Bug compromette l’anonimato su Tor

Oggigiorno, più di 3 milioni di persone utilizzano Tor, sistema di comunicazione anonima per Internet, sia per scopi benefici che per evadere la legalità. Ogni utente che si affida a questo servizio sa di poter navigare in totale anonimato senza la possibilità di essere rintracciato. Un team di hacker italiani, però, ha scoperto un bug nel sistema, denominato TorMoil, che rischiava di compromettere migliaia di identità.

Comunicato Twitter di We Are Segment

Filippo Cavallarin, CEO della società di sicurezza informatica italiana We Are Segment (gruppo Interlogical Industries) che ha scoperto il problema, ha segnalato la vulnerabilità, che interessa i sistemi operativi macOS e Linux, agli sviluppatori del Tor Project lo scorso 26 ottobre.

La missione di Tor Project

The Onion Router (Tor) è un sistema di sicurezza informatica basato sulla seconda generazione del protocollo di rete di onion routing, nel quale i messaggi vengono incapsulati in “strati” di crittografia (da qui il paragone con gli strati di una cipolla) e poi propagati attraverso dei nodi denominati onion router che rivelano uno strato di crittografia alla volta. In questo modo, ogni nodo conosce solo la posizione immediatamente precedente e quella successiva, impossibilitando la ricostruzione di un cammino per arrivare alla sorgente.

Il Tor Project. Credits: www.torproject.org

Da quando è uscita la prima versione nel 2001, Tor ha l’obiettivo di preservare la privacy dei suoi utenti e permettere loro la navigazione e le comunicazioni confidenziali senza poter essere in qualche modo monitorati. Il software è disponibile per Windows, macOS e diversi sistemi operativi unix-like.

Il codice per sfruttare la vulnerabilità non è stato divulgato

Anche se i dettagli tecnici della vulnerabilità non sono ancora stati resi pubblici, sul sito ufficiale del Tor Project si legge che il bug risiedeva nella gestione degli URL di tipo file:// da parte di Firefox, utilizzato come base per lo sviluppo di Tor Browser. Bastava, quindi, far visitare all’utente un sito creato appositamente per ricostruire il percorso dall’host remoto fino a risalire all’indirizzo IP della “vittima”, bypassando così l’anonimato garantito dal sistema.

Utenti Tor giornalieri per paesi. Credits: www.repubblica.it

Cavallarin, ha spiegato alla rivista Punto Informatico:

“Nonostante dietro all’anonimato fornito da Tor si nascondano miriadi di attività illecite, è altrettanto vero che tale servizio viene utilizzato anche da giornalisti, attivisti e dissidenti politici per eludere censure governative e poter esercitare il proprio diritto di libertà di parola. Una vulnerabilità di questo genere potrebbe avere conseguenze disastrose per quelle persone”.

Per questo motivo, la società ha preferito comunicare il problema e l’algoritmo di rilevamento del bug direttamente agli sviluppatori di Tor in modo da risolvere il problema. Il 3 novembre scorso, infatti, è stato rilasciato un aggiornamento del browser, il 7.0.9,  destinato agli utenti Tor di macOS e Linux; mentre la versione alpha, la 7.5a7, è stata resa disponibile il giorno successivo.

Published by
Heidi Garcia