[Author Prev][Author Next][Thread Prev][Thread Next][Author Index][Thread Index]

OSI 1-3 attack on Tor? in it.wikipedia



The italian wikipedia entry for "The Onion Routing" has a weird section that hints at network attacks at OSI level 1-3 using ATM or MPLS. Its's kind of convoluted, here's an abstract in english, my 2 remarks, and the original text in italian.

Abstract:
Tor works on assuming IP protocol's integrity. An ISP, however, can work on a lower OSI level to divert an user's Tor traffic to a separate, fake server. ATM switching or MPLS labeling can be used to selectively deviate an user's Tor traffic towards a third-party controlled Tor network. Therefore, IP address and key exchange with an unknown peer do not ensure that an user has not connected to a rogue node.

A couple of personal remarks:
- AFAIK, Tor's threat model does not include attacks on OSI level 1-3. Such an attack would be a far wider issue than Tor itself. - directory authorities (hard coded in Tor) should make it hard to trick a Tor client into entering a "fake" Tor network made of rogue nodes.

Does that make sense?

Jan


URL of the entry:
http://it.wikipedia.org/wiki/The_Onion_Routing#Limiti

Version:
Ultima modifica per la pagina: 13:21, 7 feb 2008

Original text:
[begin]
Limiti [modifica]

L'assunzione di base della rete TOR è l'integrità del protocollo IP. Se il protocollo IP è integro, potrò collegarmi con un nodo di accesso TOR per entrare nella rete, e negoziare con tale nodo il mio accesso alla rete TOR. A livello di provider, però, è possibile agire a livelli più bassi sulla pila OSI, usando per esempio il labeling MPLS o l'ATM switching, per deviare il traffico su server TOR che dal punto di vista dell'utente sono il server TOR desiderato, ma in realtà sono server fake sotto controllo di terzi. Non esiste alcun modo per l'utente che si collega con una connessione ADSL commerciale di sapere cosa succeda a valle del DSLAM ai livelli più bassi di quello IP: la convinzione di essere collegati con un punto di accesso TOR che abbia l'IP X, solo perché a livello IP si crede di aver contattato un certo indirizzo di rete è un'assunzione ottimistica, né lo scambio di chiavi con un peer sconosciuto e non certificabile può garantire alcunché; per esempio usando ATM la singola cella può venire trasportata trattando in maniera opportuna la coppia VCC (VPI:VCI), sul cui switching l'utente non ha controllo. Cosa simile si può ottenere "colorando" i pacchetti di un dato utente mediante MPLS e creando una rotta ad hoc verso una rete terza.

Terzi interessati che volessero intercettare il traffico potrebbero costruire una propria rete di server TOR, ridirigendo su questa il traffico che l'utente crede di inviare ad un vero server TOR: agendo a livello più basso di IP non c'è modo per l'utente di sapere che in realtà sta usando una rete TOR diversa.

TOR, quindi, può garantire sicurezza verso tecniche di intercettazione basate su IP, ovvero nel caso che il punto di destinazione voglia risalire all'IP sorgente.

L'errore che è possibile commettere nell'utilizzare TOR consiste, dunque, nel credere che il percorso dei pacchetti sia interamente determinato dal protocollo TCP/IP, ignorando l'esistenza di meccanismi "ibridi" come MPLS o lo switching ATM, che possono rompere l'integrità del protocollo, sostituendo un meccanismo di switching al normale routing. Non essendo tale assunzione reale sarebbe errato utilizzare TOR per la protezione di comunicazioni realmente riservate.
[end]

--
Jan Reister
tel 02 50315307 jan.reister@xxxxxxxx
NOC - Divisione Telecomunicazioni - Università di Milano
http://www.divtlc.unimi.it
http://www.divtlc.unimi.it/Docs/UNIMI-ICT-Security-Policy.pdf