¿Cómo puede un atacante rastrear a alguien que usa Whonix como tor-gateway?
Desde la página principal de tor:
"Tor no ofrece protección contra los ataques de tiempo de extremo a extremo: si su atacante puede ver el tráfico que sale de su computadora y también el tráfico que llega a su destino elegido, puede usar el análisis estadístico para descubrir que Son parte del mismo circuito ". enlace
También, tor & otras herramientas, como un navegador utilizado en la red tor, pueden tener vulnerabilidades que pueden anular el anonimato. Estos han sido explotados activamente por las agencias gubernamentales. Ejemplo reciente: enlace
Más viejo, ejemplo similar: enlace
El ataque de correlación de tráfico debería ser relativamente fácil de evitar si no publicas, y solo navegas en múltiples sitios web simultáneamente.
Sin embargo, hay otros medios, basados en la actividad del usuario. Generalmente, si genera cualquier contenido, como publicar algo, y no solo consumir el contenido, usar Tor / Whoenix solo no es suficiente.
Algunas cosas a considerar:
El uso del lenguaje. Por ejemplo, en un caso bien publicado, un administrador del sitio web de darknet, que usó Tor, y finalmente se detuvo porque usó un saludo inusual. La búsqueda de este saludo proporcionó pocos resultados, y su seguimiento fue bastante fácil. Tenga en cuenta que este tipo de ataque no requiere recursos ni poderes estatales significativos.
Se ha desonimizado a las personas mediante la publicación de fotos con el etiquetado geográfico habilitado, la reutilización de sus identidades (como la creación de cuentas de usuarios inusuales), el intercambio de información adicional sobre sí mismos en privado con personas "confiables", etc.
Generalmente, si publicas algo, es mucho más fácil rastrearte. Cuanto más contenido publiques, y cuanto más exclusivo sea, más fácil te hará rastrearte.
Se podría desencadenar una vulnerabilidad del navegador contra la "Estación de trabajo" y revelar todas las sesiones de navegación, que podrían estar correlacionadas. Por ejemplo, si el usuario navega por el sitio monitoreado mientras está conectado a su cuenta de gmail en otra pestaña, tal vulnerabilidad podría revelar ambas pestañas del navegador. Generalmente, si una captura de pantalla tomada en cualquier momento de su sesión de Tor revelaría su identidad, es vulnerable.
Pero claro que hay muchos otros ataques. Incluso un simple ataque de sincronización: si un usuario A se conecta a la red Tor a cierta hora todos los días y cierto sitio web se actualiza al mismo tiempo, se pueden correlacionar esas actividades incluso sin monitorear el tráfico del nodo de salida.
Lea otras preguntas en las etiquetas network user-tracking tor