A finales de agosto, alguien apodado Egerstad desde Suecia, publicó en su blog las contraseñas de cien cuentas de correo pertenecientes a instituciones gubernamentales de todo el mundo. No explicó cómo había conseguido toda esa cantidad de información confidencial hasta hace unos días. Gracias al uso de TOR, con el que sus «víctimas» se sentían seguras, Egerstad consiguió esta información confidencial que puso a disposición de cualquiera en Internet.
Egerstad, en una entrada en su blog pública y accesible (que ya no permanece activa), escribió nada menos que el nombre de 100 usuarios y contraseñas de correos de importantes instituciones de varios países, entre ellos, muchos embajadores. Decía disponer de mucha más información confidencial de grandes empresas que no publicó. No había motivo, no tenía un fin concreto: las consiguió (de algún modo) y permitió que todos la vieran simplemente (según él) porque quería concienciar del problema.
Hoy sabemos que fueron, paradójicamente, obtenidas a través del popular TOR, una red para hacer anónimo el tráfico en Internet. TOR (The Onion Router) es un software gratuito que implementa un sistema de enrutado y anonimato avanzado. Permite comunicación anónima en Internet enrevesando el tráfico y haciéndolo pasar por distintos enrutadores para perder la pista del origen de las peticiones. Los usuarios que busquen anonimato instalan un proxy local y éste establece un circuito virtual a través de una red TOR que les permite comunicarse con su destino sin que nadie pueda ser ‘reconocido’. La comunicación entre distintos enrutadores (y esto es importante) se produce de forma cifrada. A grandes rasgos así funciona.
El incidente despierta numerosas cuestiones. ¿Cómo es posible que se consiguieran las contraseñas a través de una red anónima y cifrada? Porque el tráfico no permanece cifrado en todo su camino, sino ‘solo entre enrutadores’. Existen unos nodos de salida (exit nodes) en los que el tráfico se transmite en texto claro desde el último enrutador de TOR hacia su destino final. Este es el punto débil que aprovechó Egerstad para trazar su plan: instalar un nodo de salida, un analizador de tráfico y simplemente esperar. Cualquiera puede montar un nodo de TOR. Egerstad instaló cinco.
La documentación de TOR indica explícitamente que el sistema ofrece anonimato pero no cifrado en última instancia, y que si no se utiliza cifrado punto a punto entre el origen y el destino (SSL, por ejemplo) el tráfico queda accesible para los nodos de salida y por tanto, para quien tenga el control sobre ellos. Un correo, por ejemplo, sin cifrar y sin comunicación SSL con el servidor, sería tan ‘visible’ a través de TOR como de cualquier otra red. La red TOR no es insegura por esto. Cumple perfectamente el trabajo para el que está diseñada.
Son los usuarios los que parecen incapaces de comprender que el anonimato y el cifrado son dos cualidades distintas que hay que aplicar por separado a los datos, y que no siempre van unidas. El uso de TOR no garantiza la confidencialidad, sólo el anonimato.
Egerstad no es el único que ha tenido una idea parecida. Se están abriendo una gran cantidad de nodos TOR en distintos países. De 2006 a hoy, han pasado de menos de una decena a 77 nodos alojados en China. Los fines no están muy claros, pero parece que tiene alguna relación con ataques phishing.
Son muchas las moralejas de este incidente. El uso indiscriminado de tecnología que no se termina de comprender, la confianza ciega en sistemas públicos… Puede llegar a entenderse que ciertos embajadores usasen TOR para navegar de forma anónima, pero olvidaron que siempre, bajo cualquier circunstancia, sólo el cifrado de datos puede llegar a garantizar la confidencialidad de la información. Y si la información que se transmite es sensible, ocultar los datos es posiblemente más importante que ‘ocultar’ a quien los envía.
ssantos@hispasec.com
Más información:
Phishing attacks on TOR anonymisation network
http://www.heise-security.co.uk/news/95778
Passwords to government mail accounts publicised
http://www.heise-security.co.uk/news/95282
Deja un comentario