Sicurezza
October 08 2013
Una delle rivelazioni più interessanti, e preoccupanti, della recente fuga di documenti della NSA è la possibilità, per l’Agenzia di Sicurezza Nazionale USA, di utilizzare i cookie di Yahoo, Hotmail e del network pubblicitario DoubleCkick (di proprietà Google) per tracciare gli utenti di Tor. Come saprete, Tor è un software che protegge l’anonimato dei navigatori utilizzando una serie di onion router che permettono di far rimbalzare il traffico sulla rete diverse volte prima di arrivare a destinazione. Attraverso l’utilizzo di chiavi temporanee, generate durante il percorso, Tor permette agli utenti una protezione quasi perfetta: eventuali spie non possono decriptare il contenuto di una navigazione non avendo l’intera mappa della crittografia utilizzata dall'utente. "Quasi” perfetta a causa della NSA.
Una diapositiva chiamata Tor Stinks ("Tor puzza") eresa nota dal Guardian mostra la possibilità per la NSA di spiare gli utenti della piattaforma che protegge la navigazione anonima, eludendone le procedure di sicurezza. La descrizione che accompagna la slide lascia poco spazio alle interpretazioni: “Analytics: Cookie Leakage” e in basso “DoubleClickID seen on Tor and non Tor IPs”: in parole povere tu utilizzi Tor ma io (NSA) ti spio lo stesso.
Come è possibile?
Secondo quanto descritto, sembrerebbe che la NSA e relative agenzie “partner” come la britannica Government Communications Headquarters (GCHQ), possano bypassare le protezioni di Tor manipolando i cookie provenienti dalla visita del servizio di Google DoubleClick. Il problema è che la navigazione tramite Tor, seppur anonima, può lasciare traccia non sul computer locale ma sui server dei siti visitati e in ogni caso ci sarebbero metodi per “forzare” il rilascio dei cookie.
Come avviene tale forzatura?
Come mostrano le slide del Guardian, le agenzie di spionaggio utilizzano spesso server segreti (chiamati Quantum) che sono localizzati in punti strategici della rete in grado di sovrapporsi a server Tor autentici e continuare così il cammino della richiesta di un utente, dopo averlo portato su siti che può spiare. Una particolare staffetta che permette alla NSA di “accompagnare” il navigatore verso il suo percorso sottraendo (non si lavora mica gratis eh) dati e informazioni sensibili che lo contraddistinguono. È da verificare poi se ci sia una stretta correlazione tra la buona riuscita dell’intervento di Quantum e l’utilizzo, da parte di Tor, della versione di Firefox dalla 11 alla 16 (sui quali si basa la rete anonima), che conterrebbero vari bug in grado di facilitare il compito della NSA.
Ecco cosa avviene durante la navigazione
- Mario decide di visitare il sito di news preferito in maniera anonima;
- Apre Tor, oppure una versione di Firefox con il plugin “Torbutton” che permette di convertire la navigazione da “in chiaro” a “rete Tor”;
- Fa click sulla URL del sito e la sua richiesta viene incanalata attraverso la rete Tor. La rete anonima, da parte sua, ricevuto il comando fa una richiesta al sito di news per cominciare il “rimbalzo” di connessioni. A questo punto si intromette Quantum che riesce a rispondere a Tor prima che lo faccia il sito prescelto, prendendo in carico la richiesta e portando l’utente ad un portale “intermedio” prima di quello richiesto. Secondo le slide, i siti civetta possono essere Yahoo, Hotmail o Gmail, ovvero tutti servizi monitorati a tappeto dalla NSA;
- Dopo aver portato a termine l’autenticazione sulla piattaforma prescelta, alla quale l’utente accede pensando che sia il sito di news a chiederlo, Quantum lascia il navigatore libero, non senza aver rubato le credenziali di accesso inserite.
Avere la possibilità di accedere agli archivi digitali di Google, Hotmail e Yahoo, permette alla NSA di analizzare i cookie di certi utenti e capire il lungo percorso fatto dalle loro richieste sulla rete Tor e, a ritroso, arrivare alla fonte. Nonostante l’incredibile panorama che si dipinge, c’è da dire che la rete Tor sia più sicura di quanto si pensi. Per ammissione della stessa NSA anche la possibilità di tracciare una singola connessione è uno sforzo non da poco. La rete Tor non è hackerabile e non si può aggirare se non attraverso stratagemmi del genere causati, per lo più, dall’utilizzo di una versione non aggiornata del browser o dalla persistenza di malware e virus che non fanno altro che indebolire le difese dell’intero sistema. Un consiglio? Se usate Tor state attenti che il sito che visualizzate sia davvero quello ricercato e non uno specchietto per le allodole digitali.
Segui @Connessioni