Ao contrário da Internet tradicional, a rede TOR parece oferecer a oportunidade aos utilizadores de manterem o seu anonimato. Mas a verdade é que muitos recorrem a esta rede não para salvaguardar a sua intimidade ou os seus dados, mas para obter impunidade para as suas acções online.
Após a detenção do criador do site Silk Road, que operava no TOR, surgiram dúvidas sobre se esta rede é tão anónima como parece. Apesar de os serviços de inteligência se terem recusado a fornecer detalhes técnicos sobre esta captura ou sobre a forma como se identificaram os cibercriminosos que se escondiam por detrás deste website, o certo é que esta detenção pode indiciar que a rede apresenta algumas vulnerabilidades ou defeitos de configuração que podem servir para desmascarar os seus utilizadores. Os peritos da Kaspersky Lab fizeram uma análise para demostrar se os utilizadores desta rede podem, afinal, perder ou não o seu anonimato.
Problemas nos browsers web e ataques ao canal de comunicação
Os documentos da NSA filtrados indicam que os serviços de inteligência não têm qualquer problema em usar exploits para Firefox, que foi a base sobre a qual foi construído o browser do TOR. No entanto, a própria NSA informou que o uso de ferramentas de exploração da vulnerabilidade não permite a vigilância permanente sobre os utilizadores da rede obscura. É verdade que os exploits têm um ciclo de vida muito curto, já que existem diferentes versões do browser e algumas contêm uma vulnerabilidade específica e outras não. Isto permite uma vigilância de utilizadores sobre um espectro muito reduzido.
Um método recente para comprometer um web browser é o uso de WebRTC DLL. Esta DLL foi concebida para organizar um canal de transmissão de fluxo de vídeo de apoio ao HTML5, que se utiliza para estabelecer o endereço IP real da vítima. Os pedidos do chamado STUN do WebRTC são enviados em texto simples, evitando assim o TOR e todas as consequências resultantes. No entanto, esta “deficiência” também foi de imediato rectificada por parte dos programadores do browser TOR, pelo que agora o browser bloqueia o WebRTC por defeito.
Sistemas passivos e activos de monitorização
Todos os utilizadores da rede podem partilhar os seus recursos informáticos para configurar um servidor de nó, ou seja, um elemento da rede TOR que serve como intermediário no tráfego da informação de um cliente de rede. Devido ao facto de os nós de saída serem o elo final nas operações de desencriptação do tráfego, podem tornar-se numa fonte capaz de filtrar informação interessante.
Isto pode permitir que se recolha informação variada do tráfego decifrado. Por exemplo, os endereços dos recursos podem ser extraídos dos cabeçalhos HTTP. Aqui é possível evitar os motores de busca internos e/ou catálogos de websites, já que estes podem incluir informação irrelevante sobre sites inactivos.
No entanto, esta monitorização passiva não permite revelar a identidade de um utilizador no pleno sentido da palavra, porque só se podem analisar os pacotes de rede de dados que os utilizadores põem à disposição “por iniciativa própria”: para obter mais informação sobre um utilizador da Internet profunda é necessário um sistema de recolha de dados activo.
Implicações práticas
Os dados recolhidos durante a investigação da Kaspersky Lab levam a questionar até que ponto é afinal possível descobrir a identidade dos utilizadores da rede TOR. O código JavaScript pode ser instalado em vários objectos que participam no tráfego de dados na Internet profunda, o que significa que os atacantes não só injectam código malicioso em website legais como também podem fazê-lo nesta parte mais obscura da web.
Deste modo, um suposto atacante pode ficar a saber os assuntos de interesse para um determinado utilizador a partir dessa “impressão digital” e saber, por exemplo, os websites em que esse utilizador inicia sessão. De momento, não parece que os programadores do TOR estejam a planear a desactivação do código JavaScript.
Apesar de esta investigação ter sido feita em laboratório e não através de trabalho de campo, algumas das conclusões são comprometedoras e os analistas da Kaspersky continuam a trabalhar no sentido de verificar se a rede TOR é tão inexpugnável como prometia.
Para ler o relatório completo sobre esta investigação da Kaspersky Lab, consulte: https://securelist.com/analysis/publications/70673/uncovering-tor-users-where-anonymity-ends-in-the-darknet/
