Tor (The Onion Router) è un sistema di comunicazione anonima per Internet basato sul protocollo di onion routing.
Tor protegge gli utenti dall’analisi del traffico attraverso una rete di onion router (detti anche relay), gestiti da volontari, che permettono il traffico anonimo in uscita e la realizzazione di siti web anonimi nascosti. Dopo l’annuncio della vulnerabilità, Eric Filiol l’autore della scoperta, pubblica alcuni chiarimenti sulle sue ricerche.
Alcuni giorni fa Eric Filiol, un ricercatore francese attivo nel campo della crittoanalisi aveva annunciato la scoperta di una grande vulnerabilità sulla rete TOR che avrebbe permesso (in laboratorio) il completo sovvertimento del network con attacchi mirati ai nodi della rete contestualmente alla decrittazione totale dei dati di passaggio tra i vari nodi. A distanza di una settimana circa dalla pubblicazione della vulnerabilità Eric Filiol esce allo scoperto con un post chiarificatore. Abbiamo tradotto liberamente questo post :
“Gli sviluppatori di TOR sono attenti alla ricerca di potenziali bug nel sistema ma il codice sorgente è scritto molto bene soprattutto dal punto di vista della sicurezza. Il nostro attacco si è focalizzato su un livello superiore rispetto alla rete TOR ed abbiamo utilizzato tecniche tratte da scenari di cyberwarfare, abbiamo impersonato terroristi, nazioni poco democratiche o semplicemente cybercriminali. Siamo riusciti nell’intento di costringere un circuito TOR composto da 3 nodi a lasciar fluire i dati attraverso un numero definito di nodi che avevamo precedentemente violato utilizzando malware con capacità di installare delle backdoor all’interno dei meccanismi di crittografia del sistema attaccato. Non abbiamo assolutamente nulla contro gli sviluppatori di TOR nè contro la rete TOR. Il nostro lavoro ha come scopo soltanto quello di informare gli sviluppatori circa questi problemi che non riguardano TOR in se e per se ma sono debolezze intrinseche di ogni sistema basato su OR (onion routing). Siamo al lavoro per preparare la relativa documentazione circa la vulnerabilità che abbiamo scoperto e questa verrà inviata prontamente al team di sviluppo di TOR per aiutarli a lavorare sulla risoluzione di questo problemi per le release future di sistemi basati su OR.”
Dopo l’annuncio di questa vulnerabilità il team di TOR ha pubblicato in risposta un post quasi al limite dell’intimidatorio, irridendo Filiol e soci oltre a minimizzare la scoperta di quest’ultimo. Pochi giorni dopo però viene rilasciato un importante aggiornamento di TOR con la precisazione che la release non ha nulla a che vedere con la vulnerabilità scoperta da Filiol : “As far as we know, this has nothing to do with any claimed attack currently getting attention in the media”. Ma nel post di Filiol però si legge questa laconica frase : “Seun is currently working to adapt the attack to the recent update (that corrects partly the spinning technique)”. Qual’è la verità? La verità come sempre sta nel mezzo e come conclusione di questa ambigua vicenda l’impressione è quella di un ottimo lavoro di analisi da parte del team di Filiol a cui è corrisposto un momento di grande imbarazzo da parte del team degli sviluppatori di TOR. Qualsiasi sviluppatore proverebbe una sensazione di svilimento nel momento in cui questo o quel ricercatore metterebbe allo scoperto una grossa vulnerabilità presente nei propri prodotti software. La differenza tra un buon developer ed uno cattivo sta nel modo con cui si accettano le critiche (in questo caso vulnerabilità) e nel modo in cui si elaborano e si utilizzano gli annunci di sicurezza. Nel caso di Filiol e di TOR Project il modo migliore per affrontare la questione sarebbe quello di posare le armi e di lavorare in gruppo per l’accrescimento della sicurezza dei sistemi basati sull’onion routing. Resta da ribadire comunque che nonostate TOR fornisca alti livelli di anonimizzazione questa non è garantita al 100% e le proprietà di questo software devono essere sfruttate adottando tutte le precauzioni del caso. Alla prossima.
