The Onion Routing Project

Origem do projeto ToR

Os anos 90 foram uma época repleta de incertezas em relação a internet, principalmente por ser o início de sua introdução ao grande público com a chegada da internet discada, o conceito de World Wide Web e o Browser [1]. Nessa época, a navegação na internet carecia de segurança e era possível que facilmente fosse utilizada para rastreamento, vigilância e golpes.

A fim de providenciar uma navegação mais segura e privada, com a ideia de rotear o tráfego por meio de vários servidores e criptografá-los a cada etapa do caminho, foi desenvolvido a ideia de Onion Routing (OR) - roteamento cebola - pelo Laboratório de Pesquisa Naval dos Estados Unidos (U.S. Naval Research Lab - NRL) em 1995.

A ideia de Onion Routing (OR), então, tornou-se promissora ao ponto de começarem a surgir várias outras iniciativas similares à proposta do Governo Americano, como, por exemplo, o Free Haven project, que ainda está de pé, mas perdeu em destaque para o projeto da NRL que foi nomeado de "The Onion Routing" (TOR) no início dos anos 2000, justamente para se separar das demais propostas alheias.

Por fim, remetendo ao ponto inicial, vale lembrar que o OR foi proposto como uma ideia de rede descentralizada, onde o tráfego era roteado por vários servidores ou computadores no geral - posteriormente conhecido como nós - e dada essa natureza, em 2002 foi então implementado definitivamente a rede TOR como um código de licença aberta, desenvolvido majoritariamente na linguagem C para implementar métodos mais eficazes de criptografia, permitindo mexer no Instruction Set da CPU, por exemplo, podendo ser encontrado em sua página do Github.

Principais utilizações do Onion Routing

O Onion Routing foi concebido e é utilizado principalmente para navegar na web com privacidade e segurança, permitindo que o usuário tenha sim acesso irrestrito a conteúdos que normalmente não estão disponíveis na surface web, mas principalmente para que o usuário possa navegar sem que esteja constantemente sendo monitorado por alguma entidade, possa proteger os seus dados e também possa se proteger de ataques externos.

A partir dos protocolos de segurança do TOR e sua capacidade de ocultar o endereço IP do usuário, o TOR é principalmente usado como forma de navegação anônima e, graças à essa capacidade, é a principal maneira de acesso à Dark Web, região da internet que é conhecida por hospedar atividades e conteúdos não convencionais, muitas vezes associados a transações ilegais e fóruns clandestinos. Um exemplo disso é o caso do Silk Road (Rota de Seda), o maior marketplace e o precursor dos grandes comércios ilegais da Dark Web, sendo amplamente acessado por usuários dos navegadores TOR.

De maneira geral, podemos dizer que o TOR é utilizado de várias formas e para diversos objetivos, ele não atende somente ao estereótipo de criminosos digitais, usuários mal intencionados e consumidores de material proíbido. Navegar através desse tunelamento oferecido pode proporcionar proteção anti-espionagem, irrestrição por geolocalização, fuga de rastreadores e mecanismos de browsers, compartilhamento de informações sem revelar quem compartilhou e também acesso irrestrito (sem censura) aos mais diversos conteúdos, como, por exemplo, a Hidden Wiki, que permite o direcionamento para todo tipo de site, serviço e também a contéudos enciclopédicos incomuns.

Onion Routing e o anonimato

O The Onion Routing atingiu o que era esperado de anonimato e permite que os usuários sejam capazes de utilizá-lo para os mais diversos fins, bem como uma navegação comum e livre. No entanto, vale ressaltar que o TOR garante anonimato no que tange localização e atividades na web, mas não garante anonimato em todos os sentidos. Ainda que você esteja usando essa função de tunelamento, os nós responsáveis pela entrada e saída do TOR saberão seu IP real, além de ser visível ao seu provedor de serviço que voce está utilizando o TOR. Essa visibilidade ao provedor, inclusive, permite que o Governo seja notificado e ele passe a monitorar o seu acesso na rede, embora não possa monitorar sua atividade real, como os seus dados.

A fim de evitar que seja notificado o seu acesso ao TOR, além de garantir que seu IP real não seja visto nos nós de entrada e saída da rede, o que pode ser feito é aliar o uso do tunelamento com o VPN (Virtual Private Network), uma ferramenta que estabelece uma conexão criptografada entre o dispositivo do usuário e um servidor remoto. Dessa forma, é possível garantir a princípio que o anonimato seja completamente mantido em todas as instâncias, permitindo que o usuário possa permanecer "invisível" na rede.

Encapsulamento e criptografia em multicamadas

Onion Routing consiste na aplicação de múltiplas camadas de criptografia em um circuito virtual, onde em uma ponta está o usuário e na outra o servidor de destino. Entre o usuário (cliente) e o destino (servidor) existem múltiplos nós. Durante o estabelecimento da conexão, usuário e os nós que formarão o circuito virtual trocam chaves criptográficas utilizando o algoritmo de Diffie-Hellman. Com a conexão estabelecida, o cliente terá N chaves (onde N é o número de nós do circuíto) e cada nó terá apenas uma chave.

Um pacote enviado do cliente ao servidor é encriptado múltiplas vezes pelo cliente, sequencialmente, com todas as suas chaves, em ordem reversa (N, N-1, ... 1), onde N é a chave relacionada ao último nó. O primeiro nó da rede recebe então o pacote criptografado com múltiplas camadas do cliente, retira a primeira camada de criptografia, e, com isso, descobre o endereço do próximo nó da rede, e encaminha o pacote. Esse processo se repete até o último nó da rede, no último nó, o pacote é totalmente descriptografado, o endereço do destino é descoberto e o pacote é finalmente entregue ao destino.

Na figura, o cliente encripta o pacote com três camadas de criptografia (C1, C2, e C3), cada uma adicionada respectivamente a partir das chaves (K1, K2 e K3). O nó 1, que possuí apenas a chave K1, retira a camada de criptografia mais externa (C1), descobre o endereço do próximo nó e encaminha o pacote. O nó dois faz um processo semelhante ao nó um, retirando a camada de criptografia C2, com a chave K2. Finalmente o nó 3 retira totalmente a criptografia, e encaminha os dados ao servidor destino. Dessa forma, o nó três tem acesso aos dados, mas não consegue saber quem o enviou, ou sequer quantos nós haviam antes dele. Os nós 1 e 2 sabem apenas de quem o pacote foi recebido e para quem enviá-los, sem saber o conteúdo, ou quantos nós haviam antes, ou terão depois deles.

A resposta gerada pelo servidor passa por um caminho semelhante. O último nó recebe a resposta, encripta com sua chave e envia ao nó anterior. Cada nó adiciona uma camada de criptografia e envia ao nó anterior. Finalmente, ao chegar no cliente, todas as camadas da criptografia são retiradas, e o pacote pode ser acessado.

Roteamento voluntário

A rede Tor funciona de um modo descentralizado. Os nós de um circuito virtual (relays) são formados por voluntário que cedem largura de banda. Quanto mais voluntários operando como relay, mais opções de nós estarão disponível, melhorando a rede como um todo. Um guia para como se tornar um relay está disponível em https://community.torproject.org/relay/.

Existem quatro tipos de nós na rede Tor. O nó de entrada (também conhecido como nó guarda), o nó do meio, o nó de saída e o nó ponte. O nó de entrada é o primeiro nó com o qual o cliente se comunica. Os requisitos para se tornar um nó de entrada são uma conexão rápida e estável. O nó do meio é um nó entre o início e o fim do circuito, semelhante ao nó de entrada, o tráfego que chega a esse nó apenas é repassado para o próximo. O nó de saída é o nó final do circuito, portanto, esse nó possuí o IP visível aos serviços que o cliente está conectado. Pela exposição do endereço e por possíveis consequências legais, é recomendado que nós de saída estejam sempre relacionados a instituições, como universidades ou bibliotecas. O nó ponte é um nó que não está listado publicamente na rede Tor. A utilidade de nós ponte é impedir censura de usuários da rede e aumentar sua segurança.

Conforme as especificações da rede Tor, as seguintes regras devem ser respeitadas na criação de um circuito:

1. Não escolhemos o mesmo roteador duas vezes para o mesmo caminho.
2. Não escolhemos nenhum roteador na mesma família de outro no mesmo caminho. (Dois roteadores estão na mesma família se cada um deles listar o outro nas entradas de "família" de seu descritor.)
3. Não selecionamos mais de um roteador em uma determinada sub-rede /16.
4. Não escolhemos nenhum roteador que não esteja em funcionamento ou que não seja válido, a menos que tenhamos sido configurados para fazer isso. Por padrão, somos configurados para permitir roteadores não válidos nas posições "meio (middle)" e "ponto de encontro (rendezvous)".
5. O primeiro nó deve ser um nó de guarda.

Proteção dos pacotes roteados

Os pacotes enviados por meio da rede Tor são anônimos, pois caso um observador capture dados em curso, saindo do cliente, ou de um dos nós (exceto o nó de saída), ele verá apenas dados criptografados, não sendo possível identificar a mensagem ou o cliente. Cada nó da rede, exceto a saída, não é capaz de identificar sua posição no circuito, pois não é possível para um nó saber quantas camadas de criptografia uma mensagem possuí, nem quantas ainda restam. O nó de saída, por sua vez, é capaz de ler informações do pacote roteado, mas incapaz de identificar a origem do pacote.

Vale ressaltar que o onion routing não criptografa os dados das mensagens ponto a ponto, a criptogafia é sobre o pacote completo que sai do cliente, até o nó de saída. Portanto, para que o nó de saída não tenha acesso aos dados em claro, é necessário a utilização de um protocolo de aplicação seguro (como o https).

Por outro lado, a adição de criptografia e de número maior de saltos entre o cliente e o servidor torna o Onion Routing mais lento do que o roteamento padrão.

Adesão ao ToR pelos usuários

Apesar da fama negativa atribuída ao Tor, muito devida a práticas ilegais na Dark Web, como o tráfico de drogas e armas, o número de usuários apenas cresce. No segundo semestre de 2023, segundo o Tor Metrics, cerca de 100.000 usuários fizeram o download do Tor diariamente.

Aspectos negativos como a falta de velocidade do Tor quando comparado a outros Browsers, bem como a restrição de alguns sites que não o aceitam e bloqueiam o acesso de usuários Tor não impediram o crescimento da rede. No entanto, ainda existem muitos fatores atrativos que sobrepõe estas desvantagens técnicas. Um dos principais motivos é o crescimento expressivo do mercado de criptomoedas, que facilitou a realização de transações que não podem ser rastreadas, que por sua vez fortaleceu mercados que utilizam o Tor. Outra razão é o acirramento de conflitos políticos e a censura de fontes de informação, bem como a perseguição de pessoas e grupos políticos que dependem do anonimato para se protegerem.

Pelos motivos explicitados, como também por ser o maior e mais antigo protocolo que provém anonimato, a rede Tor é a que mais cresce em termos de nós voluntários, bem como a mais popular dentre opções como Brave, Vivaldi e muitas outras.

Principais tópicos de pesquisa

Segundo o próprio blog do projeto Tor, na edição de 2018 do “Tor’s Open Research Topics”, o projeto sempre dependeu de pesquisas conduzidas pela comunidade acadêmica. A pesquisa, tanto acadêmica quanto independente, é amplamente apoiada pelos próprios desenvolvedores do Tor, como pode ser visto na aba “Research” presente no site https://research.torproject.org/. Desta maneira, os autores do projeto colocam à disposição do público diferentes ferramentas e sugestões, dentre elas:

• Dados acerca do número de usuários e nós da rede, parâmetros de performance como a velocidade, a quantidade de tráfego, quantos clientes estão conectados por pontes. Além disso, equipes são dedicadas a extrair estatísticas destes dados, a fim de auxiliar futuras análises
• Suporte à análise de pesquisas, em face de o Tor ser um ecossistema vivo e em constante transformação, muitos trabalhos são desenvolvidos sem total entendimento dos diversos aspectos ou atualizações desta rede, levando, muitas das vezes, pesquisadores a fazerem conclusões incorretas. Outro grande problema é a grande quantidade de trabalhos desenvolvida em paralelo, sem troca de informações e possível retrabalho desnecessário.
• Disposição de ferramentas padronizadas para analisar, fazer medidas e atacar a rede Tor. Isto é fundamental para tornar resultados comparáveis e reprodutíveis, bem como manter um repositório fixo dos ataques desenvolvidos até então, com o objetivo de garantir que as pesquisas estão sendo conduzidas com base nos mesmos algoritmos e padrões.
• Encorajar a comunidade a pesquisar defesas para a rede Tor, visto que grande maioria dos trabalhos produzidos visam quebrar a anonimidade dos dados transmitidos por este protocolo, e não a reforçar.
• No caso de um pesquisador tratar de um tema muito relevante para a melhoria da rede, os desenvolvedores colocam à disposição deles um profissional com a experiência necessária para auxiliar na elaboração experimental e nas análises necessárias.

Em relação ao grande número de pesquisas desenvolvidas, algumas figuram como questões mais importantes e urgentes para a manutenção e expansão da rede Tor. Dentre os tópicos mais importantes, estão as pesquisas acerca da performance e segurança da rede.

Quanto à performance, apontada como um grande ponto fraco do Tor, existem dois grandes campos de pesquisa. O primeiro sobre controle de congestionamento e equidade nos fluxos de pacote. O segundo trata sobre balanceamento de carga.

• Com o crescimento da capacidade da rede Tor, o caso médio de performance obtida pelo usuário é excelente. O problema ocorre quando o usuário é roteado por uma rota sobrecarregada, causando grande variância de performance. Esta variância na performance é responsável pela percepção de lentidão da rede, sendo péssima para a experiência de usuário. Este problema ocorre na rede Tor pelo fato de não haver mecanismos de sinalização de congestionamento para os dispositivos conectados, bem como não haver maneira de manejar as filas nos roteadores, o que acarreta grandes filas (causa da grande variabilidade na latência). O Tor possui algumas estratégias para mitigar estes problemas, como o EWWA (http://www.cypherpunks.ca/~iang/pubs/ewma-ccs.pdf) que é um escalonador baseado na atividade recente dos roteadores, porém possui sua capacidade limitada devido às grandes filas formadas.
• A questão do balanceamento de carga também está intimamente relacionada ao problema da variabilidade de latência. O sistema atual de balanceamento de carga conta com um servidor central responsável for fazer as medidas de tráfego ao longo das rotas. O problema da utilização de servidores centralizados para fazer estas medidas de tráfego está associada à introdução de viés no favorecimento de algumas transmissões em detrimento de outras. Outros problemas são o de detectar rápidas variações de carga e capacidade de transmissão, como a suscetibilidade a ataques DoS (Denial of Service). Para mitigar estes problemas, são avaliadas técnicas descentralizadas para fazer o balanceamento, como o PeerFlow (https://www.freehaven.net/anonbib/cache/peerflow-pets2017.pdf), que ainda está distante de ser uma solução ideal, mas é uma proposta amplamente discutida.

Um tema de pesquisa que não possui tanta visibilidade, mas também possui grande importância é a censura de conexões Tor. Este problema consiste em websites que bloqueiam ou prejudicam a conexão do usuário quando esta é feita a partir do Tor.

Além dos temas expostos, é importante fazer menção a outro tópico que não possui grande visibilidade, muito embora seja crucial para atração de novos usuários, que é o nível de aplicação da rede Tor. Em relação à aplicação, os aspectos de usabilidade e privacidade são os mais relevantes. Os problemas associados à usabilidade está na dificuldade do usuário de fazer o download, instalar e utilizar o browser do Tor. Um estudo de 2014 (https://www.freehaven.net/anonbib/cache/usableTor.pdf) aponta razões para que os usuários do Tor acabem desistindo do uso do browser. Quanto à privacidade, cabem discussões acerca da qualidade dos mecanismos de privacidade de browsers convencionais quando comparados ao browser do Tor, além de problemas associados à identificação e rastreabilidade dos serviços acessados.

Pesquisas envolvendo ataques e defesas às redes ToR

É incontestável que a principal razão para o uso do Tor é a busca por anonimato e tráfego seguro e irrastreável. Portanto, é crucial dedicar toda esta seção para tratar das temáticas associadas aos ataques ao Tor, que são as responsáveis por ameaçar o principal atributo do Tor, como também explorar as devidas contramedidas.

Como ilustrado na Figura 2, os autores [2] classificam os ataques ao Tor em 4 famílias: Ataques de Disrupção à Rede, Ataques de Censura, Ataques Genéricos e Ataques para Quebra de Anonimato. Esta seção terá o objetivo de detalhar os ataques que objetivam quebrar o anonimato do usuário, tendo em vista que é a modalidade de ataque mais abundante em termos de pesquisa e popularidade.

Antes de detalhar os ataques de quebra de anonimato, é necessário fazer uma breve um breve resumo dos demais ataques.

• Ataques de Disrupção à Rede: o objetivo destes ataques é prejudicar um ou mais nós de uma rede Tor, de modo a prejudicar a conexão de parte da rede. Estes ataques são usualmente feitos através de DoS (Denial of Service), que são ataques voltados para tornar um determinado serviço web indisponível.
• Ataques de Censura: são ataques focados em evitar o acesso à rede Tor, uma vez que o roteamento em cebola tem o objetivo de burlar mecanismos de censura e restrição de serviços web. Isto seria de interesse especial de países totalitários, em que órgãos governamentais restringem o acesso da população a determinados websites ou serviços.
• Ataques Genéricos: a definição desta classe dada pelos autores [2] não é muito específica. Trata apenas de uma série de ataques tidos como “precursores”. Alguns exemplos são ataques de fingerprinting, que visam analisar o tráfego Tor de um usuário. Outra estratégia consiste em induzir um usuário a acessar um nó malicioso, que acarreta a capacidade de um atacante acessar o endereço IP deste usuário.

Quanto aos ataques de quebra de anonimato, pode-se fazer a separação em dois tipos de ataques: os primeiros são destinados a quebrar a anonimidade do usuário, e os segundos visam revelar o IP de websites ocultos pelo Tor.

As estratégias de ataque ao usuário são caracterizadas pelo método de quebra de anonimato ao associar o IP website ao IP de um usuário que fez conexão pelo Tor. Websites, para se ocultarem seu endereço IP, utilizam o recurso dos Hidden Services (HS), que são nós da rede destinados a ocultar o IP do website, que normalmente seria público. Portanto, ataques direcionados aos servidores visam atacar os HSs, a fim de obter seus endereços IP.

Voltando à Figura 2, pode-se observar que os ataques voltados para quebra de anonimato são subdivididos em 4 subgrupos:

• Ataque de Canal Lateral: este ataque é conduzido a partir do monitoramento e análise do tráfego feito da conexão entre um usuário e nós da rede Tor, que permite que o atacante extraia informações acerca do usuário ou manipule sua conexão.
• Ataques de Nós de Entrada e Saída: este cenário de ataque é caracterizado pela suposição de que o atacante possui controle tanto do nó de entrada quanto do nó de saída.
• Ataques Onion Proxy (OP)/Onion Router (OR)/Server: este cenário de ataque supõe que o atacante possui controle de um único nó da rede.
• Ataques Híbridos: este tipo de ataque é feito a partir da combinação de dois ou mais ataques mencionados acima.

O último nível de especificação dos ataques, subdivididos em ativos e passivos, se refere à metodologia conduzida pelo ataque. Ataques ativos são aplicados a partir da manipulação do tráfego, já os ataques passivos estão restritos a coletar, observar e analisar padrões contidos no tráfego de pacotes.

Dentre os ataques mencionados, o mais conhecido é o Ataque de Nó de Entrada e Saída. Neste cenário, os Ataques de Correlação são bastante populares e amplamente relatados na literatura.

Como ilustrado na Figura 3, o atacante possui total controle entre os nós de entrada e saída e, a partir disto, o atacante buscará correlações no tráfego entre o nó de entrada e saída. Desta maneira, o atacante é capaz de aferir que um determinado usuário está se comunicando com um determinado servidor, e desta maneira relevar o endereço IP do usuário.

Dada o detalhamento dos ataques, faz-se necessário falar sobre as defesas implementadas ao protocolo para aprimorar a resistência do Tor frente aos ataques mencionados. Grande parte destas contramedidas buscam proteger o tráfego dos pacotes através dos circuitos da rede.

Esta proteção pode ser feita de várias maneiras, mas todos buscam de alguma maneira mascarar os padrões de tráfego que podem ser percebidos pelo atacante. Dentre as técnicas, estão a alteração do tamanho dos pacotes, adição de pacotes dummy, adição de delay entre os pacotes para atrasar o tempo de transmissão ou até mesmo mimetizar o padrão de tráfego apresentado pela conexão a outro servidor, que não o qual se está de fato sendo acessado. Estas técnicas podem ser aplicadas tanto a nível de rede quanto a de protocolo. Em relação à camada de aplicação, as mesmas técnicas de manipulação podem ser aplicadas a nível de protocolo HTTP, com técnicas como a alteração da resposta aos HTTP requests. O aspecto negativo de soluções a nível de aplicação é que estas são restritas a aplicações específicas, e raramente podem ser generalizadas.

A dinâmica destes mecanismos de defesa estão sujeitas ao tradeoff entre performance e segurança, e encontrar um ponto de equilíbrio entre estes opostos é a chave para resolver os problemas de segurança e performance do Tor. O detalhamento destas defesas pode ser encontrada em https://github.com/Attacks-on-Tor/Attacks-on-Tor.