TOR (The Onion Router) è un sistema di comunicazione che protegge gli utenti dall’analisi del traffico e che quindi consente di navigare anonimi attraverso l’impiego di un network di onion router (o relay) gestiti da volontari.
Utilizzando TOR, i dati non transitano più direttamente da client a server e viceversa ma passano attraverso dei router che costituiscono un “circuito virtuale” crittografato a strati (da qui il termine “onion” che in italiano è traducibile col termine “cipolla”).
Nel nostro articolo Anonimato in Rete con TOR: per visitare qualunque sito tutelando la propria privacy abbiamo spiegato come “navigare” in Rete senza lasciare tracce, in perfetto anonimato, e come superare le limitazioni in quei Paesi, ad esempio, che attuano provvedimenti censori.
Alcuni ricercatori della Karlstads University, in Svezia, hanno però scoperto alcune macchine “onion” malevole che sarebbero utilizzate per “sabotare” le comunicazioni veicolate attraverso la rete TOR. Si tratta di “cipolle marce“, come sono state battezzate, che monitorano e tengono traccia del traffico dati inviato dai singoli utenti.
Secondo gli accademici svedesi, gli attacchi sarebbero per il momento limitati ma rappresenterebbero un esempio di come anche il traffico TOR possa essere soggetto ad aggressioni da parte di terzi. In alcuni casi, gli utenti che visitano siti a carattere pornografico passando attraverso gli onion router malevoli vengono reindirizzati altrove; in altri frangenti, invece, vengono posti essere veri e propri attacchi man-in-the-middle con lo scopo di decifrare messaggi crittografati.
Le “cipolle marce” utilizzano l’attacco “sslstrip“, illustrato dal ricercatore Moxie Marlinspike, per tentare di “convertire” traffico HTTPS in informazioni leggibili in chiaro.
Per rimanere “under the radar“, i gestori degli “onion” fasulli starebbero principalmente bersagliando il traffico dati HTTPS diretto verso il social network Facebook.
I ricercatori svedesi hanno voluto suggerire al team di sviluppo di TOR alcune modifiche da implementare nel pacchetto “Browser Bundle” per escludere dalla rete quegli “onion routers” che possono sferrare attachi “man-in-the-middle” e rappresentare una minaccia per la sicurezza degli utenti.