Tor, tracciamento a mezzo mouse

Un ricercatore sviluppa un metodo per tracciare l'utente anche quando è attivo su Tor. Gli sviluppatori della darknet ringraziano e gongolano: i metodi di tracking più comuni non servono più a niente

Roma – Jose Carlos Norte ha applicato il tracciamento a mezzo mouse alla darknet di Tor, rete pensata per salvaguardare la privacy dell’utente che apparentemente risulta essere vulnerabile a un genere di tracking non comune ma non certo impossibile da mettere in pratica.

Come già evidenziato nelle ricerche precedenti sull’argomento, il tracking via mouse richiede l’uso del codice JavaScript – e sul browser di Tor JS è abilitato di default: ogni utente muove e usa il mouse in maniera individuale, spiega Norte, e tenendo traccia dei movimenti su un numero sufficiente di siti al di fuori della darknet è possibile, tramite la API getClientRects, identificare l’utente anche quando è su Tor.

Il ricercatore ha approntato anche una pagina proof-of-concept per dimostrare l’efficacia del suo metodo di tracciamento, mentre le reazioni dalla community dei ricercatori di sicurezza vanno dall’apprezzamento di Mikko Hypponen per una tecnica ingegnosa ai dubbi sulla difficoltà applicativa di Lukasz Olejnik.

Ad apprezzare sicuramente il lavoro di Norte sono stati gli stessi sviluppatori di Tor, che hanno preso a esaminare i due bug menzionati nell’exploit del ricercatore e si sono fatti tanti complimenti da soli: il browser della darknet ha oramai chiuso quasi tutti i metodi di tracciamento standard e la community deve ricorrere a tecniche esotiche nella speranza di violare la privacy degli utenti.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Panzer scrive:
    bam bam bam
    Tutto bello ma poi dovete fare i conti con la chiave da 5 dollari[img]http://lh3.ggpht.com/-NjoSh24H4Fo/UDsn8LofBnI/AAAAAAAAD7c/yvx69VdyF2A/security3.png?imgmax=800[/img]
    • Funz scrive:
      Re: bam bam bam
      - Scritto da: Panzer
      Tutto bello ma poi dovete fare i conti con la
      chiave da 5
      dollari

      [img]
      http://lh3.ggpht.com/-NjoSh24H4Fo/UDsn8LofBnI/AAAADevi prima andare a pescare il dissidente tra la folla che usa la crittografia.Quando erano in pochi, il fatto stesso di usarla ti esponeva a rischi. Se ora si diffonde in massa, è la fine per dittatori e spioni vari.Che guarda caso si stanno ca*ando addosso e stanno dando di matto.
  • xx tt scrive:
    La battaglia si sta spostando...
    ...sulla EULA.Le funzionalità che il mercato richiede sono sempre le stesse: che sia open, che sia criptato end-to-end, che sia gratis (anche con pubblicità).La differenza la faranno le garanzie legali, come ad es. se il produttore risponde in tribunale in un Paese civile. Oppure che l'azienda non possa divulgare nulla anche volendo.Riassumendo il grande "sucXXXXX" degli Yankee:1) i governi possono intercettare meno di prima, perché tutti si stanno spostando verso la cifratura2) si è spesa una quantità mostruosa di denaro per riuscire a spiare i cittadini, ovviamente senza chiedere la loro opinione3) i delinquenti che cifravano tutto una volta erano mosche bianche: si potevano riconoscere perché avevano il traffico criptato. Oggi cifrare è una moda. Quindi i terrosti/pedofili/ecc. sono stati AVVANTAGGIATI4) e tutto con la consueta scusa del Bin Laden e le 3 (tre) torri buttate giù con 2 (due) aerei (cercate pure "WTC7" per vedere il crollo della terza)Ma qualcuno si prenderà mai la responsabilità di questo epic fail amministrativo?
    • opensorcio scrive:
      Re: La battaglia si sta spostando...
      - Scritto da: xx tt
      ...sulla EULA.

      Le funzionalità che il mercato richiede sono
      sempre le stesse: che sia open, che sia criptato
      end-to-end, che sia gratis (anche con
      pubblicità).

      La differenza la faranno le garanzie legali, come
      ad es. se il produttore risponde in tribunale in
      un Paese civile. Oppure che l'azienda non possa
      divulgare nulla anche
      volendo.Errato zs la crittografia è end to end e è open non hai bisogno di alcuna ulteriore garanzia.Fine dei giochi.
  • Daniele scrive:
    Signal by Open Whisper Systems
    Come ho già indicato altre volte, se volete serietà e opensource usate Signal ( https://whispersystems.org/ ).Parole di Edward Snowden: "Use anything by Open Whisper Systems.
  • opensorcio scrive:
    e in più
    come è indispensabile che sia perchè l'encryption sia credibile......è Opensource... :D :) :)
  • bye scrive:
    TELEGRAM
    "...strumenti come Skype, Facebook Messenger e WhatsApp..." si parla solo di queste. E di Telegram? vi siete scordati? Ha chat segrete che si autodistruggono a tempo...
Chiudi i commenti