Hace poco se presentó la liberación de la nueva versión del navegador especializado Tor Browser 11.0.2, el cual está enfocado a garantizar el anonimato, la seguridad y la privacidad. Al usar el navegador Tor, todo el tráfico se redirige solo a través de la red Tor, y es imposible contactar directamente a través de la conexión de red estándar del sistema actual, que no permite rastrear la dirección IP real del usuario.

La nueva versión se sincroniza con el código base de la versión Firefox 91.4.0, que corrige 15 vulnerabilidades, 10 de las cuales están marcadas como peligrosas.

7 de las vulnerabilidades son causadas por problemas de memoria, como desbordamientos de búfer y acceso a áreas de memoria ya liberadas, y pueden conducir potencialmente a la ejecución del código de un atacante al abrir páginas especialmente diseñadas.

Ademas se eliminaron algunas fuentes ttf de la compilación para Linux, cuyo uso provocó la violación de la representación de texto en los elementos de la interfaz en Fedora Linux.

Tambien se menciona que se deshabilitó la configuración «network.proxy.allow_bypass», que controla la actividad de protección contra el uso incorrecto de complementos de API Proxy y que para el transporte obfs4, la nueva puerta de enlace «deusexmachina» está habilitada de forma predeterminada.

Sobre el ataque a Tor

Por otra parte, tambien cabe señalar la publicación de un nuevo informe sobre posibles intentos de realizar ataques para desanonimizar a los usuarios de Tor asociados al grupo KAX17, el cual es asignado por un correo electrónico de contacto falso específico en los parámetros del nodo.

Durante septiembre y octubre, el proyecto Tor bloqueó 570 nodos potencialmente maliciosos. En su apogeo, el grupo KAX17 logró llevar el número de nodos controlados en la red Tor a 900 alojados por 50 proveedores diferentes, lo que corresponde a aproximadamente el 14% del número total de relés (en comparación, en 2014 los atacantes lograron ganar control sobre casi la mitad de los relés Tor, y en 2020 más del 23,95% de los nodos de salida).

¡Hola, todos!

Algunos de ustedes habrán notado que hay una caída visible de retransmisiones en nuestro sitio web de consenso sobre salud. [1] La razón de esto es que ayer echamos de la red aproximadamente 600 relés sin salida. De hecho, solo una pequeña fracción de ellos tenía la bandera de guardia, por lo que la gran mayoría eran relevos intermedios. No tenemos ninguna evidencia de que estos relés estuvieran haciendo algún ataque, pero hay ataques posibles que los relés podrían realizar desde la posición media. Por lo tanto, decidimos eliminar esos relés por el bien de la seguridad de nuestros usuarios.

Si bien ya estábamos rastreando algunos de los relés por un tiempo, un cypherpunk también informó de forma independiente una gran parte de ellos y nusenu ayudó a analizar los datos. Gracias a los dos de nuestro lado.

La colocación de una gran cantidad de nodos controlados por un operador permite a los usuarios desanonimizar mediante un ataque de clase Sybil, que se puede llevar a cabo si los atacantes tienen control sobre el primer y último nodos de la cadena de anonimización. El primer nodo de la cadena Tor conoce la dirección IP del usuario, y el último conoce la dirección IP del recurso solicitado, lo que permite desanonimizar la solicitud agregando una determinada etiqueta oculta en el lado del nodo de entrada al paquete de encabezados que permanecen sin cambios a lo largo de toda la cadena de anonimización y analizando esta etiqueta para el lado del nodo de salida. Con nodos de salida controlados, los atacantes también pueden realizar cambios en el tráfico no cifrado, como eliminar redireccionamientos a variantes HTTPS de sitios e interceptar contenido no cifrado.

De acuerdo a representantes de la red Tor, la mayoría de los nodos retirados en la caída se utilizaron sólo como nodos intermedios, no se utiliza para procesar las peticiones entrantes y salientes. Algunos investigadores señalan que los nodos pertenecían a todas las categorías y la probabilidad de golpear el nodo de entrada controlado por el grupo KAX17 era del 16%, y en la salida, del 5%. Pero incluso si este es el caso, la probabilidad general de que un usuario golpee simultáneamente los nodos de entrada y salida de un grupo de 900 nodos controlados por KAX17 se estima en 0.8%. No hay evidencia directa del uso de nodos KAX17 para realizar ataques, pero tales ataques no están excluidos.

Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace.