[e-privacy] [OSI 1-3 attack on Tor? in it.wikipedia]

[Nomen Nescio]

----- Forwarded message -----

Subject: OSI 1-3 attack on Tor? in it.wikipedia
Date: Wed, 13 Feb 2008 12:37:03 +0100
Reply-To: or-talk at freehaven.net
To: or-talk at freehaven.net

The italian wikipedia entry for "The Onion Routing" has a weird section  
that hints at network attacks at OSI level 1-3 using ATM or MPLS. Its's  
kind of convoluted, here's an abstract in english, my 2 remarks, and the  
original text in italian.

Abstract:
Tor works on assuming IP protocol's integrity. An ISP, however, can work  
on a lower OSI level to divert an user's Tor traffic to a separate, fake  
server. ATM switching or MPLS labeling can be used to selectively deviate 
an user's Tor traffic towards a third-party controlled Tor network. 
Therefore, IP address and key exchange with an unknown peer do not ensure 
that an user has not connected to a rogue node.

A couple of personal remarks:
- AFAIK, Tor's threat model does not include attacks on OSI level 1-3.  
Such an attack would be a far wider issue than Tor itself.
- directory authorities (hard coded in Tor) should make it hard to trick a 
Tor client into entering a "fake" Tor network made of rogue nodes.

Does that make sense?

Jan


URL of the entry:
http://it.wikipedia.org/wiki/The_Onion_Routing#Limiti

Version:
Ultima modifica per la pagina: 13:21, 7 feb 2008

Original text:
[begin]
Limiti [modifica]

L'assunzione di base della rete TOR è l'integrità del protocollo IP. Se il 
protocollo IP è integro, potrò collegarmi con un nodo di accesso TOR per 
entrare nella rete, e negoziare con tale nodo il mio accesso alla rete TOR. 
A livello di provider, però, è possibile agire a livelli più bassi sulla 
pila OSI, usando per esempio il labeling MPLS o l'ATM switching, per 
deviare il traffico su server TOR che dal punto di vista dell'utente sono 
il server TOR desiderato, ma in realtà sono server fake sotto controllo di 
terzi. Non esiste alcun modo per l'utente che si collega con una 
connessione ADSL commerciale di sapere cosa succeda a valle del DSLAM ai 
livelli più bassi di quello IP: la convinzione di essere collegati con un 
punto di accesso TOR che abbia l'IP X, solo perché a livello IP si crede di 
aver contattato un certo indirizzo di rete è un'assunzione ottimistica, né 
lo scambio di chiavi con un peer sconosciuto e non certificabile può 
garantire alcunché; per esempio usando ATM la singola cella può venire 
trasportata trattando in maniera opportuna la coppia VCC (VPI:VCI), sul cui 
switching l'utente non ha controllo. Cosa simile si può ottenere 
"colorando" i pacchetti di un dato utente mediante MPLS e creando una rotta 
ad hoc verso una rete terza.

Terzi interessati che volessero intercettare il traffico potrebbero  
costruire una propria rete di server TOR, ridirigendo su questa il  
traffico che l'utente crede di inviare ad un vero server TOR: agendo a  
livello più basso di IP non c'è modo per l'utente di sapere che in realtà 
sta usando una rete TOR diversa.

TOR, quindi, può garantire sicurezza verso tecniche di intercettazione  
basate su IP, ovvero nel caso che il punto di destinazione voglia risalire 
all'IP sorgente.

L'errore che è possibile commettere nell'utilizzare TOR consiste, dunque, 
nel credere che il percorso dei pacchetti sia interamente determinato dal 
protocollo TCP/IP, ignorando l'esistenza di meccanismi "ibridi" come MPLS o 
lo switching ATM, che possono rompere l'integrità del protocollo, 
sostituendo un meccanismo di switching al normale routing. Non essendo tale 
assunzione reale sarebbe errato utilizzare TOR per la protezione di 
comunicazioni realmente riservate.
[end]

-- 
Jan Reister
tel 02 50315307 jan.reister at unimi.it
NOC - Divisione Telecomunicazioni - Università di Milano
http://www.divtlc.unimi.it
http://www.divtlc.unimi.it/Docs/UNIMI-ICT-Security-Policy.pdf


----- End forwarded message -----