FYI.

This story is over 5 years old.

Scoprire la vostra identità su Tor è più facile di quanto pensiate

Dei ricercatori hanno scoperto che l'81 percento delle persone che utilizzano il servizio, lo fanno con un modello honeypot.
Tor normalmente funziona così. Immagine: Chakravarty et. al.

Con i recenti raid dell'FBI e dell'Europol nel deep web, la parte oscura della rete sembra avere più che mai addosso gli occhi delle forze dell'ordine. E ora Tor, lo strumento più diffuso per accedere alla darknet, secondo una ricerca effettuata alla Columbia University non è più così efficace.

Nonostante i recenti attacchi da parte delle forze dell'ordine, Tor non ha cambiato i propri sistemi di tutela dell'anonimato, e Sambuddho Chakravarty della Columbia University ha scoperto una falla che gli ha permesso di identificare gli utenti di Tor il 100 percento delle volte in un esperimento in laboratorio, e l'81,4 percento delle volte nei test nel mondo reale.

Pubblicità

Tor ha sempre mantenuto il traffico web anonimo alterando i pacchetti di dati che vengono mandati attraverso i server (ecco perché tende a funzionare più lentamente dei browser standard) lasciando credere che il traffico giunga da un altro luogo (l'indirizzo IP che il server "vede" viene chiamato "exit node".) Se il server d'uscita del sito che avete visitato riesce a rilevare il punto di origine del vostro traffico (l'"entry node" o "entry delay"), l'anonimato è fottuto.

"Tor (come praticamente tutti i sistemi anonimi a bassa latenza) fallisce nel momento in cui chi attacca può vedere entrambe le uscite del canale di comunicazione," afferma Tor Project nella pagina FAQ del sito. "Se per esempio l'aggressore controlla i nodi Tor che scegliete per entrare nel network e controlla o rileva i siti che visitate, in questo caso si sa che nessuna struttura a bassa latenza può impedire che l'aggressore correli il volume e le informazioni sulle tempistiche delle due parti."

Il metodo di Chakravarty funziona grazie a un punto debole codificato in praticamente ogni router commerciale e ad alcune analisi statistiche per arrivare a capire chi è chi. È un sistema piuttosto complicato.

Viene programmato un server e un sito fasullo nel deep web, dal quale la vittima deve scaricare un file piuttosto pesante. Embeddato in questo file si trova il codice che permette di accedere a una caratteristica di molti router chiamato NetFlow, che è stato sviluppato da Cisco per dividere il traffico in diversi generi di dati: email, browser e altri.

Pubblicità

Mentre questo accade, il server manda indietro i dati attraverso i vari nodi di Tor, che sono server progettati per mascherare il luogo da cui uno è connesso. Se l'utente continua a essere rinviato attraverso questi nodi (il che richiede che il file venga scaricato per una certa quantità di tempo, forse per almeno un'ora), Chakravarty è in grado di usare le informazioni NetFlow che ottiene dall'utente, sostanzialmente per risalire (attraverso l'aiuto di alcune analisi statistiche avanzate) al luogo in cui si trova il nodo d'entrata originale dell'utente analizzando il tipo di dati a cui il router dell'utente sta accedendo.

Graficamente l'operazione avviene così:

Sembra un processo complicato, ma un "avversario potente," ha affermato, ha bisogno soltanto di creare un sito falso e avere delle conoscenze di matematica di base per eseguire l'operazione. E se l'avversario ha accesso a molti altri nodi diventa ancora più semplice.

Nel mondo reale questo significa che l'NSA o l'FBI o chiunque altro, può creare una situazione per cui se tu visiti un sito falso che contiene contenuti legati a sostanze illegali, pedopornografia, e scarichi da esso un file relativamente pesante (intorno ai 100 MB) e la tua identità può essere scoperta l'81 percento delle volte.

Dalla ricerca:

"Secondo il nostro modello di attacco, la vittima viene indotta ad accedere a un particolare server attraverso Tor, nel mentre l'aggressore raccoglie i dati NetFlow che corrispondono al traffico. L'avversario ha il controllo del server in particolare (e potenzialmente di molti altri che la vittima potrebbe visitare) e sa quindi da quale exit node si origina il traffico della vittima."

Pubblicità

Nessuna di queste operazioni è particolarmente facile da eseguire (nonostante Chakravarty abbia evidenziato di aver usato solo strumenti open source) ma è sicuramente alla portata dell'FBI e dell'NSA.

"Pensiamo a un avversario potente, abbastanza esperto da poter accedere al traffico in entrata e in uscita dai nodi di Tor ," ha scritto. "Questo avversario potrebbe benissimo essere il governo di uno Stato potente o più governi che collaborano."

Dal momento che il sistema di Chakravarty dà sostanzialmente un modo per fare una supposizione piuttosto ragionata sulla tua identità, i falsi positivi (circa il 6 percento) sono inevitabili, ed è per questo che Roger Dingledine, presidente del Tor Project, afferma che non è un sistema abbastanza affidabile da essere usato realmente.

Questo è un punto valido ma suppone che un avversario potente non abbia altri metodi per rilevare l'identità di qualcuno una volta in possesso del suo indirizzo IP—capacità che agenzie come l'NSA o l'FBI hanno. E non tiene in considerazione che l'aggressore potrebbe semplicemente aspettare che l'indirizzo IP appaia più volte, magari nel corso di mesi—altra cosa che l'NSA o l'FBI sono perfettamente in grado di fare. Chakravarty ha notato che non deve essere necessariamente un governo potente ad attaccare, e che ci sono molti altri nodi di Tor a disposizione per fare la stessa cosa.

Tor ha sempre affermato che questo tipo di attacchi sarebbe possibile ma che l'incidenza dei falsi positivi rende impossibile l'uso di questo sistema da parte delle forze dell'ordine. In altre parole, Tor affida la sicurezza ai numeri: più persone usano nodi di Tor più diventa ancora difficile per l'avversario usare questo tipo di attacco.

"Bisogna sottolineare che la fattibilità di questo attacco dipende da quanto l'aggressore riesce a controllare o misurare sulla rete," ha scritto Dingledine. "Ci sono comunque ancora molti test da fare per mostrare come questo sistema potrebbe funzionare nella pratica."

In ogni caso, Dingledine ha ammesso che l'esperimento è interessante e non nega che Chakravarty sia stato in grado di rilevare le identità di alcune persone durante l'esperimento. La questione ora è: i governi saranno interessati a fare questo tipo di attacchi? Considerando il modo in cui viene gestita la questione della privacy, non sembra così irrealistica la possibilità che possano iniziare a raccogliere tonnellate di indirizzi IP e a trovare una soluzione per collegarli a persone fisiche.