Ciclo de talleres sobre Tor en el marco del proyecto Enhancing privacy and anonymity in the Latin American context por Derechos Digitales y Tor Project.

¿Qué es la red Tor?

The Onion Router (2002 - actualidad) es una red distribuida (de nodos) dentro de Internet; una red dentro de otra, digamos.

¿Solo eso?

Onion Router (pre Tor)

Onion Routing (1995 - 2004) fue el programa de investigación del Laboratorio de Investigación Naval de los EE.UU., que lanzó la primera generación en 1996. El objetivo era resolver los problemas de espionaje y análisis de tráfico, y eliminar información de identidad para obtener comunicaciones privadas y anónimas.

¿Cuál es el objetivo?

Anonimato + Privacidad

La idea de Tor es que un usuario no pueda ser rastreado: el usario puede navegar libremente.

¿Cómo se financia?

  • Omidyar Network
  • International Broadcasting Bureau
  • Bell Security Solutions
  • Electronic Frontier Foundation
  • varias agencias del gobierno (!) y grupos de investigación
  • muchos contribuidores privados

Anonimato y privacidad

ONG Derechos Digitales, campaña #DefendamosElAnonimato.

¿Para qué esconderme si no tengo nada que ocultar?
=
¿Para qué quiero libertad de expresión si no tengo nada que decir?

La privacidad es un derecho

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.
  1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación.
  2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.
Art. 18. El domicilio es inviolable, como también la correspondencia epistolar y los papeles privados [...].
Art. 19. Las acciones privadas [...] que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están solo reservadas a Dios (!), y exentas de la autoridad de los magistrados.

¿Para qué?

Cualquiera que quiera ser anónimo en internet. Por ejemplo periodistas, personas que por algún motivo sean perseguidas políticamente, como opositores a regímenes autocráticos o dictaduras, programadores y desarrolladores, hackers (en su verdadero significado), las fuerzas de la ley y, también, criminales.

República Árabe Siria - 2013

cruento control sobre el rastreo en internet a activistas; los están torturando.
Tor metrics Syria

Turquía - 2013

revueltas populares contra el primer ministro Erdogan. Pico en Junio de 2013 durante las manifestaciones.
Tor metrics Turkey
Tor usage worldwide per country

2014. By Stefano.desabbata (Own work) CC BY-SA 4.0, via Wikimedia Commons.

Argentina - 2011/2018

Argentina - 2016

Argentina - 2017

Argentina - 2018

¿Antro de contenido ilícito?

El National Center for Missing & Exploited Children analiza 25 millones de imágenes anualmente (alrededor de 480 mil por semana).*

¿De dónde salen? ¿Cómo se accede a ellas? ¿Son Tor u otras herramientas, o el anonimato, los culpables?

El Departamento de Justicia de los EE.UU. dijo que el 80% del tráfico de Tor es PI.

El Proyecto Tor dice que cuanto mucho el 1% del tráfico lo es, y que de los servicios ocultos, menos del 2% son dedicados a PI.

1.5Gb/s vs 140Gb/s vs 63000Gb/s

¿Cómo funciona?

El enrutamiento cebolla

How Tor works
How Tor works detail 1
How Tor works detail 2
How Tor works detail 3
Tor layers

SVG Diagram of the "Onion Routing" Principle - by Harrison Neal HANtwister - CC BY-SA 3.0

Los nodos de la red

  • Creados y administrados por voluntarios, empresas, grupos.
  • Tres tipos: de entrada, intercambio y salida.
  • Algunos maliciosos.

¿Cómo ser nodo?

  • Muy sencillo, la web del proyecto tiene guías detalladas.
  • Se puede serlo de cualquier tipo.
  • ¡Cuidado al ser nodo de salida desde tu casa!
  • Se puede donar dinero a ONG para poner nodos por uno: Tor servers, Noisebridge, Nos Oignons, DFRI.

Nodos de salida en Argentina

¡Necesitamos más!

Servicios "onion"

Anteriormente: servicios ocultos

No existe "deep web", ni "dark net", ni otros nombres mediáticos

  • Servidor web en un nodo: hidden service.
  • Accesibles únicamente a través de la red.
  • Emplean una dirección especial: onion address.
  • Solo un 3.4% del total de tráfico en Tor - hasta el 2015 - se realiza hacia servicios ocultos

¡Tor sigue en alpha! Última versión a día de hoy: 0.3.5.2-alpha

En el 2017 se introdujeron cambios fundamentales en lo que respecta a seguridad: se reemplazaron los algoritmos antiguos SHA1/DH/RSA1024 con los modernos SHA3/ed25519/curve25519

Aplicaciones

La forma más común de acceder a tor es mediante Tor Browser (para PC/MAC) u Orbot+OrFox en Android.

Para torificar programas, la manera más conveniente es usar Whonix Gateway.

Una forma simple para compartir archivos es usar OnionShare.

Para navegar anónimamente en forma fácil, puede usarse el sistema operativo Tails.

¿Quiénes me están mirando?

EFF Tor http
EFF Tor https

Servicios "onion" en detalle

Direcciones .onion

Interpretadas por el cliente, es la única forma de acceso al servicio (generalmente un sitio web).

Codificado en base32 de los primeros 80 bits del SHA-1 de la "identity key".
Ejemplo: kpanicfz4v7lrsrv.onion

La nueva versión 3 utiliza llaves ECC y la dirección es la llave pública completa en base32.
Ejemplo: 4acth47i6kxnvkewtm6q7ib2s3ufpo5sqbsnzjpbi7utijcltosqemad.onion

Protocolo

Conexión en 6 pasos.

Se emplean nodos existentes como nodos de introducción y puntos de encuentro.

Existe una DB distribuida que contiene información de los servicios existentes.

Servicio: selecciona aleatoriamente los nodos de introducción.

Servicio: publica el descriptor de servicio en DB distribuida.

Cliente: obtiene el descriptor de servicio de DB distribuida y selecciona punto de encuentro.

Cliente: envía a un nodo de introducción paquete cifrado con info de punto de encuentro para el Servicio.

Servicio: se conecta con punto de encuentro (deberá mantener listado fijo de nodos de entrada).

Punto de encuentro: notifica al Cliente y hace de intermediario.

Nodos y enrutado en detalle

Nodos

Autenticados con onion key, rota cada semana. Tor siempre valida la autenticidad de cada nodo con la "onion key", evitando que el nodo de entrada falsifique la ruta.

Cada nodo tiene asimismo una "identity key", que es de larga duración. Estas se comparten en el directorio de nodos, y son firmadas por las autoridades de directorio (lista fijada en el cliente por Tor Project).

Entrada o guardián

Si un atacante controla ambos extremos de la comunicación, todo está perdido.
Supongamos que puede ver C de N nodos, entonces puede correlacionar con probabilidad (c/n)^2. El usuario no puede escapar de este perfilado.

Solución: nodos confiables como entrada, son unos pocos y elegidos al azar. Da chance al usuario de escapar del perfilado en (n-c)/n.

Enrutado

Comunicación en paquetes de 512B llamados "celdas". Conexiones siempre con TLS + cifrado para cada nodo con llaves efímeras.

El cliente forma circuito de manera aleatoria. Pueden incluirse/excluirse nodos (por huella o por país) mediante configuración, pero no se recomienda hacerlo.

¿Por qué 3 saltos?: compromiso entre seguridad y eficiencia. Planeado: aleatoria de cantidad cuando la red sea más estable y eficiente.

Circuito

El cliente arma el circuito y dirige la orquestación.

Primero se establece con el nodo de entrada, luego mediante el mismo se alcanza el intermediario y finalmente el de salida.

Renovación de circuitos cada 10', excepto conexiones long-lived o streams (reduce las chances de que un atacante con alcance parcial sobre la red encuentre el origen de la conexión).

¿Y si le agrego una VPN?

Se puede agregar una VPN como conexión inicial: debemos confiar en el proveedor dado que éste sabrá nuestra IP y que estamos usando Tor.
Se puede agregar una VPN como conexión final: usando trucos de enrutado, es posible incrustar toda la comunicación a través de una VPN; la misma sabrá nuestra IP y a dónde nos estamos conectando (bypass Tor).

Se recomienda no usar VPN. La alternativa es tener un servidor privado como puente.

Fuentes

Hack the planet!

git.rlab.be/tor
ivan.barreraoro.com.ar/presentation/talleres-tor


Licencia CC BY-SA 4.0