QR code per la pagina originale

Attacco contro Tor per smascherare gli utenti

Il team Tor ha scoperto un attacco contro il network, effettuato aggiungendo nuovi relay che hanno permesso di individuare alcuni servizi nascosti.

,

Tra il 30 gennaio e il 4 luglio 2014 sono stati aggiunti alla rete Tor diversi relay con l’obiettivo di scoprire informazioni sulle persone che accedono o gestiscono i server che ospitano gli hidden services. Il team Tor ipotizza che l’attacco sia stato compiuto da un’agenzia di intelligence straniera, sfruttando l’exploit dei ricercatori della Carnegie Mellon University. Questi ultimi dovevano illustrare la loro scoperta durante la conferenza Black Hat della prossima settimana, ma il loro intervento è stato cancellato.

Lo scopo principale del progetto Tor è fornire anonimato ai client, ovvero ai computer degli utenti, ma può nascondere anche i server usati per ospitare un sito web, il più noto dei quali è sicuramente WikiLeaks. Sebbene gli hidden services siano sfruttati soprattutto dai dissidenti politici per evitare le repressioni dei governi autoritari, in alcuni casi offrono “protezione” ad attività illegali, come la vendita di droghe (Silk Road). Nel periodo suindicato, qualcuno ha aggiunto nuovi relay alla rete per cercare di scoprire gli indirizzi IP reali dei siti nascosti.

L’attacco è stato effettuato combinando due tecniche, denominate traffic confirmation attack e Sybil attack. Il primo tipo di attacco è possibile quando il malintenzionato controlla o osserva i relay su entrambi i lati del circuito Tor e confronta il timing del traffico, il volume e altri parametri per verificare che i due relay appartengono alla stessa rete. Se il primo relay (entry guard) conosce l’indirizzo IP dell’utente e l’ultimo conosce la destinazione del servizio nascosto, è possibile de-anonimizzare l’utente.

Il secondo tipo di attacco, invece, ha consentito di eludere temporaneamente il sistema basato sulla reputazione, aggiungendo 115 relay alla rete. Il team Tor non è in grado di quantificare l’entità dei “danni” provocati dagli attacchi. Quasi certamente, i malintenzionati non sono riusciti a vedere il traffico a livello di applicazione (ad esempio, le pagine aperte dagli utenti), ma probabilmente hanno individuato la posizione di alcuni servizi nascosti.

Viene comunque suggerito agli utenti di installare la nuova versione di Tor (0.2.4.23) e gli operatori degli hidden services di cambiare la posizione dei loro servizi.

Fonte: Tor • Notizie su: