Seguridad de la navegación web: protección de la red Tor

: By Philipp Winter, Universidad de Princeton

Gracias por su visita InnerSelf.com, dónde están 20,000+ Artículos que cambian la vida y promueven "Nuevas actitudes y nuevas posibilidades". Todos los artículos están traducidos al 30+ idiomas. Suscríbete a la revista InnerSelf, que se publica semanalmente, y a Daily Inspiration de Marie T Russell. InnerSelf Revista se publica desde 1985.

romper

Hay más que herramientas de cifrado 865 en uso en todo el mundo, todos abordando diferentes aspectos de un problema común. La gente quiere proteger la información: discos duros de gobiernos opresivos, ubicación física de acosadores, historial de navegación de corporaciones demasiado curiosas o conversaciones telefónicas de vecinos entrometidos. Todos confían en la criptografía, una delicada habilidad que, cuando se realiza correctamente, permite una comunicación segura a pesar de los esfuerzos de los fisgones.

Sin embargo, una mala criptografía puede abrir enormes agujeros de seguridad, un destino que ha pasado muchos popular sistemas. Pero sin conocimiento técnico y experiencia, los usuarios no pueden saber la diferencia entre herramientas buenas y malas hasta que sea demasiado tarde.

Una de las herramientas criptográficas más populares: con dos millones de usuarios diarios - es Puerta, una red para navegar por Internet de forma anónima. Se basa en un gran grupo de voluntarios, algunos de los cuales son anónimos, lo que puede generar dudas sobre la confianza en el sistema. Si los usuarios expertos y los desarrolladores tuvieran herramientas para detectar comportamientos sospechosos, podrían eliminar los problemas, mejorando la confiabilidad y confiabilidad para todos.

Entendiendo Tor

Las personas usan Tor por una amplia variedad de razones: para investigar enfermedades, protegerse del abuso doméstico, evitar que las compañías las perfilen o burlar la censura nacional, solo por nombrar algunas. Tor hace esto desvinculando la identidad de un usuario de su actividad en línea. Por ejemplo, cuando se usa Tor, los sitios web como Facebook no pueden saber dónde se encuentra físicamente un usuario, y las compañías proveedoras de servicios de Internet no pueden saber qué sitios visita un cliente.

El sistema funciona conectando a un usuario al sitio web deseado a través de una secuencia de conexiones encriptadas a través de computadoras que se registran para participar en la red. La primera computadora en la secuencia de retransmisión, llamada "guardia de entrada", conoce la dirección de red del usuario, porque acepta el tráfico entrante. Pero debido a que el contenido está encriptado, esa computadora no sabe lo que el usuario está haciendo en línea.

La segunda computadora de la cadena no sabe dónde está el usuario, y simplemente pasa el tráfico a lo que se denomina "retransmisión de salida". Esa computadora descifra la actividad de Internet del usuario e intercambia datos con Internet no encriptada. El relevo de salida sabe lo que el usuario está haciendo en línea, pero no puede identificar fácilmente quién lo está haciendo.

Una vez que el relé de salida obtiene la información de Internet, la encripta y la envía al enlace anterior de la cadena. Cada enlace hace lo mismo, hasta que la computadora original recibe y descifra los datos y los muestra para el usuario.

tor2 5 29 La estructura de la red Tor Los clientes de Tor seleccionan aleatoriamente tres retransmisiones que reenvían el tráfico de red entre el cliente y un servidor, por ejemplo, Facebook. Mientras Tor encripta internamente el tráfico de red (ver la línea verde continua), es importante comprender que Tor ya no puede cifrar el tráfico de red una vez que sale de la red Tor (ver la línea roja punteada). Philipp Winter

La mayoría de las personas usa la red Tor a través del Tor Browser. Es una versión modificada del popular navegador web Firefox, con funciones adicionales para proteger la privacidad de los usuarios. Estos incluyen niveles de seguridad configurables y complementos como HTTPS en todas partes (para usar conexiones web seguras siempre que sea posible) y NoScript (para mitigar algunas debilidades de JavaScript, entre otras cosas). Además de eso, Tor Browser implementa técnicas para dificultar el seguimiento de personas en línea. Por ejemplo, desactiva Flash y usa solo unas pocas fuentes, lo que impide que los sitios web identificando usuarios basados en las fuentes que han instalado.

Confiando en el código

El software Tor es desarrollado y distribuido por una organización sin fines de lucro llamada el proyecto Tor. La gente usa Tor gratis; la financiación proviene de partidarios tales como individuos, empresas, organizaciones sin fines de lucro y gobiernos. Sensible a las preocupaciones de que los grandes financiadores puedan hacer que el público se preocupe por quién está realmente en los controles, la organización está trabajando para mejorar su independencia financiera: recientemente su primera Campaña de crowdfunding recaudó más de US $ 200,000.

Además, Tor Project ha hablado abiertamente sobre su dedicación a la privacidad, incluyendo el apoyo a la decisión de Apple de no ayudar al FBI a acceder a un iPhone cifrado al crear una debilidad intencional en el software de cifrado, que a menudo se denomina "puerta trasera". declarado "Nunca abriremos nuestro software."

Técnicamente hablando, los usuarios pueden decidir si confiar en el sistema Tor verificándolo de forma independiente. El código fuente es disponible de forma gratuita, y el Proyecto Tor alienta a las personas a inspeccionar todas las líneas ~ 200,000. UN programa de recompensas de errores recientemente creado debería alentar a los desarrolladores e investigadores a identificar problemas de seguridad y contarles a los programadores del proyecto sobre ellos.

Sin embargo, la mayoría de las personas no construyen sus propios programas ejecutables desde el código fuente. Por el contrario, utilizan programas proporcionados por los desarrolladores. ¿Cómo podemos evaluar su confiabilidad? Los lanzamientos de software de Tor están firmados con firmas criptográficas oficiales, y pueden descargarse a través de conexiones encriptadas y autenticadas para garantizar a los usuarios que han descargado software genuino de Tor que no fue modificado por los atacantes.

Además, Tor recientemente hizo "construcciones reproducibles"Posible, lo que permite a los voluntarios verificar que los programas ejecutables distribuidos por Tor no hayan sido manipulados. Esto puede asegurar a los usuarios que, por ejemplo, las computadoras del Proyecto Tor que construyen programas ejecutables no están en peligro.

Confiando en la red

Mientras que el software es desarrollado por el Proyecto Tor, la red es administrada por voluntarios de todo el mundo, que trabajan juntos Equipos de retransmisión 7,000 a partir de mayo 2016.

Cosas para las fiestas. divulgar el hecho de que operan uno o más relevos, pero muchos son operados por operadores individuales que no anuncian su participación. A partir de mayo 2016, más de un tercio de los relés Tor no ofrecen ninguna forma de ponerse en contacto con el operador.

Es difícil confiar en una red con tantos participantes desconocidos. Al igual que en las cafeterías con puntos Wi-Fi abiertos, los atacantes pueden interceptar el tráfico de la red por aire o por ejecutar relés de salida y husmear en los usuarios de Tor.

Encontrar y eliminar malos actores

Para proteger a los usuarios de Tor de estos problemas, mi equipo y yo estamos desarrollando dos herramientas de software gratuitas, llamadas mapa de salida y sybilhunter - que permiten al Proyecto Tor identificar y bloquear relés "malos". Dichos relés malos podrían, por ejemplo, usar un software obsoleto de retransmisión de Tor, reenviar el tráfico de red de forma incorrecta o intentar robar maliciosamente las contraseñas de los usuarios de Tor.

Exitmap prueba los relés de salida, el millar de computadoras que unen la brecha entre la red Tor y el resto de Internet. Lo hace comparando las operaciones de todos los relés. Por ejemplo, un probador podría acceder a Facebook directamente, sin Tor, y registrar la firma digital que el sitio utiliza para asegurar a los usuarios que están hablando a Facebook. Luego, al ejecutar exitmap, el probador se comunicaría con Facebook a través de cada uno de los miles de relés de salida Tor, registrando nuevamente la firma digital. Para cualquier relé Tor que entregue una firma diferente a la enviada directamente desde Facebook, exitmap genera una alerta.

Nuestra otra herramienta, sybilhunter, busca conjuntos de relés que podrían estar bajo el control de una sola persona, como una persona que podría usar sus relés para lanzar un ataque. Entre otras cosas, sybilhunter puede crear imágenes que ilustran cuándo los relés Tor se unen y abandonan la red. Los relés que se unen y salen al mismo tiempo pueden ser controlados por una sola persona.

tor3 5 29 Una visualización del tiempo de actividad de algunos relés Tor durante parte de enero 2014. Cada fila de píxeles representa una hora, mientras que cada columna de píxeles representa un relevo. Un píxel negro denota que un relé estaba en línea, y un píxel blanco indica que un relé estaba fuera de línea. Los bloques rojos destacan los relés altamente correlacionados, que podrían ser operados por la misma persona. Philipp Winter

Nuestra investigación ha identificado una amplia variedad de relés que se portan mal. Algunos intentaron robar información de inicio de sesión de los usuarios para sitios populares como Facebook. Igualmente comunes eran los relevos que estaban sujetos a sistemas de censura en todo el país, bloqueando el acceso a ciertos tipos de sitios web, como la pornografía. Aunque los operadores de retransmisión no están alterando los resultados, van en contra de la filosofía de la red Tor de que su uso no debe incluir el filtrado de contenido. Descubrimos algunos relevos de salida que intentaron robar el dinero de los usuarios de Tor al interferir con las transacciones de moneda virtual de Bitcoin.

Es importante ver estos resultados en la perspectiva correcta. Si bien algunos ataques parecen ser preocupantes, los relevos que se portan mal pertenecen claramente a la minoría, y los usuarios de Tor no los encuentran con frecuencia. Incluso si el relevo de salida seleccionado al azar del usuario resulta ser malicioso, otras funciones de seguridad en el navegador Tor, como el antes mencionado HTTPS-Everywhere, actúan como salvaguardas para minimizar el daño.

Sobre el Autor

Philipp Winter, Asociado de Investigación Postdoctoral en Ciencias de la Computación, Universidad de Princeton

Este artículo se publicó originalmente el La conversación. Leer el articulo original.

Libros relacionados

at InnerSelf Market y Amazon

romper

Gracias por su visita InnerSelf.com, dónde están 20,000+ Artículos que cambian la vida y promueven "Nuevas actitudes y nuevas posibilidades". Todos los artículos están traducidos al 30+ idiomas. Suscríbete a la revista InnerSelf, que se publica semanalmente, y a Daily Inspiration de Marie T Russell. InnerSelf Revista se publica desde 1985.

Idiomas disponibles

seguir a InnerSelf en

Autores del yo interior

una persona rellenando una botella de agua potable desde un grifo exterior

Día de la Tierra: cómo promover el cambio de comportamiento

Preety Sharm y Ayeshah Haque, Universidad de Toronto

Los organizadores del Día de la Tierra piden una educación climática generalizada como un paso fundamental en la lucha contra el cambio climático. Un nuevo informe…

Un contenedor de basura comercial lleno hasta el borde de frutas y verduras desechadas.

4 estrategias efectivas para reducir el desperdicio de alimentos

Amar Laila, Universidad de Guelph, et al.

El sistema alimentario mundial produce suficientes alimentos para todos; sin embargo, en 2023, 333 millones de personas en todo el mundo padecían inseguridad alimentaria y 783 millones...

Hagamos que el Día de la Tierra sobre la Tierra, no nosotros

Cómo celebrar el “cumpleaños” de la Tierra y hacerlo sobre ella, no sobre nosotros

Shahid Naeem, Universidad de Columbia

Hoy es el Día de la Tierra, pero es uno de los días de celebración más confusos y equivocados del año. La ONU se refiere a este día como el...

manos sosteniendo un montículo de tierra cubierto de hierba con un arroyo que lo atraviesa y un árbol en la cima.

Inspiración diaria de InnerSelf: 22 de abril de 2024

dia de villancicos

La inspiración diaria es un mensaje corto para ayudar a establecer el tono del día. Está vinculado a un artículo más largo para obtener información adicional y...

bombilla con los filamentos en el interior en forma de corazón

Revista InnerSelf: 22 de abril de 2024

InnerSelf Personal

La energía está en todo y lo es todo. La energía está en nuestros hogares, no sólo en forma de electricidad, sino en forma de colores,…

MAS LEIDO

¡El sorprendente ascenso de los emprendedores que arrasan en China!

Lisa Xiong, Escuela de Negocios EM Lyon

Si bien se ha vertido mucha tinta sobre el crecimiento económico de China en las últimas décadas, las contribuciones de las mujeres chinas a menudo reciben menos...

¿Ecociudades a qué costo? La batalla por las tierras indígenas

Michelle Mielly, Escuela de Gestión de Grenoble (GEM)

Cuando se introdujo la noción de “ecoturismo” a finales de la década de 1970, se pretendía que fuera ecológicamente responsable, promoviera la conservación,…

Cómo influye la IA en las elecciones y qué puedes hacer tú

Nick Hajli, Universidad de Loughborough

Desinformación electoral: cómo funcionan los robots impulsados por IA y cómo protegerse de su influencia

una mujer con los ojos cerrados apoyando la frente sobre los puños cerrados con las manos en "grilletes" de cuentas

Protéjase del agotamiento emocional con la "Declaración de derechos" de The Empath

Judith Orloff, MD

Uno de los mayores obstáculos para la empatía es el miedo a ser vulnerable y luego abrumado. O parece demasiado doloroso o inseguro para hacerlo con amor...

¿Son los propietarios de coches antiguos buenos para el medio ambiente?

Gaëtan Mangin, Universidad de Artois

Exploramos la propiedad y el uso de automóviles de más de 20 años. Reveló que, lejos de ser hostil a los imperativos de...

Cómo la economía tradicional malinterpreta las soluciones al cambio climático

Junaid B. Jahangir, Universidad MacEwan

Un economista explica: La economía de los libros de texto tiene graves defectos cuando se trata del cambio climático...

MÁS RECIENTES