Tor al centro di un cracking eccellente

Scompiglio in certi ambienti istituzionali per l'iniziativa di un esperto di sicurezza, che ha catturato le credenziali di accesso ad ambasciate di tutto il mondo. Sfruttando Tor. Ma la colpa non è di Tor
Scompiglio in certi ambienti istituzionali per l'iniziativa di un esperto di sicurezza, che ha catturato le credenziali di accesso ad ambasciate di tutto il mondo. Sfruttando Tor. Ma la colpa non è di Tor

Tor , il “network della cipolla” tanto apprezzato per le sue capacità di rendere invisibili durante la permanenza in Rete, è ora considerato un’arma a doppio taglio , perché può essere utilizzato come strumento di cracking e furto di informazioni sensibili. Sparge ombre su questi aspetti dell’apprezzata tecnologia PET (Privacy Enhancing Technologies) Dan Egerstad, consulente di sicurezza svedese finito nella bufera per la decisione di pubblicare i dati di accesso di migliaia di indirizzi email, inclusi quelli appartenenti ad almeno 100 ambasciate straniere .

Il caso è esploso alla fine di agosto quando Egerstad ha pubblicato sul suo weblog Deranged Security la lista incriminata : le credenziali comprendono il gotha della rappresentanza diplomatica mondiale, incluse nazioni come Russia, India, Giappone, Iran e via di questo passo. L’esperto giustifica la distribuzione della lista con l’impossibilità di venire ascoltato da istituzioni che, nella migliore delle ipotesi, lo avrebbero tacciato di essere un “hacker” con intenti criminali da denunciare alle autorità.

All’inizio Engerstad non ha rivelato particolari dettagli sulle modalità di raccolta dei dati sensibili, tranne che erano bastati 10 minuti e un metodo di lavoro che “qualunque script kiddie” avrebbe potuto usare o stava probabilmente già usando per fare il suo personale “raccolto” di ID riservati. I dettagli sull’azione sono arrivati solo adesso, e hanno appunto rivelato che al centro della breccia nella sicurezza delle ambasciate c’è il network di Tor .

Il consulente ha usato cinque nodi di uscita della rete anonimizzatrice presenti in diverse parti del mondo, equipaggiati con software per il controllo dei pacchetti di dati focalizzati sul traffico email (POP3 e IMAP) con uno specifico filtro basato su chiavi di accesso. Il packet-sniffer ha quindi rintracciato tutto il traffico “interessante” contenente al suo interno parole quali “gov, government, embassy, military, war, terrorism, passport, visa”.

Il risultato, come lo stesso esperto rivela, è stato sconcertante: i responsabili della sicurezza dei network governativi hanno consigliato ai dipendenti delle ambasciate di usare Tor per le proprie comunicazioni, incuranti del fatto che gli “onion router” permettono sì di rendere il traffico anonimo, ma soltanto all’uscita dal network stesso. I nodi in uscita del percorso dei pacchetti possono leggere ogni singolo bit di informazioni prima di immetterlo in rete , ed è esattamente quanto avvenuto con i router controllati da Engerstad. Oltre alle ambasciate, tra le istituzioni colpite segnaliamo anche Visa, società di intermediazione finanziaria che non ha certo bisogno di presentazioni.

Dunque Tor è il responsabile di questa gravissima falla nella sicurezza delle istituzioni diplomatiche nel mondo? No, “Tor non è il problema – suggerisce Engerstad – ma va usato solo per quello che è stato progettato”, ovvero il rafforzamento della privacy durante la navigazione web, l’oscuramento delle proprie tracce in rete, insomma tutto ma non certo la comunicazione di dati sensibili. I veri responsabili del disastro sono gli amministratori dei reparti IT delle ambasciate , denuncia l’esperto, la cui “assoluta stupidità senza possibilità di perdono” ha permesso la diffusione dei segreti dei propri rispettivi paesi agli stranieri.

Engerstad – la cui iniziativa di “outing” sulla sconcertante in-sicurezza di istituzioni che si tende generalmente a considerare dei sancta sanctorum tecnologici gli ha provocato certamente notorietà ma anche un bel po’ di grattacapi con il suo provider web e soprattutto con i cento governi che vorrebbero sbatterlo in prigione per crimini telematici – sottolinea poi come i nodi di Tor pensati per gestire il traffico in uscita dalla “cipolla” siano circa 1000 a parte i cinque da lui controllati per l’esperimento.

Ognuno di questi mille server è teoricamente in grado di leggere eventuali informazioni riservate alla stessa maniera con cui lo svedese ha catturato gli account compromessi. Tra questi, Engerstad ha individuato nodi chiamati “devilhacker”, “hackershaven”, nodi dedicati espressamente a Tor gestiti dalla stessa società/persona di Washington D.C., ognuno dei quali controlla 5-10 Terabyte di dati ogni mese.

E non finisce qui: non mancherebbero nodi controllati dall’agenzia spaziale russa, da noti criminali telematici, da un gruppo illegale di cracker, dal Ministero dell’Educazione di Taiwan, dalla Cina, da varie istituzioni controllate dai governi di Russia e USA e via di questo passo. Il consulente non traccia conclusioni particolari dalla vicenda, lasciando le dovute considerazioni al lettore. “Tutti i dati e i dischi fissi su ogni nodo – conclude ironicamente il weblog Deranged – sono andati distrutti ed io ho in qualche modo dimenticato ogni cosa”.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

10 09 2007
Link copiato negli appunti