By Leave a Comment on Tor e la navigazione anonima – quanto è sicura?

Un articolo pubblicato sul sito di blogging open-to-allcomers Medium all’inizio di questa settimana ha fatto dei titoli spaventosi.

Scritto come un pezzo di ricerca indipendente da un autore che va solo per nusenu, la storia è intitolata:

Come i Malicious Tor Relays stanno sfruttando gli utenti nel 2020 (Parte I)

Il 23% della capacità di uscita della rete Tor ha attaccato gli utenti Tor

In parole povere, questo titolo implica che se si visita un sito web utilizzando Tor, tipicamente nella speranza di rimanere anonimi e tenersi lontani da sorveglianza indesiderata, censura o anche solo vecchio web tracking per scopi di marketing…

…allora una su quattro di quelle visite (forse di più!) sarà soggetto al controllo intenzionale dei criminali informatici.

Questo suona più che preoccupante – lo fa sembrare come se l’uso di Tor potrebbe renderti ancora meno sicuro di quanto tu non sia già, e quindi che tornare ad un normale browser per tutto potrebbe essere un passo importante.

Quindi diamo uno sguardo veloce a come funziona Tor, come i criminali (e i paesi con regole severe sulla censura e la sorveglianza) potrebbero abusarne, e quanto spaventoso sia davvero il titolo di cui sopra.

La rete Tor (Tor è l’abbreviazione di onion router, per ragioni che saranno ovvie tra un momento se si immagina una cipolla che si smonta mentre la si sbuccia), che è stata originariamente progettata dalla Marina degli Stati Uniti, mira a:

  1. Dissimulare la tua vera posizione sulla rete mentre navighi, così i server non sanno dove ti trovi.
  2. Rendere difficile per chiunque “unire i puntini” tracciando le tue richieste di navigazione web fino al tuo computer.

A questo punto, potresti pensare: “Ma questo è esattamente ciò che fa una VPN, e non solo per la mia navigazione ma per tutto ciò che faccio online”

Ma non lo è.

Una VPN (rete privata virtuale) cripta tutto il tuo traffico di rete e lo trasmette in forma criptata a un server VPN gestito dal tuo provider VPN, dove viene decodificato e “iniettato” su Internet come se provenisse da quel server VPN.

Qualsiasi risposta di rete viene quindi ricevuta dal tuo provider VPN per tuo conto, e ti viene restituita in forma criptata.

La connessione criptata tra i tuoi computer è soprannominata tunnel VPN, ed è, in teoria, invisibile a, o almeno insospettabile da, altre persone online.

Così, come puoi vedere, una VPN si occupa del primo problema elencato sopra: mascherare la tua vera posizione sulla rete.

Ma una VPN non si occupa del secondo problema, cioè rendere difficile per chiunque “unire i puntini”.

Certo, una VPN rende difficile per la maggior parte delle persone unire i puntini, ma non impedisce a tutti di farlo, per la semplice ragione che il provider VPN sa sempre da dove vengono le tue richieste, dove stanno andando, e quali dati alla fine invii e ricevi.

Il tuo provider VPN diventa quindi essenzialmente il tuo nuovo ISP, con lo stesso grado di visibilità sulla tua vita online che ha un normale ISP.

Perché non usare due VPN?

A questo punto, probabilmente stai pensando: “Perché non usare due VPN in sequenza? In gergo, perché non costruire un tunnel all’interno di un tunnel?

Cifreresti il tuo traffico di rete per farlo decifrare dalla VPN2, poi lo cripteresti di nuovo per farlo decifrare dalla VPN1, e lo invieresti alla VPN1.

Così la VPN1 saprebbe da dove proviene il tuo traffico e la VPN2 saprebbe dove sta andando, ma a meno che i due provider non si siano accordati, ognuno saprebbe solo metà della storia.

In teoria, avresti soddisfatto entrambi gli obiettivi di cui sopra con una sorta di approccio divide et impera, perché chiunque volesse rintracciarti avrebbe prima bisogno di ottenere i log del traffico decriptato dalla VPN2, e poi di ottenere i dettagli del nome utente dalla VPN1 prima di poter iniziare a “unire i puntini”.

Perché fermarsi a due?

Come puoi immaginare, anche usando due VPN, non sei completamente a secco.

In primo luogo, usando sempre le stesse due VPN, c’è un modello ovvio per le tue connessioni, e quindi una coerenza nella traccia che un investigatore (o un criminale) potrebbe seguire per cercare di risalire a te.

Per tutto quello che il tuo traffico segue un percorso complicato, prende comunque lo stesso percorso ogni volta, quindi potrebbe valere il tempo e lo sforzo per un criminale (o un poliziotto) di lavorare a ritroso attraverso entrambi i livelli di VPN, anche se questo significa il doppio della quantità di hacking o il doppio dei mandati.

In secondo luogo, c’è sempre una possibilità che i due provider VPN che scegli potrebbero alla fine essere di proprietà o gestiti dalla stessa azienda.

In altre parole, la separazione tecnica, fisica e legale tra le due VPN potrebbe non essere così significativa come ci si potrebbe aspettare – al punto che potrebbero anche non aver bisogno di colludere affatto per rintracciarti.

Perciò perché non usare tre VPN, con una in mezzo che non sa chi sei né dove stai andando?

E perché non tagliare e cambiare quelle VPN su base regolare, per aggiungere ancora più mix-and-mystery all’equazione?

Beh, molto semplificato, questo è più o meno come funziona Tor.

Un pool di computer, offerti da volontari in tutto il mondo, agiscono come relè anonimi per fornire ciò che è essenzialmente una VPN randomizzata, multi-tunnel “mix-and-mystery” per le persone che navigano attraverso la rete Tor.

Per la maggior parte dell’anno scorso il numero totale di relay disponibili per la rete Tor ha oscillato tra circa 6000 e 7000, con ogni circuito Tor che è impostato utilizzando tre relay, in gran parte a caso, per formare una sorta di VPN a tre tunnel.

Il tuo computer sceglie quali relay utilizzare, non la rete stessa, quindi c’è davvero un sacco di mix-and-mystery in continua evoluzione coinvolto nel far rimbalzare il tuo traffico attraverso la rete Tor e ritorno.

Il tuo computer recupera le chiavi di crittografia pubbliche per ciascuno dei relay del circuito che sta impostando, e poi codifica i dati che stai inviando usando tre strati di crittografia a cipolla, in modo che ad ogni salto nel circuito, il relay corrente può solo togliere lo strato di crittografia più esterno prima di passare i dati al successivo.

Il relay 1 sa chi sei, ma non dove stai andando o cosa vuoi dire.

Il relay 3 sa dove stai andando ma non chi sei.

Il relay 2 tiene separati gli altri due relay senza sapere chi sei o dove stai andando, rendendo molto più difficile per i relay 1 e 3 colludere anche se sono intenzionati a farlo.

Non è proprio così casuale

Nel grafico qui sopra, noterete che la linea verde al centro denota i relè speciali Tor conosciuti come guardie, o guardie d’ingresso per esteso, che sono il sottoinsieme dei relè funzionanti ritenuti adatti al primo salto in un circuito a 3 relè.

(Per ragioni tecniche, Tor in realtà usa lo stesso entry guard per tutte le vostre connessioni per circa due mesi alla volta, il che riduce un po’ la casualità nei vostri circuiti Tor, ma ignoreremo questo dettaglio qui.)

Similmente, la linea arancione in basso denota le uscite, o nodi di uscita per esteso, che sono relè ritenuti abbastanza affidabili da essere selezionati per l’ultimo hop in un circuito.

Nota che qui ci sono solo circa 1000 nodi di uscita attivi in qualsiasi momento, dai 6000-7000 relè disponibili complessivamente.

Potresti capire dove stiamo andando.

Anche se i nodi di uscita di Tor non possono dire dove siete, grazie agli effetti di anonimizzazione della guardia d’ingresso e del relay centrale (che cambia frequentemente), essi possono vedere il vostro traffico finale decriptato e la sua destinazione finale, perché è il nodo di uscita che rimuove l’ultimo strato di crittografia mista a mistero di Tor.

(Quando si naviga su siti web regolari tramite Tor, la rete non ha altra scelta che emettere i vostri dati grezzi, originali e decriptati per il suo ultimo salto su internet, altrimenti il sito che stavate visitando non sarebbe in grado di dare un senso a tutto ciò.)

In altre parole, se usate Tor per navigare verso una pagina web non HTTPS (non criptata), allora il nodo di uscita di Tor che gestisce il vostro traffico può non solo spiare e modificare le vostre richieste web in uscita, ma anche incasinare tutte le risposte che ritornano.

E con soli 1000 nodi di uscita disponibili in media, un truffatore che vuole acquisire il controllo di una percentuale considerevole di uscite non ha bisogno di impostare migliaia o decine di migliaia di server – qualche centinaio sarà sufficiente.

E questo tipo di intervento è quello che nusenu sostiene di aver rilevato nella rete Tor su una scala che può talvolta coinvolgere fino a un quarto dei nodi di uscita disponibili.

Più specificamente, Nusenu sostiene che, a volte durante il 2020, centinaia di relay Tor nella lista dei “nodi di uscita” sono stati impostati da volontari con intenzioni criminali con secondi fini:

La piena portata delle loro operazioni è sconosciuta, ma una motivazione sembra essere chiara e semplice: il profitto. Essi eseguono attacchi person-in-the-middle agli utenti di Tor manipolando il traffico mentre scorre attraverso i loro relay di uscita. Sembra che siano principalmente a caccia di siti web legati alle criptovalute – vale a dire molteplici servizi di mixer di bitcoin. Hanno sostituito gli indirizzi bitcoin nel traffico HTTP per reindirizzare le transazioni ai loro portafogli invece che all’indirizzo bitcoin fornito dall’utente. Gli attacchi di riscrittura degli indirizzi bitcoin non sono nuovi, ma la scala delle loro operazioni lo è. Non è possibile determinare se si impegnano in altri tipi di attacchi.

In parole povere, Nusenu sostiene che questi truffatori stanno aspettando di predare gli utenti di criptovalute che pensano che Tor da solo sia sufficiente a proteggere sia il loro anonimato che i loro dati, e che quindi navigano via Tor ma non si preoccupano di mettere https:// all’inizio dei nuovi URL che digitano.
.

HTTP considerato dannoso

Nel bene e nel male, il più delle volte si può ignorare il https:// quando si digitano gli URL nel browser, e si finisce comunque su un sito HTTPS, criptato e protetto da lucchetto.

Spesso, il server all’altro capo reagirà a una richiesta HTTP con una risposta che dice: “D’ora in poi, per favore non usare più il vecchio HTTP”, e il tuo browser lo ricorderà e aggiornerà automaticamente tutte le future connessioni a quel sito in modo che usino HTTPS.

Queste risposte “non usare mai più HTTP” implementano ciò che è noto come HSTS, abbreviazione di HTTP Strict Transport Security, e si suppone che vi tengano al sicuro dallo snooping e dalla manipolazione del traffico anche se non vi fermate mai a pensarci.

Ma c’è un problema dell’uovo e della gallina, vale a dire che se i truffatori intercettano la vostra primissima connessione non-HTTPS a un sito web a cui dovreste davvero accedere solo via HTTPS, prima che arrivi il messaggio “niente più HTTPS”, potrebbero essere in grado di:

  • Farvi parlare HTTP al loro nodo di uscita trappola mentre parlate HTTPS verso la destinazione finale. Questo fa pensare al sito finale che state comunicando in modo sicuro, ma vi impedisce di capire che il sito di destinazione vuole che parliate HTTPS.
  • Riscrivere qualsiasi risposta dalla destinazione finale per sostituire qualsiasi link HTTPS con HTTP. Questo impedisce al tuo browser di passare a HTTPS più avanti nella transazione, tenendoti così bloccato con il vecchio HTTP.

Cosa fare?

Ecco alcuni consigli:

  • Non dimenticare di scrivere https:// all’inizio dell’URL! Per ragioni storiche, i browser hanno ancora l’impostazione predefinita su HTTP finché non sanno fare di meglio, quindi prima visitate un sito digitando esplicitamente https:// all’inizio dell’URL, prima vi proteggete rendendo ovvie le vostre intenzioni.
  • Se gestite un sito web, usate sempre HSTS per dire ai vostri visitatori di non usare HTTP la prossima volta.
  • Se gestite un sito web in cui privacy e sicurezza non sono negoziabili, considerate la possibilità di aggiungere il vostro sito alla lista HSTS Preload. Questa è una lista di siti web per i quali tutti i principali browser useranno sempre HTTPS, qualunque sia l’URL.
  • Se il tuo browser lo supporta, o ha un plugin per farlo rispettare, considera di disattivare completamente il supporto HTTP. Per esempio, Firefox ora ha una funzione di configurazione non predefinita chiamata dom.security.https_only_mode. Alcuni vecchi siti potrebbero non funzionare correttamente con questa impostazione attivata, ma se sei seriamente interessato alla sicurezza, fai una prova!

Come attivare la modalità HTTPS-ONLY in Firefox 79

Attivare la modalità HTTP-only in Firefox.
1. Andate a about:config. 2. Cercate https_only_mode. 3. Attivare l’opzione.
Provare a visitare una pagina HTTP dove HTTPS non è disponibile o bloccato.

(Purtroppo, l’opzione “HTTPS-only” di Firefox non è ancora disponibile nel browser Tor, che sta ancora usando una versione Extended Support Release dove questa caratteristica non è ancora apparsa.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.