Cassandra Crossing/ Tor? Molto rumore per nulla

di Marco Calamari - Tor funziona e offre un altissimo livello di sicurezza: gli eventi dei giorni scorsi, invece, non fanno che dimostrare come contro la leggerezza, o la stupidità, né la tecnologia né gli Dei possano fare alcunché

Roma – Martedì un dettagliatissimo articolo di Punto Informatico riportava in maniera puntuale ed esaustiva che Tor è stato usato come mezzo per rastrellare password in Rete e violare account di posta. Il taglio ed il tono dell’articolo suscitavano però, almeno a mio parere, allarme e sfiducia sulla capacità di garantire l’anonimato da parte della rete Tor.

Il resto di questo intervento si puo’ percio’ sintetizzare semplicemente così: “Non è vero; Tor va da Dio, purché lo si utilizzi per quello che è, non per quello che vorremmo fosse”. Sì, perché chi usa Tor da semplice utente spesso lo considera una “pallottola d’argento” che garantisce da sola l’anonimato durante la navigazione web.

NON È VERO. NON È COSÌ.
Tor è un mezzo efficace per occultare la provenienza di una connessione TCP che sta consultando e/o utilizzando un sito web. Niente di più, niente di meno. La differenza è sottile, ma abissale.

Infatti usare la rete Tor per navigare normali siti HTTP non garantisce affatto l’anonimato del navigatore, perché i dati scambiati tra il nodo Tor di uscita ed il sito web sono in chiaro. Se si riempie un form con il proprio nome e cognome, questi dati passano in chiaro da nodo Tor di uscita, attraverso la rete di vari ISP fino al server web, e nel server web stesso. Questi tre sono punti privilegiati in cui tutte le informazioni in chiaro possono essere intercettate e memorizzate.

In parole povere, se scrivete nel form il vostro nome, un nome utente od una password, il sistema dove gira il nodo Tor di uscita diventa un ideale punto di concentrazione e raccolta di informazioni personali, che passano tutte da lì per disperdersi poi nella Rete e raggiungere i server di destinazione.

Nulla garantisce che il gestore di un nodo Tor di uscita sia una persona onesta e rispettosa della privacy; puo’ essere un mafioso, una spia industriale, un ladro di numeri di carta di credito, o semplicemente l’investigatore assunto dal vostro fidanzato/fidanzata per un’indagine prematrimoniale. La rete Tor è progettata per resistere a questo, ma né Tor e neanche gli Dei possono nulla contro la stupidaggine.

Usare Tor e poi inviare informazioni in chiaro è appunto un’abissale stupidaggine, che rende possibile lavori dimostrativi e pubblicazioni ad effetto come quelli citati dal suddetto articolo. Facciamo ora un passo avanti.

Se vi connettete ad un servizio criptato (ad esempio un sito web HTTPS) i dati che transitano diventano ovviamente illeggibili, e solo la vostra controparte puo’ leggerli. Benissimo, tutto a posto quindi. O no? Fatevi una semplice domanda. Con chi state comunicando? Siete sicuri sia la vostra banca? Come fate a saperlo?
“Beh, è semplice” direte voi “basta esaminare il certificato che il server ci invia all’inizio della sessione”.
Giusto! Ma lo fate realmente? Lo fate almeno la prima volta che vi collegate? Sapete come fare a verificare un certificato solo la prima volta ed a rendere automatico il procedimento per le volte successive?

Non basta vedere che sul certificato c’è scritto “Bill Gates – Microsoft”, bisogna verificarne l’autenticità tramite la catena di autorità di certificazione. Non è difficile; basta cliccare sul tasto “Dettagli” e non su “OK”, solo la prima volta che l’usate.

Se invece si clicca su OK a raffica, ci si espone proprio a quello che è stato fatto (per fini dimostrativi) dal meritorio sig. Dan Egerstad.
Infatti il buon Dan ha nuovamente utilizzato il fatto che il server che ospita un nodo Tor di uscita si trova in un punto privilegiato non solo per raccogliere informazioni (come visto nel caso precedente) ma anche per tentare di alterarle “al volo”.

È quindi possibile portare un attacco di tipo MITM (Man in the Middle – Uomo nel Mezzo), che nel caso di consultazione di un sito web HTTPS (per esempio quello della vostra banca) funzionerebbe grosso modo così:

1) il vostro browser, attraverso la rete Tor, offre un certificato e richiede quello del sito web
2) la richiesta esce dal nodo Tor di uscita, dove il buon Dan ha piazzato un programma proxy che intercetta la chiamata e la ferma temporaneamente
3) il proxy vi offre un certificato finto generato al momento, che reca informazioni ragionevoli dedotte dall’indirizzo del sito web o da quelle contenute nel vostro certificato, ma è crittograficamente falso come una moneta di latta
4) il vostro browser apre una finestra in cui vi chiede di approvare il certificato (taroccato) appena arrivato. Se non fate nessuna verifica e cliccate su OK il gioco è fatto.
5) Olè, avete appena aperto una connessione con il proxy di Dan pensando che sia il sito della vostra banca
6) il proxy di Dan puo’ terminare l’apertura di una connessione “sicura” con voi ed usare le informazioni che gli mandate (incluso il vostro certificato) per aprire una seconda connessione da lui verso il sito della banca.
7) il proxy puo’ poi intercettare, memorizzare e e magari anche modificare tutte le informazioni scambiate sulla connessione “sicura” ed “anonima” appena aperta.

Cosa c’entra Tor in tutto questo? Assolutamente niente, ha solo offerto un punto favorevole ad un criminale per approfittare della stupidità di chi clicca sempre su “OK”, persino quando vuole una connessione sicura ed anonima.

That’s all, folks.
Tor funziona, e non ha debolezze conosciute; potete usarlo con fiducia. Solo usatelo per quello che è, per quello che puo fare e per come funziona, proprio come la vostra bicicletta o la vostra auto.
Concludendo: per la privacy in Rete c’è di che essere mooooooooooolto preoccupati, per il funzionamento di Tor no.

Chi volesse chiarimenti può anche iscriversi alla lista e-privacy e chiederli via email.

Marco Calamari

Tutte le release di Cassandra Crossing sono disponibili a questo indirizzo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • eee scrive:
    eee
    nnnnnnnnnnnnnnnn
  • ufficio stampa scrive:
    Il ritorno di jack Lametta
    Presentato a Roma lultimo lavoro del regista Campanella Il ritorno di Jack Lametta Il cortometraggio, dal titolo Taglia corto!, è liberamente ispirato alla vicenda del famigerato maniaco, che per molto tempo ha terrorizzato la capitale. Nel cast Elisabetta Rocchetti ed Emy Bergamo di Dario DomeniciRoma. Attimi di panico, laltra sera alla Casa del Cinema, nel verde di Villa Borghese. Un tipo losco, coperto soltanto da un impermeabile, ha spaventato tutte le donne che entravano nel nuovo tempio capitolino della celluloide: le rincorreva, le apostrofava con frasi hard e si apriva il trench mentre loro scappavano a gambe levate urlando. Larcano si è svelato poco dopo: il misterioso guardone non era un maniaco, ma Giampiero Corica, 36 anni, uno degli attori di Taglia corto!, il cortometraggio noir di 18 minuti diretto da Pierfrancesco Campanella (noto al pubblico per i thriller Bugie rosse e Cattive inclinazioni), che veniva presentato nella sala Kodak. E stata questa una delle sorprese-pulp della serata, che ha divertito persino il superpoliziotto Antonio Del Greco, direttore della Divisione Anticrimine della Questura di Roma, arrivato con la moglie Elora a salutare il regista Campanella di cui è grande amico. Non solo: suo figlio Emanuele Del Greco sta per debuttare nella regia. A produrre la sua opera prima, un thriller intitolato La bestia dentro, sarà proprio Pierfrancesco Campanella. Che, nel corso della serata, ha anche annunciato il suo prossimo lavoro: Campanella dirigerà Eccessi damore, film ispirato alle torbide vicende dei marchesi Casati Stampa. Taglia corto!, che ha stupito a affascinato tutti i presenti, è ispirato alla figura di Jack Lametta, il maniaco sfregiatore che nei primi anni Ottanta si divertiva a sfregiare le passanti in volto, a Roma, in pieno giorno tra la folla, servendosi di un taglierino. Il personaggio, che non è mai stato arrestato, e che teoricamente è ancora tra noi, va ad arricchire la folta schiera dei casi irrisolti nel nostro paese, di cui tanti nella capitale (via Poma, Olgiata, ecc.). Quella storia, allepoca data in pasto a una collettività assetata di notizie scioccanti, attraverso un continuo bombardamento dei mezzi dinformazione, fu in un certo senso antesignana della attuale degenerazione dei casi di cronaca nera che tengono banco nei Tg e nei talk-show, in una continua sovrapposizione fiction-realtà (vedi delitto di Cogne). Protagonista del corto, nel ruolo di una studentessa perseguitata da Jack Lametta, è Elisabetta Rocchetti, rivelatasi ne Limbalsamatore e Il ritorno del Monnezza, che presto vedremo tra gli interpreti principali del tv-movie Ti piace Hitchcock? di Dario Argento. La Rocchetti , fotografatissima insieme ai colleghi del corto Cosimo Fusco e Manuel Oliverio, ha annunciato di stare per debuttare anche lei dietro la macchina da presa con il film Tutti gli amanti di Sasha. Cerca un ragazzo bellissimo di 18 anni che deve impersonare il protagonista Sasha, un giovane che si innamora di donne più grandi. Contattatemi sul mio sito, ha detto Elisabetta. Emozionata, perché al suo debutto sul grande schermo con Taglia corto!, la bionda Emy Bergamo, la soubrette del Bagaglino che ha affiancato Aida Yespica il sabato sera nello show di Pingitore su Canale 5 E io pago!. Emy si è presentata con i giovanissimi genitori, Renato e Susy, e ha presentato il suo fidanzato: lattore Elio Crifò, conosciuto al Salone Margherita dove entrambi lavoravano nello spettacolo Roma. Tra gli amici accorsi a brindare con Campanella, anche la produttrice Gioia Scola, che sta per iniziare la fiction La Capitanessa con Sabrina Ferilli nei panni di una brigante del 1700; il direttore di Italymedia.it Antonello De Pierro, nonché voce storica di Radio Roma e leader del movimento LItalia dei diritti, che, entusiasta ha rilasciato a caldo delle spontanee e positive dichiarazioni sulla pellicola: Non è un cortometraggio, ma un film breve; incoraggerò il mio amico Campanella a lavorare per la realizzazione di un lungometraggio sullargomento, perché lidea è geniale e ha partorito una trama che risulta assolutamente limitata e compressa nei tempi fisiologicamente stretti di un corto e offre manifestamente ampi margini per uno sviluppo molto più articolato: non sarebbe giusto privare lo spettatore del godimento visivo ed emotivo che ne risulterebbe, limitandolo alle pur grandi emozioni dautore di cui si è nutrito in questo frangente; a mio avviso è il più interessante prodotto generato dalla macchina da presa del regista, come del resto encomiabili sono risultate le interpretazioni dellesperta Elisabetta Rocchetti e della bellissima debuttante Emy Bergamo; la bellissima Mirka Viola, i mitici Manetti Bros., Vincenzo Bocciarelli, Nicola Canonico, Enio Drovandi, Franco Mariotti di Cinecittà Holding, il produttore Umberto Innocenzi e Massimo Esposti della Bell Film che ha prodotto Taglia corto! col sostegno del Ministero per i Beni e le Attività Culturali - Dipartimento dello Spettacolo, e presentato in anteprima al Busto Arsizio Film Festival.
  • mah scrive:
    interessante
    mah :
Chiudi i commenti