OSI 1-3 attack on Tor? in it.wikipedia

[Jan Reister <Jan.Reister@xxxxxxxx>]

The italian wikipedia entry for "The Onion Routing" has a weird section 
that hints at network attacks at OSI level 1-3 using ATM or MPLS. Its's 
kind of convoluted, here's an abstract in english, my 2 remarks, and the 
original text in italian.

Abstract:
Tor works on assuming IP protocol's integrity. An ISP, however, can work 
on a lower OSI level to divert an user's Tor traffic to a separate, fake 
server. ATM switching or MPLS labeling can be used to selectively 
deviate an user's Tor traffic towards a third-party controlled Tor 
network. Therefore, IP address and key exchange with an unknown peer do 
not ensure that an user has not connected to a rogue node.

A couple of personal remarks:
- AFAIK, Tor's threat model does not include attacks on OSI level 1-3. 
Such an attack would be a far wider issue than Tor itself.
- directory authorities (hard coded in Tor) should make it hard to trick 
a Tor client into entering a "fake" Tor network made of rogue nodes.

Does that make sense?

Jan


URL of the entry:
http://it.wikipedia.org/wiki/The_Onion_Routing#Limiti

Version:
Ultima modifica per la pagina: 13:21, 7 feb 2008

Original text:
[begin]
Limiti [modifica]

L'assunzione di base della rete TOR è l'integrità del protocollo IP. Se 
il protocollo IP è integro, potrò collegarmi con un nodo di accesso TOR 
per entrare nella rete, e negoziare con tale nodo il mio accesso alla 
rete TOR. A livello di provider, però, è possibile agire a livelli più 
bassi sulla pila OSI, usando per esempio il labeling MPLS o l'ATM 
switching, per deviare il traffico su server TOR che dal punto di vista 
dell'utente sono il server TOR desiderato, ma in realtà sono server fake 
sotto controllo di terzi. Non esiste alcun modo per l'utente che si 
collega con una connessione ADSL commerciale di sapere cosa succeda a 
valle del DSLAM ai livelli più bassi di quello IP: la convinzione di 
essere collegati con un punto di accesso TOR che abbia l'IP X, solo 
perché a livello IP si crede di aver contattato un certo indirizzo di 
rete è un'assunzione ottimistica, né lo scambio di chiavi con un peer 
sconosciuto e non certificabile può garantire alcunché; per esempio 
usando ATM la singola cella può venire trasportata trattando in maniera 
opportuna la coppia VCC (VPI:VCI), sul cui switching l'utente non ha 
controllo. Cosa simile si può ottenere "colorando" i pacchetti di un 
dato utente mediante MPLS e creando una rotta ad hoc verso una rete terza.

Terzi interessati che volessero intercettare il traffico potrebbero 
costruire una propria rete di server TOR, ridirigendo su questa il 
traffico che l'utente crede di inviare ad un vero server TOR: agendo a 
livello più basso di IP non c'è modo per l'utente di sapere che in 
realtà sta usando una rete TOR diversa.

TOR, quindi, può garantire sicurezza verso tecniche di intercettazione 
basate su IP, ovvero nel caso che il punto di destinazione voglia 
risalire all'IP sorgente.

L'errore che è possibile commettere nell'utilizzare TOR consiste, 
dunque, nel credere che il percorso dei pacchetti sia interamente 
determinato dal protocollo TCP/IP, ignorando l'esistenza di meccanismi 
"ibridi" come MPLS o lo switching ATM, che possono rompere l'integrità 
del protocollo, sostituendo un meccanismo di switching al normale 
routing. Non essendo tale assunzione reale sarebbe errato utilizzare TOR 
per la protezione di comunicazioni realmente riservate.
[end]

--
Jan Reister
tel 02 50315307 jan.reister@xxxxxxxx
NOC - Divisione Telecomunicazioni - Università di Milano
http://www.divtlc.unimi.it
http://www.divtlc.unimi.it/Docs/UNIMI-ICT-Security-Policy.pdf