OSI 1-3 attack on Tor? in it.wikipedia
Jan Reister
Jan.Reister at unimi.it
Wed Feb 13 11:37:03 UTC 2008
The italian wikipedia entry for "The Onion Routing" has a weird section
that hints at network attacks at OSI level 1-3 using ATM or MPLS. Its's
kind of convoluted, here's an abstract in english, my 2 remarks, and the
original text in italian.
Abstract:
Tor works on assuming IP protocol's integrity. An ISP, however, can work
on a lower OSI level to divert an user's Tor traffic to a separate, fake
server. ATM switching or MPLS labeling can be used to selectively
deviate an user's Tor traffic towards a third-party controlled Tor
network. Therefore, IP address and key exchange with an unknown peer do
not ensure that an user has not connected to a rogue node.
A couple of personal remarks:
- AFAIK, Tor's threat model does not include attacks on OSI level 1-3.
Such an attack would be a far wider issue than Tor itself.
- directory authorities (hard coded in Tor) should make it hard to trick
a Tor client into entering a "fake" Tor network made of rogue nodes.
Does that make sense?
Jan
URL of the entry:
http://it.wikipedia.org/wiki/The_Onion_Routing#Limiti
Version:
Ultima modifica per la pagina: 13:21, 7 feb 2008
Original text:
[begin]
Limiti [modifica]
L'assunzione di base della rete TOR è l'integrità del protocollo IP. Se
il protocollo IP è integro, potrò collegarmi con un nodo di accesso TOR
per entrare nella rete, e negoziare con tale nodo il mio accesso alla
rete TOR. A livello di provider, però, è possibile agire a livelli più
bassi sulla pila OSI, usando per esempio il labeling MPLS o l'ATM
switching, per deviare il traffico su server TOR che dal punto di vista
dell'utente sono il server TOR desiderato, ma in realtà sono server fake
sotto controllo di terzi. Non esiste alcun modo per l'utente che si
collega con una connessione ADSL commerciale di sapere cosa succeda a
valle del DSLAM ai livelli più bassi di quello IP: la convinzione di
essere collegati con un punto di accesso TOR che abbia l'IP X, solo
perché a livello IP si crede di aver contattato un certo indirizzo di
rete è un'assunzione ottimistica, né lo scambio di chiavi con un peer
sconosciuto e non certificabile può garantire alcunché; per esempio
usando ATM la singola cella può venire trasportata trattando in maniera
opportuna la coppia VCC (VPI:VCI), sul cui switching l'utente non ha
controllo. Cosa simile si può ottenere "colorando" i pacchetti di un
dato utente mediante MPLS e creando una rotta ad hoc verso una rete terza.
Terzi interessati che volessero intercettare il traffico potrebbero
costruire una propria rete di server TOR, ridirigendo su questa il
traffico che l'utente crede di inviare ad un vero server TOR: agendo a
livello più basso di IP non c'è modo per l'utente di sapere che in
realtà sta usando una rete TOR diversa.
TOR, quindi, può garantire sicurezza verso tecniche di intercettazione
basate su IP, ovvero nel caso che il punto di destinazione voglia
risalire all'IP sorgente.
L'errore che è possibile commettere nell'utilizzare TOR consiste,
dunque, nel credere che il percorso dei pacchetti sia interamente
determinato dal protocollo TCP/IP, ignorando l'esistenza di meccanismi
"ibridi" come MPLS o lo switching ATM, che possono rompere l'integrità
del protocollo, sostituendo un meccanismo di switching al normale
routing. Non essendo tale assunzione reale sarebbe errato utilizzare TOR
per la protezione di comunicazioni realmente riservate.
[end]
--
Jan Reister
tel 02 50315307 jan.reister at unimi.it
NOC - Divisione Telecomunicazioni - Università di Milano
http://www.divtlc.unimi.it
http://www.divtlc.unimi.it/Docs/UNIMI-ICT-Security-Policy.pdf
More information about the tor-talk
mailing list