Alfonso Maruccia

Tor al centro di un cracking eccellente

Scompiglio in certi ambienti istituzionali per l'iniziativa di un esperto di sicurezza, che ha catturato le credenziali di accesso ad ambasciate di tutto il mondo. Sfruttando Tor. Ma la colpa non è di Tor

Roma - Tor, il "network della cipolla" tanto apprezzato per le sue capacità di rendere invisibili durante la permanenza in Rete, è ora considerato un'arma a doppio taglio, perché può essere utilizzato come strumento di cracking e furto di informazioni sensibili. Sparge ombre su questi aspetti dell'apprezzata tecnologia PET (Privacy Enhancing Technologies) Dan Egerstad, consulente di sicurezza svedese finito nella bufera per la decisione di pubblicare i dati di accesso di migliaia di indirizzi email, inclusi quelli appartenenti ad almeno 100 ambasciate straniere.

Il caso è esploso alla fine di agosto quando Egerstad ha pubblicato sul suo weblog Deranged Security la lista incriminata: le credenziali comprendono il gotha della rappresentanza diplomatica mondiale, incluse nazioni come Russia, India, Giappone, Iran e via di questo passo. L'esperto giustifica la distribuzione della lista con l'impossibilità di venire ascoltato da istituzioni che, nella migliore delle ipotesi, lo avrebbero tacciato di essere un "hacker" con intenti criminali da denunciare alle autorità.

All'inizio Engerstad non ha rivelato particolari dettagli sulle modalità di raccolta dei dati sensibili, tranne che erano bastati 10 minuti e un metodo di lavoro che "qualunque script kiddie" avrebbe potuto usare o stava probabilmente già usando per fare il suo personale "raccolto" di ID riservati. I dettagli sull'azione sono arrivati solo adesso, e hanno appunto rivelato che al centro della breccia nella sicurezza delle ambasciate c'è il network di Tor.
Il consulente ha usato cinque nodi di uscita della rete anonimizzatrice presenti in diverse parti del mondo, equipaggiati con software per il controllo dei pacchetti di dati focalizzati sul traffico email (POP3 e IMAP) con uno specifico filtro basato su chiavi di accesso. Il packet-sniffer ha quindi rintracciato tutto il traffico "interessante" contenente al suo interno parole quali "gov, government, embassy, military, war, terrorism, passport, visa".

Il risultato, come lo stesso esperto rivela, è stato sconcertante: i responsabili della sicurezza dei network governativi hanno consigliato ai dipendenti delle ambasciate di usare Tor per le proprie comunicazioni, incuranti del fatto che gli "onion router" permettono sì di rendere il traffico anonimo, ma soltanto all'uscita dal network stesso. I nodi in uscita del percorso dei pacchetti possono leggere ogni singolo bit di informazioni prima di immetterlo in rete, ed è esattamente quanto avvenuto con i router controllati da Engerstad. Oltre alle ambasciate, tra le istituzioni colpite segnaliamo anche Visa, società di intermediazione finanziaria che non ha certo bisogno di presentazioni.

Dunque Tor è il responsabile di questa gravissima falla nella sicurezza delle istituzioni diplomatiche nel mondo? No, "Tor non è il problema - suggerisce Engerstad - ma va usato solo per quello che è stato progettato", ovvero il rafforzamento della privacy durante la navigazione web, l'oscuramento delle proprie tracce in rete, insomma tutto ma non certo la comunicazione di dati sensibili. I veri responsabili del disastro sono gli amministratori dei reparti IT delle ambasciate, denuncia l'esperto, la cui "assoluta stupidità senza possibilità di perdono" ha permesso la diffusione dei segreti dei propri rispettivi paesi agli stranieri.

Engerstad - la cui iniziativa di "outing" sulla sconcertante in-sicurezza di istituzioni che si tende generalmente a considerare dei sancta sanctorum tecnologici gli ha provocato certamente notorietà ma anche un bel po' di grattacapi con il suo provider web e soprattutto con i cento governi che vorrebbero sbatterlo in prigione per crimini telematici - sottolinea poi come i nodi di Tor pensati per gestire il traffico in uscita dalla "cipolla" siano circa 1000 a parte i cinque da lui controllati per l'esperimento.

Ognuno di questi mille server è teoricamente in grado di leggere eventuali informazioni riservate alla stessa maniera con cui lo svedese ha catturato gli account compromessi. Tra questi, Engerstad ha individuato nodi chiamati "devilhacker", "hackershaven", nodi dedicati espressamente a Tor gestiti dalla stessa società/persona di Washington D.C., ognuno dei quali controlla 5-10 Terabyte di dati ogni mese.

E non finisce qui: non mancherebbero nodi controllati dall'agenzia spaziale russa, da noti criminali telematici, da un gruppo illegale di cracker, dal Ministero dell'Educazione di Taiwan, dalla Cina, da varie istituzioni controllate dai governi di Russia e USA e via di questo passo. Il consulente non traccia conclusioni particolari dalla vicenda, lasciando le dovute considerazioni al lettore. "Tutti i dati e i dischi fissi su ogni nodo - conclude ironicamente il weblog Deranged - sono andati distrutti ed io ho in qualche modo dimenticato ogni cosa".

Alfonso Maruccia
71 Commenti alla Notizia Tor al centro di un cracking eccellente
Ordina
  • bravi quelli li, assumono sistemisti extra padani delocalizzano in posti dove neppure parlano inglese e poi dicono che non vanno le cose

    gli sta bene a chi delocalizza e ruba posti di lavoro prima ai padani e poi agli itagliani
    non+autenticato
  • -_-' torna a zappare la terra Fritz.
    non+autenticato
  • > gli sta bene a chi delocalizza e ruba posti di
    > lavoro prima ai padani e poi agli
    > itagliani

    Ma impara l'italiano (o come dici tu l'itagliano) prima.....
    non+autenticato
  • Lo penso da qualche tempo, avendone puntuali riscontri...

    Gli articoli sono tutti copiati (spesso interi pezzi tradotti) da siti di info IT mainstream, tipo Digg, Wired, The Register....

    Questo di oggi per esempio è copiato da http://www.theregister.co.uk/2007/09/10/misuse_of_.../
    che, vostra sfortuna, avevo letto ieri....

    Ma dico perchè non mettere il link all'originale?
    non+autenticato
  • scusate, un errorino nel segnalare il link....

    questo, che anche avevo letto ieri, va molto meglio....

    http://www.wired.com/politics/security/news/2007/0...
    non+autenticato
  • - Scritto da: io lettore
    > Lo penso da qualche tempo, avendone puntuali
    > riscontri...
    >
    > Gli articoli sono tutti copiati (spesso interi
    > pezzi tradotti) da siti di info IT mainstream,
    > tipo Digg, Wired, The
    > Register....
    >
    > Questo di oggi per esempio è copiato da
    > http://www.theregister.co.uk/2007/09/10/misuse_of_
    > che, vostra sfortuna, avevo letto ieri....
    >
    > Ma dico perchè non mettere il link all'originale?

    E The Register da chi l'ha copiato? Come mai non sollevi la stessa questione quando Studio Aperto copia da TG2 che a sua volta copia da Rete4 che a sua volta copia da ...

    Considera inoltre che molte persone non conoscono la lingua inglese.

    Cosa intendi poi per "copiare"? Prendere spunto da un altro articolo per farne uno proprio è copiare? Dovrebbero forse inventarsi i fatti per non "copiare" da altri le notizie?
  • non si tratta di prendere spunto, cosa per altro lecita... ne contesto il fatto di riportare la notizia in italiano per chi non conosce l'inglese (anche se, chi vuole lavorare nel campo IT non dovrebbe essere completamente digiuno)

    troppo spesso gli articoli sono identici, delle vere e proprie traduzioni.... e allora dico: PERCHE' NON CITARE LA FONTE???????
    non+autenticato
  • - Scritto da: io lettore
    > non si tratta di prendere spunto, cosa per altro
    > lecita... ne contesto il fatto di riportare la
    > notizia in italiano per chi non conosce l'inglese
    > (anche se, chi vuole lavorare nel campo IT non
    > dovrebbe essere completamente
    > digiuno)

    Punto Informatico non si rivolge solo ai professionisti IT. Se lo facesse allora dovrebbe trattare, in gran parte, articoli tecnici.
    Punto Informatico si rivolge un po' a tutti, quindi ci troverai articoli tecnici ma anche articoli comprensibili da tutti (o quasi, ovvio che per l'argomento trattato non tutti comprenderanno quello che si dice).
    Infatti spesso trovi riferimenti ad articoli di PI su google-news in prima pagina o riferimenti in altre riviste più generiche.

    Che sia una vergogna non conoscere l'inglese oggi sono d'accordo, ma ci sono molte persone interessate alla tecnologia che, anche non per colpa loro (io alle medie per esempio ho fatto tedesco), non conoscono l'inglese e non hanno tempo o voglia per mettersi lì a studiare una lingua che, bene o male, nella loro vita influisce poco.

    PI, per queste persone, fa quindi da intermediario e permette loro di conoscere fatti che, altrimenti, non potrebbero conoscere perché trattati solo in inglese.

    > troppo spesso gli articoli sono identici, delle
    > vere e proprie traduzioni.... e allora dico:
    > PERCHE' NON CITARE LA
    > FONTE???????

    Mah, non mi pare che questo articolo sia una traduzione dell'articolo su Wired che hai lincato. Visto che i fatti bene o male sono quelli è anche comprensibile che bene o male tutti gli articoli che ne parlano siano in linea generale simili.
  • Certo che voi troll siete sempre all'erta... basta che dimentichi di segnalare il link di una delle fonti del pezzo e subito state li a gridare alla copia...

    Per inciso, la maggior parte del materiale usato per la stesura deriva dal weblog di Deranged, per tua informazione personale, ed il suddetto weblog è citato, mi pare....
    -----------------------------------------------------------
    Modificato dall' autore il 11 settembre 2007 14.59
    -----------------------------------------------------------
  • Se uno fa una critica non e' necessariamente un troll. Troppo comodo Sorride
    non+autenticato
  • "articoli copiati" non è proprio una critica, a me le critiche piacciono perché mi spronano a rispondere. L'impostazione in questo caso sembra molto diversa, e non mi invoglia esattamente in tal senso...
  • si si certo... troll... basta che uno dice una cosa che non ti piace ed è un troll....

    una cosa a tuo vantaggio pero la dico: almeno non mi avete cancellato il commento, cosa gia successa la settimana scorsa (non ad un mio commento per la verità, ma ad uno che sosteneva piu o meno questa mia tesi)

    sappi solo, e chiudo, che se uno fa delle critiche non è solo perchè non ha altro da fare. Prova a trarne dei benefici, interrogati se magari non c'è un fondo di verità nelle mie parole...

    SET MODE IRONY ON

    vabbè, mi vado a leggere un po' DIGG ed altri così so già cosa troverò domani su PI
    non+autenticato
  • - Scritto da: io lettore
    >
    > vabbè, mi vado a leggere un po' DIGG ed altri
    > così so già cosa troverò domani su
    > PI

    Se è DIGG, sarà qualcosa tipo "OMG Bush shit on my dog 'cuz it's an athiest WTF LINUZ RULEZ the PS3 SUX L33T DUDE".A bocca aperta
    non+autenticato
  • Le critiche di solito non cominciano dando del ladro ad una persona Occhiolino
  • Come fanno i governi e vista ad avere server pop3/imap/smtp SENZA ssl?
    Ma caxxo è l'ABC della sicurezza -.-' Ma dove gli trovano gli IT manager? Nell'happy meal?
  • AHAHAHAHAH! Ho bisogno di IT Manager....si va da McDonalds? A bocca aperta
    non+autenticato
  • e il bello che lo hanno vuluto loro

    fantastico si vedono già i risultati

    I veri responsabili del disastro sono gli amministratori dei reparti IT delle ambasciate, denuncia l'esperto, la cui "assoluta stupidità senza possibilità di perdono" ha permesso la diffusione dei segreti dei propri rispettivi paesi agli stranieri.

    :D
    non+autenticato
  • Ecco cosa significa assumere i soliti cacciavitari come sistemisti, e forse, della cattiva idea di produrre finestre anche per sistemi di produzione quali server.
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)