Tor al centro di un cracking eccellente

Scompiglio in certi ambienti istituzionali per l'iniziativa di un esperto di sicurezza, che ha catturato le credenziali di accesso ad ambasciate di tutto il mondo. Sfruttando Tor. Ma la colpa non è di Tor

Roma – Tor , il “network della cipolla” tanto apprezzato per le sue capacità di rendere invisibili durante la permanenza in Rete, è ora considerato un’arma a doppio taglio , perché può essere utilizzato come strumento di cracking e furto di informazioni sensibili. Sparge ombre su questi aspetti dell’apprezzata tecnologia PET (Privacy Enhancing Technologies) Dan Egerstad, consulente di sicurezza svedese finito nella bufera per la decisione di pubblicare i dati di accesso di migliaia di indirizzi email, inclusi quelli appartenenti ad almeno 100 ambasciate straniere .

Il caso è esploso alla fine di agosto quando Egerstad ha pubblicato sul suo weblog Deranged Security la lista incriminata : le credenziali comprendono il gotha della rappresentanza diplomatica mondiale, incluse nazioni come Russia, India, Giappone, Iran e via di questo passo. L’esperto giustifica la distribuzione della lista con l’impossibilità di venire ascoltato da istituzioni che, nella migliore delle ipotesi, lo avrebbero tacciato di essere un “hacker” con intenti criminali da denunciare alle autorità.

All’inizio Engerstad non ha rivelato particolari dettagli sulle modalità di raccolta dei dati sensibili, tranne che erano bastati 10 minuti e un metodo di lavoro che “qualunque script kiddie” avrebbe potuto usare o stava probabilmente già usando per fare il suo personale “raccolto” di ID riservati. I dettagli sull’azione sono arrivati solo adesso, e hanno appunto rivelato che al centro della breccia nella sicurezza delle ambasciate c’è il network di Tor .

Il consulente ha usato cinque nodi di uscita della rete anonimizzatrice presenti in diverse parti del mondo, equipaggiati con software per il controllo dei pacchetti di dati focalizzati sul traffico email (POP3 e IMAP) con uno specifico filtro basato su chiavi di accesso. Il packet-sniffer ha quindi rintracciato tutto il traffico “interessante” contenente al suo interno parole quali “gov, government, embassy, military, war, terrorism, passport, visa”.

Il risultato, come lo stesso esperto rivela, è stato sconcertante: i responsabili della sicurezza dei network governativi hanno consigliato ai dipendenti delle ambasciate di usare Tor per le proprie comunicazioni, incuranti del fatto che gli “onion router” permettono sì di rendere il traffico anonimo, ma soltanto all’uscita dal network stesso. I nodi in uscita del percorso dei pacchetti possono leggere ogni singolo bit di informazioni prima di immetterlo in rete , ed è esattamente quanto avvenuto con i router controllati da Engerstad. Oltre alle ambasciate, tra le istituzioni colpite segnaliamo anche Visa, società di intermediazione finanziaria che non ha certo bisogno di presentazioni.

Dunque Tor è il responsabile di questa gravissima falla nella sicurezza delle istituzioni diplomatiche nel mondo? No, “Tor non è il problema – suggerisce Engerstad – ma va usato solo per quello che è stato progettato”, ovvero il rafforzamento della privacy durante la navigazione web, l’oscuramento delle proprie tracce in rete, insomma tutto ma non certo la comunicazione di dati sensibili. I veri responsabili del disastro sono gli amministratori dei reparti IT delle ambasciate , denuncia l’esperto, la cui “assoluta stupidità senza possibilità di perdono” ha permesso la diffusione dei segreti dei propri rispettivi paesi agli stranieri.

Engerstad – la cui iniziativa di “outing” sulla sconcertante in-sicurezza di istituzioni che si tende generalmente a considerare dei sancta sanctorum tecnologici gli ha provocato certamente notorietà ma anche un bel po’ di grattacapi con il suo provider web e soprattutto con i cento governi che vorrebbero sbatterlo in prigione per crimini telematici – sottolinea poi come i nodi di Tor pensati per gestire il traffico in uscita dalla “cipolla” siano circa 1000 a parte i cinque da lui controllati per l’esperimento.

Ognuno di questi mille server è teoricamente in grado di leggere eventuali informazioni riservate alla stessa maniera con cui lo svedese ha catturato gli account compromessi. Tra questi, Engerstad ha individuato nodi chiamati “devilhacker”, “hackershaven”, nodi dedicati espressamente a Tor gestiti dalla stessa società/persona di Washington D.C., ognuno dei quali controlla 5-10 Terabyte di dati ogni mese.

E non finisce qui: non mancherebbero nodi controllati dall’agenzia spaziale russa, da noti criminali telematici, da un gruppo illegale di cracker, dal Ministero dell’Educazione di Taiwan, dalla Cina, da varie istituzioni controllate dai governi di Russia e USA e via di questo passo. Il consulente non traccia conclusioni particolari dalla vicenda, lasciando le dovute considerazioni al lettore. “Tutti i dati e i dischi fissi su ogni nodo – conclude ironicamente il weblog Deranged – sono andati distrutti ed io ho in qualche modo dimenticato ogni cosa”.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Wow scrive:
    Che roba
    Io vieterei anche la moda del domain parking dei com net org eccetera, siamo arrivati a dover registrare domini con nomi come "vacanzeinsiciliaduranteilperiodoestivo.com" senza dover pagare qualche migliaio di dollari alle solite società di "parcheggio"
    • Marco scrive:
      Re: Che roba
      o a quelle che se sgarravi di un giorno con il fax per il trasferimento (con il fax del Nic poi...) ti fregavano il dominio, poi volevano 500 come risarcimento spese pubblicitarie (ah ah ah ah) per ridartelo.Mi ricorda tanto la licenza per i bagnini delle spiagge della nostra bella costa italiana... Costano una fesseria, ma vengono vendute a cifre astronomiche.Non dovrebbe essere legale venderle. Ti stufi ? la restituisci al demanio, e poi ci pensa lui a riassegnarla. Uguale con i domini.
  • Fracazzo Da Velletri scrive:
    Puttana gialla
    Quella puttana gialla che cazzo vuole, per quale motivo si deve arricchire senza lavorare a spese sei domini .eu? Che vada a fare la schiava in qualche fabbrica cinese, 'sta puttana.
  • ------ scrive:
    ridicolo...
    ...io per registrare un dominio nel sunshine period ho sofferto le pene dell'inferno ed alla fine per motivi burocratici ho rinunciato......ed ora scopro che una persona ne riesce a registrare diecimilia?? chissà, avrà registrato anche il mio ora... perché ora è facile ma nel sunshine period "no comment"...
    • Alphonse Elric scrive:
      Re: ridicolo...
      ...io per registrare un dominio nel sunshine
      period ho sofferto le pene dell'inferno ed alla
      fine per motivi burocratici ho
      rinunciato...

      ...ed ora scopro che una persona ne riesce a
      registrare diecimilia?? chissà, avrà registrato
      anche il mio ora... perché ora è facile ma nel
      sunshine period "no
      comment"...Che sarebbe il "sunshine period"? Che problemi burocratici hai avuto? Che genere di dominio stavi registrando?
    • YellowT scrive:
      Re: ridicolo...
      Al lancio io ne ho registrato uno senza nessun problema...
  • Alphonse Elric scrive:
    EURid
    Benvenuta su Internet. Internet è di tutti, anche di quella cinese. Se non ti va bene... aria.Così come nessuno ci impedisce di registrare un .com o un .us o altro non vedo proprio perché la signora cinese non possa registrarsi 10000 domini .euLi rivende? Fatti suoi, pirla chi compra un dominio a 500 euro. Le motivazioni portate da EURid sono ridicole, puerili e immotivate.
    • fred scrive:
      Re: EURid
      hai capito proprio tutto, specialmente il significato di .eu !
      • Alphonse Elric scrive:
        Re: EURid
        - Scritto da: fred
        hai capito proprio tutto, specialmente il
        significato di .eu
        !Hai capito proprio tutto, specialmente il significato di INTERNET.
        • ... scrive:
          Re: EURid
          Proprio perché la Rete è libera è necessario che la mia libertà finisca dove inizia la tua. Il cybersquatting è speculazione, non è libertà.
          • beppe scrive:
            Re: EURid
            facciamo così , faccio partire da 100 postazioni diverse un programma automatico per la registrazione di tutti i domini .eu , nel giro di una settimana dovrei finire credo ,poi dato che divento monopolista de facto ,li vendo a 500 mila euro l'uno , poi vediamo chi è d'accordo....
          • Alphonse Elric scrive:
            Re: EURid
            - Scritto da: beppe
            facciamo così , faccio partire da 100 postazioni
            diverse un programma automatico per la
            registrazione di tutti i domini .eu , nel giro di
            una settimana dovrei finire credo ,poi dato che
            divento monopolista de facto ,li vendo a 500 mila
            euro l'uno , poi vediamo chi è
            d'accordo....I domini costano. Per fare quello che dici, considerando che i domini .eu sono infiniti (quindi come razzo fai a registrarli tutti sarebbe davvero interessante saperlo, penso che con la tua tecnica risolveresti diversi problemi matematici), devi avere a disposizione una quantità infinita di denaro.
          • Mavimo scrive:
            Re: EURid
            ..guarda che i domini EU non sono infiniti, tanti si, ma infiniti proprio no. Un dominio può essere composto da massimo 62 caratteri, quindi ipotizzando di usare lettere, numeri e simboli consentiti sono 62^38 domini disponibili :DCiao
          • Alphonse Elric scrive:
            Re: EURid
            - Scritto da: Mavimo
            ..guarda che i domini EU non sono infiniti, tanti
            si, ma infiniti proprio no. Un dominio può essere
            composto da massimo 62 caratteri, quindi
            ipotizzando di usare lettere, numeri e simboli
            consentiti sono 62^38 domini disponibili
            :D

            CiaoHai ragione, non sono infiniti. Prova a fare 62^38, poi dimmi quanto vieni a spendere per registrarli tutti (o anche solo 1 milionesimo).Ora che abbiamo chiarito che anche se non sono infiniti praticamente poco ci manca sei contento?
          • Robby scrive:
            Re: EURid

            Hai ragione, non sono infiniti. Prova a fare
            62^38, poi dimmi quanto vieni a spendere per
            registrarli tutti (o anche solo 1
            milionesimo).Non servono tutti e 62^38...basta prendere in mano un elenco di tutti i marchi famosi.Il dominio sdfisajfgsafjszjasdf.eu serve ad una fava.10.000 domini sono un'enormità e coprono probabilmente molti dei marchi famosi.Questo limità la libertà.
          • ------ scrive:
            Re: EURid
            Guarda, basterebbe che i domini non si potessero "vendere" e registarli non servirebbe più a nulla..- Scritto da: beppe
            facciamo così , faccio partire da 100 postazioni
            diverse un programma automatico per la
            registrazione di tutti i domini .eu , nel giro di
            una settimana dovrei finire credo ,poi dato che
            divento monopolista de facto ,li vendo a 500 mila
            euro l'uno , poi vediamo chi è
            d'accordo....
          • Alphonse Elric scrive:
            Re: EURid
            - Scritto da: ...
            Proprio perché la Rete è libera è necessario che
            la mia libertà finisca dove inizia la tua. Il
            cybersquatting è speculazione, non è
            libertà.E dove sarebbe che la libertà di questa tipa di registrarsi 10000 siti ha invaso la tua libertà di sceglierne altri?O pensi che la tua libertà di scegliere un sito sovrasti la sua libertà di possederlo prima di te?Chi l'ha detto che il rivendere domini non è libertà visto che comunque tu ne puoi scegliere altri (a meno che tu non ritenga che con 10000 nomi di dominio tu abbia coperto tutto lo spettro possibile di nomi di dominio)?Si chiama libero commercio, io compro una cosa e poi sono libero di rivenderla a chi ne è interessato. Se proprio ci tieni mi dai quei 500 euro, altrimenti ti scegli uno degli infiniti nomi liberi. Non vedo proprio perché possedendo il dominio che a te interessa e avendone stabilito il prezzo io stia limitando la tua libertà di rifornirti altrove in qualche modo.
          • Sphaso scrive:
            Re: EURid
            E' lo stesso concetto del terreno. Per avere una casa devo pagare chi ha comprato (da Dio presumibilmente) il terreno.In internet è truffa, nella RL è legalità.boh.
          • HAL scrive:
            Re: EURid
            - Scritto da: Sphaso
            E' lo stesso concetto del terreno. Per avere una
            casa devo pagare chi ha comprato (da Dio
            presumibilmente) il
            terreno.
            In internet è truffa, nella RL è legalità.
            boh.Quanto ti costa comprare 10000 ettari di terreno? E quanto ti costa comprare 10000 domini .eu? Quanto guadagni (in %) dalla rivendita di 10000 ettari di terreno? e Quanto guadagni (in %) dalla rivendita di 10000 domini .eu? I terreni hanno un nome (www.alvarovitali.eu per dirne uno A CASO) ? Hanno tutti le stesse qualità (fertilità del terreno, capacità drenante...) ? I domini hanno le stesse qualità ?
          • lellykelly scrive:
            Re: EURid
            e se lo comprassi dal big bang?
          • Elias scrive:
            Re: EURid
            - Scritto da: ...
            Proprio perché la Rete è libera è necessario che
            la mia libertà finisca dove inizia la tua.Chi ti impedisce di acquistare un dominio .eu?Lo fanno perfino i cinesi residenti, perche' non tu?Perche' ti svegli tardi? Colpa tua.
            Il
            cybersquatting è speculazione, non è
            libertà.Comprare e rivendere e' liberta' di mercato.Certo meglio di una bella amministrazione statale che si occupi di dare a te quello che un altro con piu' intelligenza e capacita' ha pensato di comprare prima.
          • Elias scrive:
            Re: EURid
            - Scritto da: ...
            Proprio perché la Rete è libera è necessario che
            la mia libertà finisca dove inizia la tua.Sei libero anche tu di comprare 10.000 domini, anche 20.000.
            Il
            cybersquatting è speculazione, non è
            libertà.eh, eppure pare che sia soprattutto libero "Mercato", è scritto anche in cima a questa pagina.
          • Zu1779 scrive:
            Re: EURid
            Con lo stesso ragionamento uno si compra tutti i biglietti di una partita di calcio e li rivende al prezzo che vuole?É illegale PUNTO
          • c g scrive:
            Re: EURid
            Il tuo esempio è illegale, certo. Ma comprare 10000 domini non significa comprarli tutti, come per i biglietti di una partita.
        • Spà scrive:
          Re: EURid
          sembra che vivi in un mondo di ideali, internet è anche poter mandare email, ma questo non ti da la libertà di poterne inviare 10.000 per fare spam.il cybersquatting per me è la pratica più odiosa che esista dopo appunto lo spam, ben vengano simili misure!
          • Alphonse Elric scrive:
            Re: EURid
            - Scritto da: Spà
            sembra che vivi in un mondo di ideali, internet è
            anche poter mandare email, ma questo non ti da la
            libertà di poterne inviare 10.000 per fare
            spam.

            il cybersquatting per me è la pratica più odiosa
            che esista dopo appunto lo spam, ben vengano
            simili
            misure!Non sono d'accordo. Ora come la mettiamo? Pensi di essere superiore a me?
          • oidocrop scrive:
            Re: EURid
            decisamente, ma chi cazzo sei, soru?
      • R. Molinas scrive:
        Re: EURid
        - Scritto da: fred
        hai capito proprio tutto, specialmente il
        significato di .eu
        !Tu no pero'.
    • SpingitoreD iCavalieri scrive:
      Re: EURid
      I domini tanto per iniziare NON sono infiniti, basta avere uno straccio di nozioni di calcolo combinatorio (a livello di terza media) e poi sapere che il numero massimo di caratteri permessi è 63, ma ovviamente molti di meno sono i nomi significativi.La libertà poi non è anarchia, hai una visione davvero elementare del mondo se pensi che una qualsiasi collettività (come internet) possa funzionare bene lasciando ognuno assolutamente libero di fare qualsiasi cosa.A meno che il selvaggio west o la jungla non siano dei modelli a cui aspiri.
      • Alphonse Elric scrive:
        Re: EURid
        - Scritto da: SpingitoreD iCavalieri
        I domini tanto per iniziare NON sono infiniti,
        basta avere uno straccio di nozioni di calcolo
        combinatorio (a livello di terza media) e poi
        sapere che il numero massimo di caratteri
        permessi è 63, ma ovviamente molti di meno sono i
        nomi
        significativi.
        La libertà poi non è anarchia, hai una visione
        davvero elementare del mondo se pensi che una
        qualsiasi collettività (come internet) possa
        funzionare bene lasciando ognuno assolutamente
        libero di fare qualsiasi
        cosa.
        A meno che il selvaggio west o la jungla non
        siano dei modelli a cui
        aspiri.Benvenuto su Internet, qui le cose funzionano così. Che ti vada bene o no, non è un nostro problema.
        • Robby scrive:
          Re: EURid

          Benvenuto su Internet, qui le cose funzionano
          così. Che ti vada bene o no, non è un nostro
          problema.Le cose funzionano male. Ci sono alcune regole e ben pochi le seguono.Internet non può essere completamente e totalmente libera.Troppa libertà porta all'anarchia e ad una riduzione della libertà di ciascuno.
        • SpingitoreD iCavalieri scrive:
          Re: EURid
          Chi dice "Benvenuto su Internet" mi ha sempre fatto ridere, sono decenni che io e tanti altri che bazzicano questo posto siamo in rete, da quando esistevano le bbs, quando ancora internet era solo un progetto militare.Poi arriva il pischelletto con la competenza di un gelataio ugandese, che vorrebbe proporre agli altri "modelli" di funzionamento che dobbiamo accettare...e non sarebbe neanche un nostro problema...Le nuove generazioni sono una tragedia, zero conoscenze e il vuoto spinto nei confronti del mondo.Ve la meritate la cinese che vi fa pagare 1500 euro un record sui dns, ma a questo punto anche il lavoro precario sottopagato, perchè no? quando protesterai perchè ti danno uno stipendio da fame ti diranno "benvenuto nel mondo del lavoro"
          • ninjaverde scrive:
            Re: EURid
            (rotfl) Esilarante la tua osservazione che ci da' da pensare.Seguendo la discussione si e' anche parlato della compra vendita di terreni.Ma di concreto non e' stato detto niente! Insomma i terreni si comprano e si vendono secondo le leggi degli stati che regolano le transazioni stesse. Inoltre ci sono terreni non vendibili (demaniali) di prorieta' dello Stato, quindi beni pubblici, altri terreni ove si può coltivare e non costruire, quindi con valore minore. I latifondi enormi che si sono realizzati in passato sono stati confiscati a chi li deteneva, ma non poteva o non voleva coltivarli ecc.Perchè mai internet dovrebbe essere un "terreno" (virtuale) ove vige solo il potere del più forte economicamente, alias il più furbo, e possa di conseguenza fare di tutto?Quindi una sola multinazionale potrebbe teoricamente diventare padrona di tutto e di tutti i sistemi!?Neanche il liberalismo più "ultra" in queste condizioni sopravviverebbe, poichè il "liberalismo" ha come "radice" il concetto stesso di LIBERTA'.E "libertà" vuol anche dire rispettare la libertà altrui: altrimenti non funziona. La libertà funziona solo accettando (liberamente) dei limiti.
        • Marco scrive:
          Re: EURid
          Intanto per "nostro" hai generalizzato troppo.. non esiste un "nostro" internet dove tu la pensi cosi', e gli altri no, non ti pare? Le fai tu le regole? A me sembra che ci siano state e ci siano anche ora, parecchie dispute sul "diritto" di un nome a dominio (Armani, per citarne uno, ti dice niente?). Se poi usciamo dall'italia, le cose sono ancora peggiori. E tu arrivi a parlare di "nostro problema"? Ricorda che se non e' un problema per te, perche' magari non hai una attivita con un marchio registrato, questo non vuol dire che sia cosi' per tutti. Se uno si compra 10000 domini a 10, e ne rivende 1000 a 500, e la cosa e' praticamente certa, secondo te non trova dei finanziatori? Ricordati che ci sono societa' che vengono comperate per miliardi di euro. E le leggi vengono fatte apposta per evitare le situazioni come queste.Se arrivasse in italia una cordata di cinesi e si comperasse tutti i forni del pane italiani, e poi ti vendesse il pane a 10 alla pagnotta, tu diresti che sono stati "intelligenti"? Io direi che devono andare in galera.
Chiudi i commenti