El proyecto Tor permite a sus usuarios visitar sitios web sin que sea posible identificarles, y manifestar sus opiniones, sin que pueda revelarse su autoría. Esto es especialmente importante para los habitantes de países con gobiernos poco tolerantes ante la disidencia política, y también para quienes desean evitar que sus comunicaciones sean vigiladas.
Aparte de ocultar las huellas de los usuarios de servicios corrientes de Internet, la red Tor también permite ofrecer servicios, como por ejemplo de publicación de contenidos o intercambio de mensajería. Todos son agrupados en la categoría de “servicios ocultos”, en el sentido que no son accesibles desde la Internet abierta conocida por la mayoría. Algunos de estos servicios ocultos pueden ser detectados mediante boletines internos que circulan por la misma red Tor, mientras que otros existen sin formar parte de listas ni enlaces.
Tres investigadores de la Universidad de Luxemburgo, identificados como Alex Biryukov, Ivan Pustogarov y Ralf-Philipp Weinmann, han tenido la posibilidad de investigar una serie de estos servicios ocultos, mediante una vulnerabilidad que detectaron en la red Tor. Los expertos notificaron a los responsables del Proyecto Tor, pero antes que la vulnerabilidad fuese parcheada, aprovecharon la oportunidad de recolectar 40.000 direcciones únicas. La vulnerabilidad fue parcheada mediante la versión alpha 0.2.4.10 de Tor.
Los expertos no escanearon todos los puertos de las distintas direcciones, sino se concentraron en una selección de 22.000 puertos abiertos. 13.854 de estos correspondían al puerto 55080. En realidad, los puertos no estaban abiertos, pero al escanearlos devolvían una notificación de error distinta a la corriente. Desde antes se sabía que el puerto 55080 es utilizado por servicios ocultos creados por computadoras infectadas por la botnet Skynet. Sin embargo, llamó la atención de los expertos, ya que la notificación es normalmente generada cuando el servicio bloquea inmediatamente las conexiones a este puerto, a menos que hayan sido realizadas siendo un procedimiento especial.
En conclusión, más de la mitad de los servicios ocultos correspondían a nodos de una botnet. El segundo y tercer lugar eran ocupados por sitios corrientes; es decir, HTTP (puerto 80) y HTTPS (puerto 443), con un total de 5393 puertos abiertos.
El análisis de contenidos fue realizado dos meses después del escaneo de puertos. Entonces, los expertos de la Universidad de Luxemburgo lograron crear conexiones con 6579 servicios distintos mediante HTTP o HTTPS.
El 84% de estos servicios estaba en inglés. Aunque había otros idiomas representados, ninguno de estos superaba el 3%. Los expertos se concentraron entonces en los servicios en inglés, eliminando aquellos que únicamente mostraban la página estándar de Torhost.onion, servicio de hospedaje gratuito para sitios anónimos. Quedaron entonces con 1813 distintas direcciones las cuales fueron clasificadas en 18 distintas categorías mediante la herramienta uClassify.
El 44% de estas direcciones apuntaba a servicios relacionados con drogas, pornografía, armas, y venta de falsificaciones, tarjetas de crédito robadas, información de cuentas bancarias y otros productos de la categoría “Counterfeit” (“falsificaciones”).
Entre las demás categorías “Politics” y “Anonymity” (“política” y “anonimato”) eran las mayores, con el 9% y 8%, respectivamente. Entre ellos se incluían servicios dedicados a la discusión o filtración de temas relacionados con la corrupción, represión, libertad de expresión y servicios de anonimato.
En la categoría “Services” (“servicios”), se incluían sitios donde se ofrecía desde lavado y depósito de dinero, hasta contratación de sicarios y ladrones.
Las direcciones de los servicios ocultos concluían con “.onion”, por lo que son denominadas direcciones-onion. 15 de estas direcciones tenían el prefijo “silkroa”, es decir, que incluían direcciones “oficiales” del mercado negro Silkroad y al foro Silkroad.
Nivel de popularidad
El método utilizado por los investigadores para recabar las direcciones onion (cebolla) también hizo posible ver el número de clientes que se conectaba a cada uno de los servicios.
Los científicos concluyeron que los usuarios de la red Tor se agrupan, de manera casi equivalente, entre los servicios delictivos, y servicios idealistas que agrupan temas como la libertad de expresión, derechos humanos, anonimato y seguridad.
Sin embargo, el panorama se torna mucho más desagradable al considerar los servicios más utilizados. La lista es presidida por servicios de control de botnets y contenido pornográfico, con predominancia de pornografía infantil.
Fotografía: Teodora D © / Shutterstock.com
