Ao contrário da Internet tradicional, a rede TOR parece oferecer a oportunidade aos utilizadores de manterem o seu anonimato. Mas a verdade é que muitos recorrem a esta rede não para salvaguardar a sua intimidade ou os seus dados, mas para obter impunidade para as suas ações online.
Problemas nos browsers web e ataques ao canal de comunicação
Os documentos da NSA filtrados indicam que os serviços de inteligência não têm qualquer problema em usar exploits para Firefox, que foi a base sobre a qual foi construído o browser do TOR. No entanto, a própria NSA informou que o uso de ferramentas de exploração da vulnerabilidade não permite a vigilância permanente sobre os utilizadores da rede obscura. É verdade que os exploits têm um ciclo de vida muito curto, já que existem diferentes versões do browser e algumas contêm uma vulnerabilidade específica e outras não. Isto permite uma vigilância de utilizadores sobre um espectro muito reduzido.
Um método recente para comprometer um web browser é o uso de WebRTC DLL. Esta DLL foi concebida para organizar um canal de transmissão de fluxo de vídeo de apoio ao HTML5, que se utiliza para estabelecer o endereço IP real da vítima. Os pedidos do chamado STUN do WebRTC são enviados em texto simples, evitando assim o TOR e todas as consequências resultantes. No entanto, esta "deficiência" também foi de imediato retificada por parte dos programadores do browser TOR, pelo que agora o browser bloqueia o WebRTC por defeito.
Sistemas passivos e ativos de monitorização
Todos os utilizadores da rede podem partilhar os seus recursos informáticos para configurar um servidor de nó, ou seja, um elemento da rede TOR que serve como intermediário no tráfego da informação de um cliente de rede. Devido ao facto de os nós de saída serem o elo final nas operações de desencriptação do tráfego, podem tornar-se numa fonte capaz de filtrar informação interessante.
Isto pode permitir que se recolha informação variada do tráfego decifrado. Por exemplo, os endereços dos recursos podem ser extraídos dos cabeçalhos HTTP. Aqui é possível evitar os motores de busca internos e/ou catálogos de websites, já que estes podem incluir informação irrelevante sobre sites inativos.
No entanto, esta monitorização passiva não permite revelar a identidade de um utilizador no pleno sentido da palavra, porque só se podem analisar os pacotes de rede de dados que os utilizadores põem à disposição "por iniciativa própria": para obter mais informação sobre um utilizador da Internet profunda é necessário um sistema de recolha de dados ativo.
Implicações práticas
Os dados recolhidos durante a investigação da Kaspersky Lab levam a questionar até que ponto é afinal possível descobrir a identidade dos utilizadores da rede TOR. O código JavaScript pode ser instalado em vários objetos que participam no tráfego de dados na Internet profunda, o que significa que os atacantes não só injetam código malicioso em website legais como também podem fazê-lo nesta parte mais obscura da web.
Deste modo, um suposto atacante pode ficar a saber os assuntos de interesse para um determinado utilizador a partir dessa “impressão digital” e saber, por exemplo, os websites em que esse utilizador inicia sessão. De momento, não parece que os programadores do TOR estejam a planear a desativação do código JavaScript.
Apesar de esta investigação ter sido feita em laboratório e não através de trabalho de campo, algumas das conclusões são comprometedoras e os analistas da Kaspersky continuam a trabalhar no sentido de verificar se a rede TOR é tão inexpugnável como prometia.
Para ler o relatório completo sobre esta investigação da Kaspersky Lab, consulte: https://securelist.com/analysis/publications/70673/uncovering-tor-users-where-anonymity-ends-in-the-darknet/.
