaixa a comunicação HTTPS (segura) para uma comunicação HTTP (insegura). [21] [22] [24]
3. Ataques de confirmação de tráfego
O Tor é suscetível aos ataques de confirmação de tráfego, em que o adversário controla ou observa ambos os nós de entrada e saída e então compara as características do tráfego (tempo, volume etc.) para descobrir se um par nó de entrada e saída fazem parte do mesmo circuito e, portanto, descobrir a identidade do usuário e o que ele está acessando. [25] [26] [27]
Em 2009, uma postagem no blog do The Tor Project confirma que o Tor Browser não foi planejado para prevenir este tipo de ataque porque se um adversário controla os dados que entram e saem, basta realizar alguns cálculos para descobrir informações sobre os usuários. [25]
Em 2014, foi descoberto um grupo de atacantes anônimos que utilizaram uma combinação de ataque de confirmação de tráfego e ataque Sybil visando deanonimizar usuários. Medidas foram tomadas e a vulnerabilidade foi corrigida. [26]
Apesar de tudo, esta categoria de ataques permanece sendo um problema em aberto. [26] [27]
4. Análise de tráfego
Como a rede Tor funciona sobre a Internet, é possível que adversários tentem descobrir informações observando o tráfego que passa pela rede Tor, o que é chamado de ataque de análise de tráfego. A quantidade de informações que são adquiridas dependem da posição que o atacante está. [28] [30]
Em 2019, o The Tor Project identificou uma série de novos ataques de análise de tráfego de baixo custo e potenciais mitigações. Estes ataques envolvem “oráculos”, que são infraestruturas disponíveis ao público e que auxiliam a análise. [29]
Atualmente, ataques de análise de tráfego continua sendo um tópico de pesquisa em aberto e também afeta usuários não-Tor. [28]
5. Guard Discovery
O guard discovery (ou descoberta do nó guarda) é um ataque que permite ao adversário determinar qual é o nó de entrada que está sendo utilizado por um usuário Tor. [28]
Ao ser descoberto, o nó de entrada pode ser comprometido, coagido ou vigiado a fim de entregar informações do usuário Tor, como seu endereço IP, o que é um passo para a deanonimização deste mesmo usuário. [28] [30] [31]
6. Mau uso
Como vimos, atacar a rede Tor e seus usuários é uma tarefa complexa e custosa, dependendo da extração e análise de dados que trafegam pela rede e o controle (ou comprometimento, ou coação) de nós na rede.
Porém, o mau uso pode ajudar agentes públicos a deter criminosos com mais facilidade, o que inclui as seguintes ações:
- Dar informações a serviços e websites: o usuário pode, voluntariamente, dar informações sobre si mesmo a websites e serviços, como nome, e-mail pessoal, endereço, número de telefone etc., o que acaba com o anonimato. [32]
- Abrir documentos baixados via Tor: além do risco de malware, os arquivos podem baixar outros recursos fora do Tor, revelando o endereço IP do usuário. [32]
- Comunicação não segura: como discutido anteriormente, o Tor só criptografa o tráfego dentro da rede, e não fora dela. A criptografia fora da rede depende do site que o usuário está acessando. Se, por exemplo, o site estiver usando HTTP, informações podem ser vazadas. Para isso, tem o modo apenas HTTPS. [32]
- Plugins de navegador: plugins, ou extensões, como Flash, RealPlayer, Quicktime etc. podem ser manipulados para revelar o endereço IP do usuário. [32]
- Usar Torrent sobre o Tor: permite deanonimizar o tráfego do Tor e do Torrent do usuário, simultaneamente, além de tornar a rede Tor mais devagar. [33]
- Comprar usando moeda rastreável: a Dark Web permite anonimato suficiente para que pessoas possam comprar e vender produtos ilegais. Porém, como agentes públicos podem rastrear transações [34], o uso de moedas comuns podem identificar criminosos. Por isso, eles geralmente usam criptomoedas com foco em privacidade, como a Monero.
Um exemplo de mau uso do Tor foi um aluno de Harvard que usou o Tor e o Guerrilla Mail para enviar uma ameaça de bomba na universidade e adiar as provas. O Tor cumrpiu seu papel. Porém, o aluno esqueceu que estava conectado à rede da universidade. Uma análise simples e rápida revelou o culpado. [37]
Conclusão
O navegador Tor Browser e a rede Tor cumprem bem o papel de tornar a comunicação sobre a Internet segura. Apesar disso, foi provado que é possível identificar uma fração dos usuários (com exemplos), seja por ataques à rede, por ataques ao navegador ou pela burrice de alguns criminosos.
Algumas dúvidas que ficam para próximos artigos são: será que as agências de inteligência ao redor do mundo sabem como deanonimizar usuários do Tor? Será que existe um substituto mais seguro para o Tor?