Um especialista que contribui com a operação da rede anônima Tor – conhecida por fazer parte da chamada “deep web” – revelou a existência de uma atividade irregular que está monitorando a conexão dos usuários da rede e até substituindo parte dos dados em trânsito.
As modificações realizadas podem alterar o destino de transferências feitas com criptomoedas, roubar senhas ou até instalar pragas digitais no computador dos usuários. Como depende da rede Tor, o ataque só é realizado contra quem usa esse software e não atinge usuários regulares da internet.
A rede Tor busca garantir o anonimato dos utilizadores com uma série de encaminhamentos que não são realizados em acessos normais. Esses sistemas intermediários têm o objetivo de ofuscar a verdadeira origem de uma conexão.
Mas o acesso intermediado exige que o último retransmissor tenha o privilégio de “enxergar” os dados encaminhados. Assim, o acesso começa na origem – o solicitante –, passa pelos intermediários com criptografia e chega na saída “limpo”, exposto para o último sistema.
Como os dados ficam legíveis, eles também podem ser modificados. Em alguns casos, o ataque faz com que endereços de criptomoedas sejam substituídos na transmissão, alterando o destino de transferências e roubando o dinheiro dos usuários.
As alterações também podem ser feitas para injetar códigos de ataque que tentam hackear o computador dos usuários, instalando programas espiões.
Idealmente, apenas sistemas confiáveis ocupariam essa posição primária. Além disso, usuários deveriam tomar cuidado para acessar apenas sites criptografados, evitando que informações trafegassem por esses computadores em um formato legível.
Os responsáveis pelo ataque contornam esse problema fazendo um “downgrade” (ou “rebaixamento”) do acesso, forçando o uso de um canal sem criptografia e, portanto, vulnerável.
Os ataques começaram em janeiro de 2020, mas o pico de atividade ocorreu no início de fevereiro de 2021, quando 27% de toda a capacidade de “saída” da rede Tor estava sob o controle desse único atacante. Atualmente, entre 4% e 6% da capacidade estaria comprometida.
Não se sabe se todos esses computadores estavam realizando os ataques. Não é incomum que atividades maliciosas dessa natureza sejam intermitentes, de modo a dificultar o trabalho de quem fiscaliza esses sistemas e confundir usuários que poderiam denunciar ocorrências suspeitas.
As informações fazem parte de um extenso relatório publicado por “nusenu”, um programador anônimo ligado a serviços para retransmissores da rede Tor.
O relatório foi compilado com base em dados públicos da própria rede, vinculando os retransmissores em operação a outros que tiveram atividade maliciosa confirmada.
Para coibir essa atividade, os responsáveis pelo programa são obrigados a adicionar bloqueios que impedem o uso dos sistemas que atuam de forma irregular, mas isso cria uma espécie de “configuração de exceção”.
Ataques desse tipo ocorrem contra a rede Tor há muitos anos. O mecanismo de redirecionamento não é capaz de garantir o anonimato aos usuários sem o uso de muitos retransmissores simultâneos.
Dessa forma, não é possível saber se todos os retransmissores em operação são confiáveis em um dado momento.
Controlar os retransmissores iniciais e finais de uma conexão também permite anular o anonimato da rede e identificar os usuários – uma tática que possivelmente já foi utilizada pela polícia em investigações na “deep web”.
O problema atinge principalmente usuários que utilizam o Tor para acessar páginas da internet regular. Sites próprios da “deep web” normalmente utilizam uma programação mais simples, que dificulta a realização de determinados ataques.
O navegador próprio da “deep web” normalmente vem configurado dessa forma.
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]
Veja dicas para se manter seguro on-line
Fonte: G1
