Scoperto un attacco in grande stile alla rete TOR

TOR (The Onion Router) è un sistema di comunicazione che protegge gli utenti dall'analisi del traffico e che quindi consente di navigare anonimi attraverso l'impiego di un network di onion router (o relay) gestiti da volontari.

TOR (The Onion Router) è un sistema di comunicazione che protegge gli utenti dall’analisi del traffico e che quindi consente di navigare anonimi attraverso l’impiego di un network di onion router (o relay) gestiti da volontari.
Utilizzando TOR, i dati non transitano più direttamente da client a server e viceversa ma passano attraverso dei router che costituiscono un “circuito virtuale” crittografato a strati (da qui il termine “onion” che in italiano è traducibile col termine “cipolla”).

Nei nostri articoli Anonimato in Rete con TOR: per visitare qualunque sito tutelando la propria privacy e Navigare anonimi online con Chrome, abbiamo spiegato come “navigare” in Rete senza lasciare tracce, in perfetto anonimato, e come superare le limitazioni in quei Paesi, ad esempio, che attuano provvedimenti censori.

In queste ore, comunque, è arrivata la doccia fredda degli sviluppatori di TOR, che in una lunga nota pubblicata sul blog ufficiale del progetto, hanno confermato una preoccupante scoperta: nel periodo compreso tra febbraio e luglio 2014 (fino al 4 luglio scorso) la rete TOR è stata oggetto di un attacco ben orchestrato e teso a deanonimizzare” le attività degli utenti.

Secondo quanto rilevato dal team di sviluppatori di TOR, l’aggressione sarebbe stata focalizzata su coloro che gestiscono o sono soliti utilizzate servizi nascosti all’interno del network. L’attacco, in altre parole, sarebbe stato indirizzato nei confronti del “deep web“, di quei siti web che sono consultabili solamente accedendo alla rete TOR e visitando un URL .onion.

TOR e il Deep Web

TOR può fungere anche da porta d’accesso al cosiddetto deep web o web sommerso, il lato oscuro della rete Internet. Si tratta di un “mondo parallelo”, irraggiungibile da parte dei motori di ricerca tradizionali, che trae vantaggio proprio dalla struttura “anonima” di TOR per nascondersi sottraendosi il più possibile ad accertamenti e provvedimenti sanzionatori.

Poggiando sulla rete TOR, chiunque può quindi allestire un server la cui localizzazione sia sconosciuta. Tale possibilità è appannaggio di tutti coloro che partecipano alla rete, indipendentemente se si tratti di onion router o di sistemi client.
Per accedere ad un server, nel deep web, si dovrà utilizzare uno pseudo-dominio di primo livello .onion. Ovviamente, gli indirizzi .onion rimarranno inaccessibili ai motori di ricerca tradizionali e a chiunque arrivi dal web “in chiaro”, senza quindi ricorrere alla rete TOR.

Se si prova a dare una sbirciata al deep web, comunque, il consiglio è sempre quello di agire con la massima cautela. Nel “web sommerso” è pubblicato di tutto e, in gran parte, si tratta di materiale illegale. Nelle pagine raggiungibili da un indirizzo .onion, inoltre, è piuttosto frequente imbattersi in virus e malware.
Dal momento che si tratta di minacce che interessano pressoché esclusivamente i sistemi Windows, il consiglio è di fare esperimenti sul deep web solo da macchine Linux.

Inutile dire che il deep web viene utilizzato soprattutto per scambiarsi materiale illegale e per commettere crimini. La Polizia Postale ha un bel da fare a contrastare le attività in corso sul deep web proprio perché la struttura di TOR riesce a garantire massimo anonimato agli utenti. Ecco quindi che per contrastare le attività criminali più tristi e scovare chi commette i reati più pericolosi, gli agenti sono costretti a lunghe e costanti attività di monitoraggio cercando di entrare in prima persona a far parte delle “comunità invisibili” aperte nel deep web (ecco due recenti operazioni messe a segno dalla Polizia di Stato: 1; 2).

TOR è uno strumento e come ogni “mezzo” è assolutamente legale. Ciò che può non essere legale è invece l’utilizzo che se ne fa. È quindi importante astenersi dal porre in essere qualunque comportamento che possa costituire reato.

Utilizzando due metodologie d’attacco (“TOR confirmation attack” e “Sybil attack“), combinate, gli autori dell’aggressione (sdradicata dal network proprio lo scorso 4 luglio) potrebbero essere riusciti ad individuare chi gestisce un servizio nascosto o comunque da quale area geografica ciò avviene.
Gli sviluppatori di TOR, pur confemando di aver forzosamente eliminato dal network “gli ospiti sgraditi”, ammettono di non poter stabilire con certezza quali dati sono stati spiati, sottratti o derivati.

Sul sito di TOR viene suggerito a chinque funga da relay (ossia a chi, volontariamente, mette a disposizione il proprio sistema per contribuire ad anonimizzare le comunicazione degli altri utenti) di installare immediatamente l’ultima versione dell’applicazione (ad oggi, 0.2.4.23 o 0.2.5.6-alpha).
Sebbene il problema legato agli attacchi “TOR confirmation attack“, l’installazione delle ultime release consente di sanare una vulnerabilità del protocollo ampiamente sfruttata nella maggior parte delle aggressioni.

Ti consigliamo anche

Link copiato negli appunti