Clase XX - 10102019 - Serie Mr.Robot
SERIE MR. ROBOT / Período: Minuto 0 a 7’.
Objetivo de estudio: Red TOR
El protagonista de la serie, en este primer período, actúa como hacker, experto en seguridad informática que comete ciber delitos con la intención de proteger a víctimas inocentes de abusos.
Vector de ataque
š Objetivo: interrumpir la continuidad del negocio.
š Inteligencia previa, obtuvo nombre real, historia de vida y listado de bienes.
š Reconocimiento del punto objetivo de ataque, utilizando sniffing (intercepción de tráfico / datos en la red). Sitio Web Plato’s Boys + Red TOR. Ataque pasivo que le permitió conocer el origen y destinatario de la comunicación, [con ello se determina la localización y la identidad de los anfitriones (emisor, receptor)], el control de volumen de tráfico intercambiado entre las entidades monitoreadas, (de esta forma se obtienen todos los datos necesarios para percatarse de la actividad o inactividad inusuales) y el control de las horas habituales del intercambio de datos entre las entidades de la comunicación, (con ello se extraen los datos acerca de los periodos de actividad).
š Suplantación de identidad y recolección de información, para provocar un impacto adverso y obtener acceso no autorizado a sistemas e información sensible (ataque activo).
Actuó sobre activos informáticos (servidores, red de comunicación) y de información ( imágenes, fotos, correos y archivos) .
Conociendo el modo de operar de la red TOR obtuvo el control del tráfico de los nódulos de salida, vulnerabilidad que sumada a la falta de cifrado de los datos[1] , la probable desactualización de los parches del navegador y el incumplimiento de las leyes y regulaciones, le permitió concretar el ataque. Afectando la integridad de la red y la confidencialidad de los datos, el ataque interrumpió la continuidad del negocio.
Dejó evidencia digital anónima, en los archivos de registro de la red (ubicación, coordenadas de geo posicionamiento) y hora actual, no visibles por las herramientas tradicionales usadas por el usuario. Dio aviso a la policía.
Derribó las protecciones de red, servidores, aplicación y datos del sistema de defensa por capas para ingresar al sistema.
Incumplió con las sig. leyes ( si el evento hubiera ocurrido en Argentina):
- Ley de protección de datos personales
- Ley de propiedad intelectual
- Ley de delitos informáticos
Con la aparición de las nuevas tecnologías y servicios se ha experimentado un gran
cambio en la sociedad haciendo que los usuarios estén constantemente conectados a
Internet. Esto ha aportado grandes ventajas y agilidad en el día a día, pero también
presenta nuevos desafíos en cuanto a la seguridad.
La información que consultamos en Internet se
encuentra indexada en buscadores. Sobre ella se ejecutan
acciones de seguimiento y análisis de datos, lo
que permite su trazabilidad.
Para evitar este seguimiento, los usuarios buscan alternativas que
aporten anonimato y privacidad y encuentran en la Deep Web o Web Profunda
una oportunidad para lograrlo.
El acceso a esta parte de la red no se consigue directamente desde la Web Superficial
mediante los navegadores tradicionales (Google / Firefox), sino que es necesario un
software específico.
Tor, como navegador, da acceso a la red anónima.
Aporta al usuario anonimato y privacidad en su
navegación mediante un enrutamiento especial llamado “enrutamiento cebolla” estructurado en
capas de cifrado.
Tanto los usuarios como los servidores de la red se
encuentran ocultos bajo el anonimato.
Tor es el acrónimo de “The Onion Router”, el “Enrutador cebolla”. Esta referencia se debe a la estructura de la red usada por Tor, que consiste en varias capas de cifrado que protegen los datos.
Es un proyecto que tiene como objetivo principal el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet, en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela datos de su identidad (anonimato a nivel de red) ni de los datos enviados en la comunicación.
Tor pertenece a la Darknet o también conocida como Deep Web en la que se evita la censura de determinados contenidos alojados. La red Tor es la red distribuida más famosa y utilizada como herramienta para dar solución a la privacidad y anonimato en Internet.
Desarrolla una red que permite el acceso a servicios online bloqueados por los proveedores de Internet, manteniendo información confidencial en el anonimato.
Los mensajes realizan el viaje desde el origen hasta el destino a través de varios routers especiales “onion routers” o capas bajo la protección del cifrado, impidiendo que las páginas por las que se navega identifiquen la IP desde la que se accede.
Tor se desarrolló como una red mundial de servidores con la Marina de EEUU con el objetivo de proteger las comunicaciones gubernamentales, permitiendo que se navegara de forma anónima a través de Internet. Actualmente además de objetivos militares, tiene gran variedad de usos ya sean periodísticos, policiacos, activistas, etc.
Los paquetes de datos que se envían a través de la red están compuestos por dos partes: los datos que se quieren enviar y el encabezado que es donde se encuentra mucha información como la fuente, destino, tamaño, tiempo, etc.
Los mensajes realizan el viaje desde el origen hasta el destino a través de varios routers especiales “onion routers” o capas bajo la protección del cifrado, impidiendo que las páginas por las que se navega identifiquen la IP desde la que se accede.
Tor se desarrolló como una red mundial de servidores con la Marina de EEUU con el objetivo de proteger las comunicaciones gubernamentales, permitiendo que se navegara de forma anónima a través de Internet. Actualmente además de objetivos militares, tiene gran variedad de usos ya sean periodísticos, policiacos, activistas, etc.
Los paquetes de datos que se envían a través de la red están compuestos por dos partes: los datos que se quieren enviar y el encabezado que es donde se encuentra mucha información como la fuente, destino, tamaño, tiempo, etc.
La persona que recibe el paquete de datos, según la información que recibe por la cabecera puede conocer el originario de la comunicación, además del proveedor de Internet como intermediario autorizado, e incluso algún sujeto no autorizado. Ante este problema se plantea el uso de una red anónima distribuida para estas comunicaciones.
Componentes de la red TOR
La red Tor está compuesta por nodos los cuales se comunican a través del protocolo cifrado sobre TCP/IP, protocolo con el que funciona Internet. Es un protocolo de seguridad en las comunicaciones, permitiendo que sean confidenciales y autenticadas, a través de algoritmos criptográficos.
Su uso en la web se distingue porque la URL empieza en “https://”.
La utilización de este protocolo garantiza:
- Privacidad: los datos son cifrados antes de enviarse a través de algoritmos criptográficos.
- Autenticación: una de las partes de la comunicación debe autenticarse para el envío de los datos.
- Integridad: los mensajes transmitidos contienen un MAC (identificador único de una pieza de hardware de red) lo que hace posible verificar si la información ha sido modificada o no antes de que el receptor la haya recibido.
- Disponibilidad: es una característica relacionada directamente con la integridad de los datos ya que, de haber un problema con la integridad, la disponibilidad de los datos no se cumpliría.
Los nodos que se pueden encontrar en una red Tor son de dos tipos:
- Nodos OR: actúan a modo de encaminadores, así como servidores de directorio. Entre los nodos OR se mantiene una conexión, de esta manera no se cierra conscientemente una conexión nunca.
- Nodos OP: obtienen información del servicio directorio, crean circuitos aleatorios en la red y controlan las conexiones de las aplicaciones de los usuarios. Las comunicaciones con los nodos OR no son continuas ni permanentes, si no que cuando hay inactividad o se ha cumplido el tiempo de sesión la conexión queda cerrada.
- Privacidad: los datos son cifrados antes de enviarse a través de algoritmos criptográficos.
- Autenticación: una de las partes de la comunicación debe autenticarse para el envío de los datos.
- Integridad: los mensajes transmitidos contienen un MAC (identificador único de una pieza de hardware de red) lo que hace posible verificar si la información ha sido modificada o no antes de que el receptor la haya recibido.
- Disponibilidad: es una característica relacionada directamente con la integridad de los datos ya que, de haber un problema con la integridad, la disponibilidad de los datos no se cumpliría.
Los nodos que se pueden encontrar en una red Tor son de dos tipos:
- Nodos OR: actúan a modo de encaminadores, así como servidores de directorio. Entre los nodos OR se mantiene una conexión, de esta manera no se cierra conscientemente una conexión nunca.
- Nodos OP: obtienen información del servicio directorio, crean circuitos aleatorios en la red y controlan las conexiones de las aplicaciones de los usuarios. Las comunicaciones con los nodos OR no son continuas ni permanentes, si no que cuando hay inactividad o se ha cumplido el tiempo de sesión la conexión queda cerrada.
Funcionamiento de la red TOR
Cuando un usuario intenta conectarse a un sitio web mediante un ordenador o dispositivo móvil, éste intenta conectarse directamente a la máquina de destino por la ruta más directa, obteniendo de esta manera más velocidad y siendo más eficiente.
La red de cualquier usuario está identificada bajo una dirección IP, lo que clasifica a esa red con un identificador único, conociendo de esta manera el punto de partida de la conexión.
Tor es una herramienta para navegar que quiere evitar esa conexión directa entre el servidor remoto y el dispositivo de origen, siendo una red montada dentro de Internet con diferentes elementos por los que viajan los datos.
Para acceder a la red es necesario obtener e instalar el software de Tor en el equipo.
En la red Tor además de garantizar el anonimato al usuario en el momento de la conexión, la estructura de capas creada hace que la información va pasando de un nodo a otro bajo la protección de cifrado, impidiendo que las páginas por las que se navega sean capaces de identificar la IP de origen. De esta manera, los paquetes de datos navegan desde el origen hasta el destino mediante una ruta de caminos aleatorios siguiendo los diferentes nodos para crear el circuito de conexión.
El servicio directorio es una base de datos en la que se registra cada nodo OR con su información. Es una BD accesible a todos los nodos OR y usuarios finales para conocer el estado de la red.
Los servidores de directorio son una serie de nodos OR establecidos como nodos confiables. Las entradas a la información del servicio de directorio son protegidas
criptográficamente con firmas. La información para que pueda incluirse en el servicio directorio debe provenir de uno de estos nodos OR confiables.
Los nodos nuevos deben ser aprobados anteriormente, así se evitan ataques de nodos que es dudoso su origen o finalidad. La aprobación de nuevos nodos es realizada desde los servidores de servicios a cargo de los administradores.
El conjunto de datos que describen a un nodo (IP, nombre…), su funcionamiento (versión de Software TOR, SO, claves…) y capacidad es información que se recolecta en el momento que un nodo OR es arrancado.
Hay tres partes en este tipo de enrutamiento:
- Establecimiento de la ruta a seguir
- Proceso de cifrado de la información
- Descifrado de la totalidad de la información
El establecimiento de la ruta se va a realizar en el momento que un usuario quiere realizar una conexión con un destino como pudiera ser una página web. La ruta no va a ser directa hacia el servidor, si no que pasará por distintos nodos antes de llegar a su destino. Actualmente la red Tor cuenta con más de 7000 nodos que pueden ser seleccionados de forma aleatoria, cuantos más nodos, más privacidad y mejor navegación.
Así se permite crear una red privada en la que el tráfico circula al menos por tres nodos OR hasta llegar al destinatario. Los dos primeros son nodos intermedios, que son conocidos en la red y cualquiera puede conectar con ellos, y son los encargados de recibir y pasar el tráfico. Los nodos intermedios no se pueden identificar como origen o destino de la comunicación por lo que hay más seguridad. También funcionan como la entrada en la red Tor en los países que los nodos OR están deshabilitados o bloqueados.
El primer paso que realiza el Software de Tor a la hora de realizar una conexión es conectarse a Internet para obtener el listado de los nodos disponibles y con los que se creará la posterior ruta de conexión aleatoria.
Una vez obtenido el listado de nodos, Tor seleccionará un nodo de entrada estableciendo con él una conexión segura mediante el protocolo seguro. Cuando la conexión está establecida se crea una clave de sesión entre el Software del equipo y el nodo de entrada.
El software de Tor del equipo usará la clave de sesión para cifrar el mensaje que desea enviar al nodo de entrada. El nodo de entrada recibirá el mensaje y lo descifrará descubriendo el nodo intermedio con el que tiene que contactar. El nodo inicial entonces establece conexión segura con el nodo intermedio mediante conexión segura.
Cuando se ha establecido la conexión, el nodo de entrada cifra un mensaje con la clave en el que informa a Tor que ya ha establecido conexión con el nodo intermedio. Al recibir Tor el mensaje del nodo de entrada, lo descifra y como se ha confirmado la conexión entre nodos, se asigna una nueva clave de sesión entre Tor y el nodo intermedio.
Tor selecciona el nodo de salida, último nodo de la conexión, y genera un mensaje con dicho nodo cifrándolo con la primera y segunda clave de sesión. El mensaje se envía al nodo de entrada, el cual descifra parte del mensaje y luego es enviado al nodo intermedio el cual descifra el mensaje completo con la segunda clave.
El nodo intermedio entonces establece una conexión segura con el nodo de salida, dando a conocer al software Tor que la conexión fue realizada correctamente. En este momento se crea una clave de sesión (tercera) entre Tor y el nodo de salida.
Finalmente, el nodo de salida es el que se encarga de contactar con el destino que había solicitado el usuario. Es un nodo que también se tiene constancia en la red y por lo tanto puede ser utilizado por otros usuarios. Al salir la información por ese último nodo, su IP es interpretada como la originaria del tráfico y los datos son descifrados para que el usuario final pueda utilizarlos, quedando en ese momento desprotegidos.
El enrutamiento de conexión en Tor tiene una duración de 10 minutos, a partir de ese tiempo la ruta se modificará y se establecerá una nueva automáticamente.
La estructura de enrutamiento cebolla de los datos es la que se muestra en la imagen siguiente.
A través de un cifrado el usuario origen va cifrando el mensaje por capas comenzando por el cifrado del mensaje con la clave pública del último nodo, de este modo sólo él podrá descifrarlo. También se incluyen las instrucciones para que el mensaje llegue a destino. Este paquete se cifra de nuevo añadiendo las instrucciones para llegar al último nodo de la lista para que sólo él lo pueda descifrar y acabe llegando al nodo destino.
Mediante la encriptación con clave se impide que los nodos puedan conocer el resto de nodos con los que se comunican.
Los nodos que hay en la red Tor son equipos de usuarios voluntarios, cualquier persona puede participar en esta red mediante la configuración de su equipo para la donación de ancho de banda y cesión de procesamiento.
Desventajas de trabajar con TOR
- La red Tor cifra la información a su entrada y la descifra a la salida, haciendo que sea imposible saber quién envió la información, lo que hace que esta red sea utilizada por muchos usuarios para realizar negocios ilegales.
- El diseño de la red Tor mediante toda esa configuración de nodos hace que la navegación sea más lenta, la información al tener que saltar entre los nodos diseñados, hace que los tiempos de respuesta aumenten y provoque lentitud en la navegación.
En Tor, las distancias se amplían entre cliente y servidor, los nodos intermediarios se sitúan dentro del intercambio de datos recibiendo y transmitiendo la información del extremo de entrada al de salida, todo esto con un cifrado en capas para el archivo, así como para las instrucciones hasta el nodo de salida. Por lo tanto, ya no estamos dependiendo de la respuesta y velocidad del servidor, sino también de los diferentes nodos hasta el extremo.
- Cuando la navegación se está utilizando correctamente en Tor, se puede garantizar un grado de anonimato, pero la privacidad puede estar afectada si alguien está a la escucha del tráfico en el nodo punto de salida, donde la información sale descifrada. El propietario de un servidor de salida puede ver toda la información, cuando es descifrada, antes de llegar a Internet. No va a poder conocer el emisor, pero sí podría acceder a la información transmitida.
- Cuando la navegación se está utilizando correctamente en Tor, se puede garantizar un grado de anonimato, pero la privacidad puede estar afectada si alguien está a la escucha del tráfico en el nodo punto de salida, donde la información sale descifrada. El propietario de un servidor de salida puede ver toda la información, cuando es descifrada, antes de llegar a Internet. No va a poder conocer el emisor, pero sí podría acceder a la información transmitida.
