Un caso sencillo y pr\u00e1ctico para destorizar conexiones y crear un perfil detr\u00e1s del usuario en la PC<\/p>\n
Para entender la l\u00f3gica de esto es tan simple como aplicar la multiplicaci\u00f3n de signos pero a la inversa. Seguridad x Seguridad = No seguridad<\/p>\n
Tor se debe apoyar de proxys que evitan que las cookies puedan ser usadas para rastrear como privoxy, si un sitio tiene la intenci\u00f3n de ser an\u00f3nimo no debe usar TLS\/SSL ( Certificados de seguridad o \u201c El candado \u201c ) por que la seguridad que da la conexi\u00f3n cifrada evita que privoxy pueda filtrar cualquier medio de espionaje. Para esta demostraci\u00f3n hice un r\u00e1pido y sencillo programa en PHP que crea un perfil del usuario en una simple cookie, la m\u00e1s b\u00e1sica de todas. Sin embargo esto podr\u00eda ser tan complicado como se necesite, usar cookies en flash, usar java, usar javas desactualizados y con vulnerabilidades. Se me ocurren N cantidad de formas de quitarle el anonimato a los que usan TOR. En mi sitio WEB cuando se entra usando TOR inmediatamente brinca un anuncio que te informa de que no pienses que me has enga\u00f1ado se que usas TOR y hare un perfil de ti \u00bf por que ? mi sitio no guarda secretos, si alguien entra usando TOR seguro que es un delincuente inform\u00e1tico tratando de hackear sin dejar rastro.<\/p>\n
Sitios como MexicoLeaks que se apoyan de TOR para guardar el anonimato de sus informantes comenten un gran error al usar certificado de seguridad en su p\u00e1gina de front end, la cual es usada como salto hacia el dominio .onion de este modo todos pasan por esa p\u00e1gina en alg\u00fan momento tanto los que usan TOR como los que llegan a curiosear y despu\u00e9s usan TOR en ese momento se hace el match del perfil de usuario, quien es relacion\u00e1ndolo con quien era cuando no usaba la conexi\u00f3n TOR.<\/p>\n
La forma en de evitar esto podr\u00eda llegar a ser relativamente f\u00e1cil para las personas m\u00e1s experimentadas, pero en sitios como Mexicoleaks no se esperan expertos inform\u00e1ticos, sino informantes que no necesariamente saben m\u00e1s que dar click en una computadora, sin embargo hasta los m\u00e1s experimentado podr\u00edan tener problemas si esto se sube a nivel flash o explotar otras vulnerabilidades con Java entre otras mas que hay por ah\u00ed.<\/p>\n
El siguiente video muestra el laboratorio pr\u00e1ctico<\/p>\n