¿Cómo protege Tor contra un atacante que solo ejecuta miles de nodos?

Tor proporciona privacidad solo bajo el supuesto de que al menos un nodo en la cadena seleccionada al azar no está controlado por el atacante (ya que estamos hablando de análisis de tráfico , simplemente espiando el tráfico que ingresa y sale de este nodo, sin intentar descifrarlo, cuenta como" control "). Esto es probabilístico. Si el atacante controla, digamos, el 50% de todos los nodos, y su navegador usa una cadena de longitud 5, entonces el atacante gana con probabilidad 0.5 ⁵ = 1/32.

Para mitigar tales ataques, puede configurar a su cliente para que elija cadenas no de manera uniforme, pero en lugar de hacer cumplir una "propagación global" para que la cadena pase por nodos en varios países que no se gustan entre sí.

No, correr una gran cantidad de nodos es una de las principales debilidades de Tor. La fijación le permite seleccionar nodos particulares para usar, pero es importante elegir bien sus nodos y tratar de evitar que se comporten mal, ya que una ruta enrutada completamente a través de nodos no es segura y cada nodo en colusión reduce la seguridad efectiva.

Hay esfuerzos para tratar de juzgar qué nodos se comportan bien según el tiempo que llevan alrededor, pero un atacante paciente y experto podría filtrar muchos nodos a lo largo del tiempo y ser bastante difícil de detectar.

Incluso si toda la cadena de transmisión no se ve comprometida, se puede tener cierto grado de comprensión al observar la sincronización de los paquetes que entran y salen de un nodo. Los retrasos en las transmisiones ayudarían, pero aumentarían la latencia y no son compatibles actualmente con Tor.

  

¿Existen contramedidas no técnicas, por ejemplo, ¿Alguien intervendría si surgieran 3000 nuevos nodos sospechosos en AWS?

Sí. Hay sistemas y people monitoreando la red, y el directorio los operadores de autoridad bloquearán las inundaciones de nuevos relés descaradamente sospechosos. Esto ocurre regularmente, con proyectos de investigación académicos cuestionables , nuevos operadores de relevo inusualmente generosos y más actores nefarios .

De hecho, su escenario hipotético ocurrió casi literalmente en diciembre de 2014. Algunas personas fueron y activó 3300 relés en los servidores de nube de Google por alguna razón u otra. No pasó nada. Los relés fueron bloqueados ; casi no recibieron tráfico ; y es difícil decir qué intentaron lograr los operadores.

El RELAY_EARLY attack es probablemente el peor ejemplo. Para el primer semestre de 2014, un atacante, aparentemente estadounidense academic / gobierno investigadores en Universidad Carnegie Mellon SEI CERT , combinó un centenar de retransmisiones rápidas y un error de seguridad para desanonizar usuarios no contados, lo que lleva a múltiples arrestos en los EE. UU. y posibles riesgo de cualquier otra parte que registre el tráfico en ese momento.

Además de ejecutar miles de nodos, un atacante tendría que ejecutar esos miles de nodos durante un tiempo largo porque parte del proceso de decisión sobre qué nodos usar considera el consensus de peso, que incluye el tiempo de actividad como un factor. Además, hay indicadores que pueden agregarse a los nodos mediante los relés de clasificación más alta (por consenso) que marcan un relé como un relé malo, lo que afecta negativamente el uso que se haría.

La mayoría de las protecciones de Tor contra este tipo de ataque estarían relacionadas con las restricciones sobre la antigüedad de un relé para obtener una porción considerable de tráfico.

Todas estas respuestas son objetivamente incorrectas, incluso la más votada. Tor tiene varias características específicas que lo mitigan, lo que se conoce como un ataque de sybil. Mientras que el relé central y de salida pueden cambiar cada 10 minutos, el primer relé, el guardia, permanece con usted durante mucho tiempo. Esto garantiza que, incluso si un atacante crea una gran cantidad de relés, no podrá conseguir fácilmente que uses su relé.

Imagina que el atacante tiene la oportunidad de controlar tu guardia y salir del relé, y esa probabilidad se determina en función del porcentaje de relés que controlan. ¿Prefieres que tengan una nueva oportunidad de identificarte con una pequeña probabilidad de éxito una vez cada 10 minutos, o una vez al año? Lo último es cómo opera Tor, a pesar de toda la información errónea mencionada anteriormente.

enlace

Soy un nuevo usuario y, por lo tanto, no puedo agregar esto como un comentario, pero es en respuesta al usuario 1535427

(como lo comentó IceyEC para user1535427 post) Tor utiliza 3 x saltos en un circuito entre usted y el servidor final.

En algunas circunstancias, utilizará más, como cuando se conecta a un "servicio oculto" o "Sitio de ionización", ya que utiliza 3 saltos x entre usted y lo que se conoce como un "punto de encuentro" (que es solo otro nodo de retransmisión normal dentro de la red Tor) más 3 veces más saltos desde el "punto de encuentro" al servidor de destino final.
Pero aparte de esto, Tor está codificado para usar 3 x saltos.

inicialmente, esto puede parecer contraintuitivo, como lo pensé yo mismo. Sin embargo, hay varias razones para mantenerlo en 3 x saltos.
Algunas de estas razones (pero no limitadas a) son:

1: aumentar la cantidad de saltos agrega latencia, lo que afecta negativamente a las velocidades, la facilidad de uso y la experiencia del usuario.

2 - (tipo de seguimiento de la razón 1) Si aumentar los saltos para todos los usuarios enlentece las cosas en general, pero podría "potencialmente" agregar capas adicionales de seguridad, entonces, una respuesta podría ser que Tor permite a los usuarios elija cuántos saltos usan para crear su circuito a costa de una mayor latencia, si el individuo en particular considera que la compensación es aceptable? Bueno, en realidad no. Esto significaría que diferentes usuarios tendrían "longitudes de ruta" diferentes y, por lo tanto, el servidor sería "un dato de información adicional y potencialmente identificable", por ejemplo, ¿es posible que usted sea la única persona que eligió específicamente pasar por ejemplo 123 hops? Si un atacante pudiera determinar su número de saltos, podría ser capaz de identificarlo de forma exclusiva, o al menos distinguirle de otro tráfico, solo por este factor.
En resumen, aumentar el número de saltos para cada circuito es malo, por lo que está dando a los usuarios la opción de variar el número de saltos en sí mismos.

3 - lo que me lleva a otra razón, aparentemente (y también contraintuitiva), las pruebas han demostrado que el uso de 4 o más saltos en la práctica, en realidad no ofrece más seguridad de la que obtendría con solo 3 saltos. En retrospectiva, tener solo 3 x saltos ofrece, técnicamente, la seguridad más alta al mismo tiempo que brinda las conexiones más rápidas (¡lo cual es bastante bueno si lo piensas!)

lo importante que hay que eliminar de esto es que:
- Mientras un atacante NO controle TANTO sus nodos de "entrada" Y "salida",
- Además de que su servidor final sea un ".onion server", o un "servidor web abierto con HTTPS"

entonces estás relativamente seguro. Si el atacante conoce sus nodos de entrada y salida, se acabó el juego. Derrota todo el punto de la red Tor.

La única forma en que esto podría ayudar a un atacante es si ejecutaron todos los nodos de retransmisión y, además, que estuvieran seguros de este hecho. La fortaleza de Tor es que un nodo determinado no sabe si el nodo al que retransmite los datos es otro nodo repetidor o el usuario final. No pude encontrar información en línea si Tor usa un número específico de saltos por conexión, porque si, por ejemplo, un atacante sabía a ciencia cierta que Tor conecta 5 nodos de relé entre un usuario y un punto final, y el atacante vio 5 de su relé En los nodos de una cadena, conocerían la IP del punto final y el usuario.

Por este motivo, supongo que Tor no utiliza un número constante de saltos.

Habiendo dicho todo esto, si el atacante ejecutó un nodo de salida y usted lo usó para conectarse a un sitio simple de HTTP clearnet, podrían ver todos los datos que envió, aunque aún así no puede ver la IP del usuario.