Tor (The Onion Router) è una rete che permette di navigare su Internet in modo anonimo, nascondendo l’indirizzo IP dell’utente e proteggendo la sua privacy. Funziona attraverso una serie di nodi (server) distribuiti globalmente: i dati degli utenti sono crittografati più volte e fatti passare attraverso i vari nodi, un po’ come negli strati di una cipolla (da qui il nome “Onion Routing“). Ma quanto Tor è ancora sicuro?
Ogni nodo conosce solo quello precedente e quello successivo, rendendo difficile risalire all’origine del traffico. Alcune recenti rivelazioni, tuttavia, hanno messo in discussione la robustezza dell’intero network. Utilizzato per accedere al dark Web, Tor è ampiamente utilizzato da attivisti, giornalisti e utenti in Paesi che applicano forme di censura governativa.
Tor attaccato con i timing attack per deanonimizzare gli utenti
La recente pubblicazione degli esiti di un rapporto investigativo, secondo il quale le forze dell’ordine di vari Paesi sarebbero riuscite a deanonimizzare gli utenti che si servono di Tor ha riacceso la discussione sull’effettivo livello di sicurezza garantito dal network.
In un articolo pubblicato su una nota testata tedesca, si fa presente che le Autorità di mezzo mondo si sarebbero coordinate per gestire un numero rilevante di nodi sulla rete Tor. Senza sfruttare alcuna vulnerabilità sul network o lato software client (ad esempio su Tor Browser), i tecnici sarebbero riusciti a collegare i pacchetti dati scambiati ai singoli utenti.
Lo strumento utilizzato per deanonimizzare gli utenti su Tor sarebbero i cosiddetti timing attack. Come suggerisce il nome, questo tipo di aggressione sfrutta le correlazioni temporali tra l’invio e la ricezione di pacchetti dati. In questo modo è possibile identificare l’origine del traffico analizzando il tempo di trasmissione dei dati tra l’utente e i nodi della rete Tor.
L’attaccante monitora il traffico in entrata e in uscita dalla rete Tor, sia a livello dell’utente che a livello dei nodi. Confrontando i tempi di invio e ricezione dei pacchetti, risulta possibile trovare somiglianze nei pattern temporali che suggeriscono una relazione tra un utente specifico e una destinazione finale.
Quando queste correlazioni sono sufficientemente accurate, è possibile identificare l’indirizzo IP dell’utente originale, vanificando l’anonimato offerto da Tor. Certo, per via della crittografia non è possibile vedere cosa stanno trasferendo gli utenti, ma il fatto che stiano comunicando è palese.
Secondo i gestori di Tor, la rete resta sicura
I responsabili del progetto Tor, che nasce per fini assolutamente nobili, hanno espresso frustrazione per non aver avuto accesso ai documenti tecnici che avrebbero consentito di analizzare le considerazioni sollevate in tema di sicurezza.
L’organizzazione ha comunque pubblicato una dichiarazione per rassicurare gli utenti sulla base delle informazioni in possesso. Secondo Tor Project, gli attacchi descritti si sono verificati tra il 2019 e il 2021: da allora, tuttavia, la rete è notevolmente cresciuta, rendendo ora molto più difficile portare a termine timing attack.
Sì, perché all’aumentare del numero di server Tor, anche per un soggetto ben organizzato diventa molto più difficile monitorare buona parte delle comunicazioni di rete. I detrattori sostengono però che con circa 7.000-8.000 nodi Tor, la rete non cresce da anni in maniera sostanziale. Gettando un’ombra sul network.
Tor Project insiste però nel sottolineare che negli ultimi anni è stato condotto un lavoro certosino per segnalare e rimuovere dalla rete i relay problematici. Gli sforzi avrebbero prodotto risultati tangibili.
I gestori del network osservano inoltre che gli utenti deanonimizzati, almeno stando alle informazioni sinora venute a galla, utilizzavano Ricochet. Si tratta di una vecchia applicazione di messaggistica peer-to-peer basta sulla rete Tor che però non include le protezioni Vanguards ed è vulnerabile agli attacchi che consentono di smascherare il nodo di ingresso dell’utente (guardia).
Le difese utilizzate da Tor contro la deanonimizzazione degli utenti
In un altro articolo abbiamo visto nel dettaglio come funziona Tor e quando utilizzarlo. Tor adotta diverse tecniche per proteggersi dagli attacchi, inclusi i timing attack, al fine di mantenere l’anonimato degli utenti. Le tecniche agiscono su più livelli per rendere più difficile la deanonimizzazione.
Sappiamo già come funziona il circuito multilivello di Tor (Onion Routing): ogni connessione tramite Tor passa attraverso tre nodi casuali:
- Nodo d’ingresso (o “nodo guardia”): Conosce l’IP dell’utente ma non la destinazione finale.
- Nodo intermedio: Serve a far rimbalzare il traffico per aumentare la complessità del tracciamento.
- Nodo di uscita: Conosce la destinazione finale, ma non l’IP dell’utente.
Tor applica la crittografia a ciascuno dei tre nodi nel circuito. Ogni nodo rimuove solo uno strato di crittografia, e conosce soltanto il nodo precedente e successivo. Un singolo nodo non può avere una visione completa del percorso, limitando le informazioni disponibili per un attacco.
I circuiti utilizzati da Tor cambiano periodicamente, tipicamente ogni 10 minuti. Ciò rende più complesso un attacco temporale poiché l’analisi deve avvenire su circuiti sempre diversi, complicando la correlazione tra i dati in entrata e in uscita.
Tor adesso utilizza il padding per aggiungere dati “inutili” in determinati intervalli di tempo. Il metodo maschera la quantità effettiva di dati inviati, rendendo più difficile per un attaccante correlare la quantità di traffico in entrata e in uscita, riducendo così l’efficacia dei timing attack.
Cos’è il progetto Vanguards
Rispetto a qualche tempo fa, oggi Tor può contare anche sul sistema Vanguards, che aggiunge un ulteriore livello di protezione contro gli attacchi avanzati, come quelli basati sulla correlazione temporale o sulla ricerca del nodo di ingresso (o guardia).
I nodi guardia sono scelti e mantenuti per un periodo di tempo più lungo; inoltre, Vanguards introduce regole per prevenire attacchi di tipo “Sybil” (creazione di numerosi nodi malevoli) o “guard discovery“, evitando che un attaccante possa posizionarsi in maniera strategica vicino ai nodi di ingresso.