Alfonso Maruccia

FBI, cimici per Tor

Il bureau statunitense farebbe uso da tempo di malware progettato per infettare gli utenti di Tor, metterli sotto controllo e superare il layer di anonimato garantito dal network a cipolla

FBI, cimici per TorRoma - L'FBI ha a disposizione un malware personalizzato con cui infettare e identificare gli utenti di Tor, una pratica già adottata da tempo e che non guarda in faccia a nessuno mettendo sotto controllo i colpevoli come gli innocenti.

La "pratica" dell'agenzia USA di mettere "cimici" sotto forma di malware sui PC degli utenti, decritta nei dettagli da un articolo di Wired, sarebbe emersa in seguito agli eventi di Pedoboard, piattaforma contenente materiale pedopornografico (con tre hub di distribuzione) riconducibile a tale Aaron McGrath e chiusa anni fa.

Oltre a mettere offline Pedoboard, però, l'FBI sarebbe andata oltre installando il proprio codice malevolo sulla piattaforma, così da infettare qualunque utente passasse da quelle parti. I visitatori venivano avvertiti di essere sotto controllo con 30 giorni di ritardo, tempo che è servito all'agenzia per perquisire 25 sospetti e montare casi contro 14 soggetti.
Il caso Pedoboard ricorda quello - cronologicamente successivo - del clamoroso sequestro di Silk Road, sollevando comprensibilmente interrogativi sulle azioni dell'FBI, il tecnocontrollo degli innocenti e la dubbia legalità degli avvisi ritardati che annunciano il monitoraggio - in alcuni casi arrivati a un anno di distanza dall'infezione, denunciano i legali degli utenti coinvolti.

A non essere in dubbio, a questo punto, è la centralità di Tor nelle indagini delle autorità statunitensi contro le attività criminali, una centralità che nelle cronache recenti prende la forma di bug di sicurezza ancora avvolti nell'ombra a capaci di "deanonimizzare" gli utenti, o di taglie monetarie promesse da paesi come la Russia a chi riuscisse a fornire nuovi metodi di decriptazione del traffico a cipolla.

Alfonso Maruccia
Notizie collegate
  • AttualitàSilk Road, crolla l'impero del deep webI federali statunitensi sequestrano la popolare piattaforma Tor per la compravendita di droghe e beni illegali. Arrestato il giovane gestore Ross Ulbricht, accusato anche di aver commissionato un omicidio
  • SicurezzaTor, gli incidenti della cipollaGli sviluppatori avvertono: qualcuno ci ha attaccato. Sappiamo quando, ma non sappiamo chi. Si spera si tratti della ricerca di Alexander Volynkin, cassata al prossimo BlackHat
37 Commenti alla Notizia FBI, cimici per Tor
Ordina
  • Non vorrei apparire un sottovalutatore dei pericoli (non lo sono affatto, ogni attacco deanonimizzante su Tor va attentamente considerato, per evitare di ripetere certi errori), però le informazioni raccolte dall'FBI con questi metodi, secondo Wired (ovvero MAC address, hostname ed IP address), possono essere abbastanza facilmente invalidate a fini processuali, SE l'utente applica alcuni accorgimenti.

    Se l'utente usa Tor, invece che direttamente sul suo PC, da una MACCHINA VIRTUALE CRIPTATA e che non contiene alcuna informazione deanonimizzante (compresi ovviamente file personali, emails ecc.), le cose che l'FBI (o chiunque altro) potrebbe trovare con un tale trojan sono:

    - il MAC address della macchina virtuale, introvabile perchè criptata, e NON quello del PC. Il MAC address di una VM viene generalmente generato automaticamente al boot della VM ma è modificabile dall'utente, che dovrà solo preoccuparsi di non averne uno identico in una macchina virtuale visibile sul PC, impostandolo fisso nella configurazione (che anch'essa sta nel file criptato e quindi è invisibile dachi esamini il PC fisico).

    - l'hostname della macchina virtuale (e NON quello del PC), hstname che ovviamente dovrà essere "anonimo", tipo "H74BR", e non "PC-di-Mario-Rossi" se l'utente è Mario Rossi, e pure ben diverso da quello del PC fisico.

    E' naturalmente possibile, IN TEORIA, che un trojan molto sofisticato possa trovare una falla nel sistema di macchine virtuali per passare dal sistema guest (VM) a quello host (PC fisico).
    Questo però richiede un software ben più complicato, oltre a richiedere un exploit esistente e non già patchato, e non mi fascerei la testa in anticipo.

    Cosa resta di critico tra le informazioni raccolte?
    Resta:
    - l'IP address reale, che il trojan rivela riuscendo ad uscire dalla rete Tor: questa è ovviamente la "prova regina", si pensa di solito. E invece no! Perchè (come certamente ben sanno i lettori attenti di PI), un IP address identifica una connessione e non una persona. Basta la classica motivazione "devono essere entrati dentro al mio wi-fi ed hanno fatto quelle cose" per invalidare l'IP, da solo, come prova decisiva in tribunale. E non è neanche una scusa peregrina, dato che la violazione del wi-fi altrui è tuttora uno "sport" molto diffuso (per inciso: la legge non obbliga a proteggere il proprio wi-fi o ad usare una password forte, e neppure è reato violare un wi-fi altrui che sia proprio non protetto).
    La cosa davvero importante è non farsi trovare archivi "critici" sul PC, ovvero, vale la pena ribadire: la crittografia forte è ancora più importante della navigazione anonima.
    Se la navigazione viene de-anonimizzata è un problema ma ci si può tirare fuori. Se invece vengono trovati archivi sul PC, non c'è praticamente giustificazione che tenga.

    Per evitare comunque anche il problema della deanonimizzazione dell'IP bisognerebbe usare sistemi come Whonix che, oltre a basarsi sulle macchine virtuali, impediscono ogni leak che cerchi di uscire dalla rete Tor.
    Mi auguro che vengano ulteriormente sviluppati e resi più semplici da usare in modo che si possano diffondere (oggi Whonix è quasi una cosa da Linux-nerd, certo oltre le capacità dell'utente medio).


    Considerazioni finali sulle cose scritte da Wired:

    - di solito questi attacchi sfruttano la combinazione tra dabbenaggine degli utenti Tor e dabbenaggine di chi gestisce lo hidden service.
    Poi ci sono sicuramente pure hidden services "civetta", gestiti da FBI e simili, ce n'è addirittura almeno uno che "per consentire di iscriversi al forum" chiede agli utenti di scaricare un software sul PC e farlo eseguire "per creare un identificativo univoco che evita l'uso di captcha"!!!
    E' chiaro che se uno è così tonto da cascarci, se lo merita ...

    - non so quanto fosse frequentato quel sito, ma raccogliere dati su 25 utenti in due settimane non mi sembra granchè come numero (non mi sarei stupito di sentire di qualche centinaia), il che farebbe pensare che la "trappola" fosse efficace solo a certe condizioni (magari è simile al caso noto di Freedom Hosting, exploit già patchato ma utenti che andavano, autolesionisticamente, con Tor obsoleto e Javascript abilitato).

    - con un numero così limitato di "successi" (meno di una classica operazione contro il pedoporno via P2P fatta dalla Postale italiana, senza alcun bisogno di trojan!), l'operazione sembra tanto la solita operazione-vetrina per spargere FUD contro Tor, perseguendo appositamente un reato generalmente ritenuto "odioso" e che quindi tende a far passare in secondo piano gli aspetti di liceità di quel modo di fare, come sottolineato da quegli avvocati USA.
    non+autenticato
  • - Scritto da: noncifanno unbaffo
    > Non vorrei apparire un sottovalutatore dei
    > pericoli (non lo sono affatto, ogni attacco
    > deanonimizzante su Tor va attentamente
    > considerato, per evitare di ripetere certi
    > errori), però le informazioni raccolte dall'FBI
    > con questi metodi, secondo Wired (ovvero MAC
    > address, hostname ed IP address), possono essere
    > abbastanza facilmente invalidate a fini
    > processuali, SE l'utente applica alcuni
    > accorgimenti.
    >
    > Se l'utente usa Tor, invece che direttamente sul
    > suo PC, da una MACCHINA VIRTUALE CRIPTATA e che
    > non contiene alcuna informazione deanonimizzante
    > (compresi ovviamente file personali, emails
    > ecc.), le cose che l'FBI (o chiunque altro)
    > potrebbe trovare con un tale trojan
    > sono:
    >
    > - il MAC address della macchina virtuale,
    > introvabile perchè criptata, e NON quello del PC.
    > Il MAC address di una VM viene generalmente
    > generato automaticamente al boot della VM ma è
    > modificabile dall'utente, che dovrà solo
    > preoccuparsi di non averne uno identico in una
    > macchina virtuale visibile sul PC, impostandolo
    > fisso nella configurazione (che anch'essa sta nel
    > file criptato e quindi è invisibile dachi esamini
    > il PC
    > fisico).
    >
    > - l'hostname della macchina virtuale (e NON
    > quello del PC), hstname che ovviamente dovrà
    > essere "anonimo", tipo "H74BR", e non
    > "PC-di-Mario-Rossi" se l'utente è Mario Rossi, e
    > pure ben diverso da quello del PC
    > fisico.
    >
    > E' naturalmente possibile, IN TEORIA, che un
    > trojan molto sofisticato possa trovare una falla
    > nel sistema di macchine virtuali per passare dal
    > sistema guest (VM) a quello host (PC
    > fisico).
    > Questo però richiede un software ben più
    > complicato, oltre a richiedere un exploit
    > esistente e non già patchato, e non mi fascerei
    > la testa in
    > anticipo.
    >
    > Cosa resta di critico tra le informazioni
    > raccolte?
    > Resta:
    > - l'IP address reale, che il trojan rivela
    > riuscendo ad uscire dalla rete Tor: questa è
    > ovviamente la "prova regina", si pensa di solito.
    > E invece no! Perchè (come certamente ben sanno i
    > lettori attenti di PI), un IP address identifica
    > una connessione e non una persona. Basta la
    > classica motivazione "devono essere entrati
    > dentro al mio wi-fi ed hanno fatto quelle cose"
    > per invalidare l'IP, da solo, come prova decisiva
    > in tribunale. E non è neanche una scusa
    > peregrina, dato che la violazione del wi-fi
    > altrui è tuttora uno "sport" molto diffuso (per
    > inciso: la legge non obbliga a proteggere il
    > proprio wi-fi o ad usare una password forte, e
    > neppure è reato violare un wi-fi altrui che sia
    > proprio non protetto).
    >
    > La cosa davvero importante è non farsi trovare
    > archivi "critici" sul PC, ovvero, vale la pena
    > ribadire: la crittografia forte è ancora più
    > importante della navigazione
    > anonima.
    > Se la navigazione viene de-anonimizzata è un
    > problema ma ci si può tirare fuori. Se invece
    > vengono trovati archivi sul PC, non c'è
    > praticamente giustificazione che
    > tenga.
    >
    > Per evitare comunque anche il problema della
    > deanonimizzazione dell'IP bisognerebbe usare
    > sistemi come Whonix che, oltre a basarsi sulle
    > macchine virtuali, impediscono ogni leak che
    > cerchi di uscire dalla rete Tor.
    >
    > Mi auguro che vengano ulteriormente sviluppati e
    > resi più semplici da usare in modo che si possano
    > diffondere (oggi Whonix è quasi una cosa da
    > Linux-nerd, certo oltre le capacità dell'utente
    > medio).
    >
    >
    > Considerazioni finali sulle cose scritte da
    > Wired:
    >
    >
    > - di solito questi attacchi sfruttano la
    > combinazione tra dabbenaggine degli utenti Tor e
    > dabbenaggine di chi gestisce lo hidden
    > service.
    > Poi ci sono sicuramente pure hidden services
    > "civetta", gestiti da FBI e simili, ce n'è
    > addirittura almeno uno che "per consentire di
    > iscriversi al forum" chiede agli utenti di
    > scaricare un software sul PC e farlo eseguire
    > "per creare un identificativo univoco che evita
    > l'uso di
    > captcha"!!!
    > E' chiaro che se uno è così tonto da cascarci, se
    > lo merita
    > ...
    >
    > - non so quanto fosse frequentato quel sito, ma
    > raccogliere dati su 25 utenti in due settimane
    > non mi sembra granchè come numero (non mi sarei
    > stupito di sentire di qualche centinaia), il che
    > farebbe pensare che la "trappola" fosse efficace
    > solo a certe condizioni (magari è simile al caso
    > noto di Freedom Hosting, exploit già patchato ma
    > utenti che andavano, autolesionisticamente, con
    > Tor obsoleto e Javascript
    > abilitato).
    >
    > - con un numero così limitato di "successi" (meno
    > di una classica operazione contro il pedoporno
    > via P2P fatta dalla Postale italiana, senza alcun
    > bisogno di trojan!), l'operazione sembra tanto la
    > solita operazione-vetrina per spargere FUD contro
    > Tor, perseguendo appositamente un reato
    > generalmente ritenuto "odioso" e che quindi tende
    > a far passare in secondo piano gli aspetti di
    > liceità di quel modo di fare, come sottolineato
    > da quegli avvocati
    > USA.

    non+autenticato
  • - Scritto da: ...

    Commento molto intelligente ed utile!

    Forse sarebbe meglio criticare nel merito, se ci si riesce.
    Evidentemente non è questo il caso.
    non+autenticato
  • mah l'articolo e' un bel frullato di cose diverse... si, le storie hanno in comune che c'e' tor di mezzo, e anche un "nit"... ma nel dettaglio divergono...
    per es l'operazione 'pedoboard' e' diversa da quella freedomhosting (piu' lunga, seria, centrata, meno aggressiva ecc..) e diversa da quella silkroad ecc..
    La pedoboard e' stata 'bevuta' completamente dall'NHTCU dei paesi bassi, per es.. principalmente perche l'admin era una capra ignorante... ed exploit per/su tor non c'entrano nulla. Siccome pero' era hostata in usa e il tizio era meregano, hanno collaborato con gli usa... con tutto lo scartoffiame chiesto ai giudici... ecc ecc. (leggetevi gli affidavid) ..

    Peccato cmq che non spieghino in concreto in cosa consistesse esattamente il nit piazzato sulla 'pedoboard' violata (che ovviamente serviva per tracciare gli users... users che accedevano alla sezione immagini o spedissero/vedessero un msg privato ...). A differenza di quello freedomhosting, che era un vero e proprio exploit per FF con payload win32 che parlava con un server fbi in clearnet, e aveva un "raggio" molto piu ampio... qui farebbe pensare ad altro... (potenzialmente swf, java, altra roba html5.. puo farlo)... vabbe basta elocubrareCon la lingua fuori
    non+autenticato
  • Essendo TOR un servizio legale, perchè l'FBI può cercare di bucare la rete impunemente, mentre se lo fai all'FBI ti danno 10 anni di galera?
    non+autenticato
  • - Scritto da: xander
    > Essendo TOR un servizio legale, perchè l'FBI può
    > cercare di bucare la rete impunemente, mentre se
    > lo fai all'FBI ti danno 10 anni di
    > galera?
    hai presente quegli assembramenti di uomini con la giacca e quella specie di tovagliolo al collo riuniti al palazzo del congresso? si chiamano legislatori...Sorride
    non+autenticato
  • La domanda non mi pareva così peregrina.
    In ogni caso, a mio modo di vedere, è lo stesso motivo per cui gli USA possono esser pieni di bombe nucleari fino alle orecchie, ma se l'Iran ha una centrale che produce plutonio "che si pensa possa venire usato per produrre armi nucleari" succede un finimondo.
    E' una ragione a la marchese del Grillo.
    880
  • > La domanda non mi pareva così peregrina.
    > In ogni caso, a mio modo di vedere, è lo stesso
    > motivo per cui gli USA possono esser pieni di
    > bombe nucleari fino alle orecchie, ma se l'Iran
    > ha una centrale che produce plutonio "che si
    > pensa possa venire usato per produrre armi
    > nucleari" succede un
    > finimondo.
    > E' una ragione a la marchese del Grillo.

    L'Iran nel luglio del 1968 aveva firmato un patto di non proliferazione nucleare, che i suoi vicini di casa, Pakistan e India, si son ben guardati dal sottoscrivere. È l'unico appiglio di diritto internazionale a cui gli Usa e la Nato si possono aggrappare.
    La domanda che si fanno gli studiosi di questioni internazionali è che valore potrà avere oggi una firma apposta da un governo di oltre 40 anni fa, cacciato dagli stessi iraniani e sostituito con uno radicalmente diverso.
    I fatti indicano che le pressioni servono a molto poco. Servono a fare crescere l'odio fuori dall'Iran, ma fanno poca presa fra gli iraniani in Iran e fra i vari governi che si sono succeduti finora.
  • Ciao Legu, forse t'è sfuggita l'ultima riga del mio post.
    880
  • > Ciao Legu, forse t'è sfuggita l'ultima riga del
    > mio
    > post.

    No, perché dovrebbe essermi sfuggita? Io i commenti li leggo per intero.
  • Mah, te la segnalavo, giusto nel caso (improbabile) ti fosse appunto sfuggita, diciamo.
    Era un pò la ragione d'essere del mio post, tutto qui.
    880
  • > Mah, te la segnalavo, giusto nel caso
    > (improbabile) ti fosse appunto sfuggita,
    > diciamo.
    > Era un pò la ragione d'essere del mio post, tutto
    > qui.

    Ti ho spiegato, gli appigli di diritto internazionale ci sono. Gli Usa non possono fare lo stesso, che so, con la Russia, o con l'India, o con la Cina, che quei trattati non li hanno mai sottoscritti. Nel caso della Russia, e degli Usa, va detto che le armi nucleari erano già presenti in abbondanza prima del trattato, quindi non avrebbero avuto applicazione comunque.
    La frase pronunciata da Alberto Sordi non è inedita, una felice invensione degli sceneggiatori, come molti credono: è un sonetto del Belli, scritto quindi prima dell'unificazione italiana:

    http://www.parlandosparlando.com/view.php/id_1313/...
  • Ok, e grazie in ogni caso per la panoramica circa il diritto internazionale in merito alla detenzione/sviluppo di armi nucleari (sempre interessante, lo ammetto).
    Ora prova a fare una join fra questo argomento e la frase pronunciata da Sordi, ed hai il senso del mio post, al di là di leggi e diritti, internazionali o meno che siano.
    880
  • > Ora prova a fare una join fra questo argomento e
    > la frase pronunciata da Sordi, ed hai il senso
    > del mio post, al di là di leggi e diritti,
    > internazionali o meno che
    > siano.

    Dapprima mi soffermo sul termine che hai usato, join , per sottolineare un fenomeno mai sufficientemente studiato quale è l'autocolonialismo culturale. Perché opporsi al mondo angloamericano ed usarne la terminologia e i modi di pensare è come sperare di uccidere le talpe seppellendole vive, o di uccidere i pesci affogandoli.
    Di fatto l'opposizione al modi di fare e di pensare angloamericano potrà venire solo da Cina, Russia, buona parte dei Paesi africani, cioè da un mondo che non è stato bombardato per sessant'anni da telefilm americani, documentari americani, esempi di politica estera americani, alleanze americane... Mai dall'Europa.

    Nel merito: se uno Stato con le sue azioni costituisce una minaccia per i propri vicini, anche solo una minaccia teorica, visto che non ci sono rivendicazioni territoriali o contrasti per minoranze nazionali, chi può intervenire e fare la voce grossa? Esempio: fra gli Stati confinanti con l'Iran c'è l'Armenia: ti aspetti che le pressioni diplomatiche (e non solo) contro l'Iran le attui l'Armenia?
  • - Scritto da: Leguleio
    > Dapprima mi soffermo sul termine che hai usato,
    > join , per sottolineare un
    > fenomeno mai sufficientemente studiato quale è
    > l'autocolonialismo culturale. Perché opporsi al
    > mondo angloamericano ed usarne la terminologia e
    > i modi di pensare è come sperare di uccidere le
    > talpe seppellendole vive, o di uccidere i pesci
    > affogandoli.
    > Di fatto l'opposizione al modi di fare e di
    > pensare angloamericano potrà venire solo da Cina,
    > Russia, buona parte dei Paesi africani, cioè da
    > un mondo che non è stato bombardato per
    > sessant'anni da telefilm americani, documentari
    > americani, esempi di politica estera americani,
    > alleanze americane... Mai dall'Europa.

    A breve mi aspetto un'analisi dei singoli caratteri eh, mi raccomando.
    A margine: mi risulta che la Francia sia piuttosto "allergica" ai termini non nazionali (da qui, peraltro, la difficoltà di scegliere una lingua veramente europea, dato che loro rifiutano per (giusto) principio l'inglese).

    Quindi è ora di svelare l'arcano: uso "join" perchè, come buona parte della gente qui, sono un tecnico: quando voglio dire "metti in connessione A con B" spesso dico "fai una join fra A e B".
    Come ogni tecnico informatico "occidentale", la mia cultura viene dagli USA (anche se, fortunatamente, non s'è fermata lì). Non mi pare che la cosa dia scandalo nè ci sia da meravigliarsi (e tanto meno da scriverci un trattato).

    > Nel merito: se uno Stato con le sue azioni
    > costituisce una minaccia per i propri vicini,
    > anche solo una minaccia teorica, visto che non ci
    > sono rivendicazioni territoriali o contrasti per
    > minoranze nazionali, chi può intervenire e fare
    > la voce grossa? Esempio: fra gli Stati confinanti
    > con l'Iran c'è l'Armenia: ti aspetti che le
    > pressioni diplomatiche (e non solo) contro l'Iran
    > le attui
    > l'Armenia?

    E' con dispiacere che noto il tuo entrare "nel merito" quando il merito è completamente altro: si stava parlando (topic) del diritto statunitense di bucare la rete TOR impunemente, da parte di FBI, mentre se tu buchi la rete FBI ti fai 10 anni di galera.

    Ora la join

    Ho comparato questa cosa al diritto americano di pretendere che altri Stati, nemmeno parte della NATO (quindi senza obblighi verso di loro), non sviluppino armi nucleari QUANDO INVECE LORO (è la Parte Importante) ne hanno sviluppate (e presumibilmente ne sviluppano) a volontà (e, per inciso, ne hanno pure lanciate un paio su città abitate, cosa che nessun altro ha mai fatto... ma ovviamente i "cattivi" sono gli altri).

    Ora... da una persona normale non mi aspetterei un riassunto dei trattati internazionali in merito alla detenzione/sviluppo di armi nucleari, o anche un report sulle modalità di sviluppo delle stesse, oppure una valutazione in profondità sul fatto che io abbia usato una parola non italiana per indicare la "comparazione".

    Quel che mi aspetterei è una valutazione, strettamente personale e probabilmente nemmeno oggettiva, sull'etica dell'argomento (topic) e sull'elemento che ho usato per la comparazione. Ma il focus (e vai pure di trattatello sul latino) è la "comparazione" con, al massimo, qualche divagazione (etica o tecnica, a seconda del tuo taglio preferito) su TOR e dintorni.

    Poi, ovviamente, fai pure come ti pare: ognuno ha il diritto di mostrarsi com'è.
    880
  • E' che se fanno tutto questo dispiegamento di forze e hanno bisogno di un malware (e quindi un software esterno) per tracciare gli utenti di Tor vuol dire che Tor funziona.
  • e con l'ingresso nel gioco delle botnet, gli spioni vanno a farsi friggere, dato l'aumento mostruoso del numero di relay

    bye bye Obummer Rotola dal ridere
    non+autenticato
  • - Scritto da: TADsince1995
    > E' che se fanno tutto questo dispiegamento di
    > forze e hanno bisogno di un malware (e quindi un
    > software esterno) per tracciare gli utenti di Tor
    > vuol dire che Tor
    > funziona.

    Ma anche i malware funzionano, e pure bene. Con la lingua fuori
    non+autenticato
  • le comunicazioni veramente sicure in quest'epoca tecnologica sono solo quelle tramite i pizzini. (che bisogna regolarmente mangiare dopo averli letti)
    non+autenticato
  • - Scritto da: Mario
    > le comunicazioni veramente sicure in quest'epoca
    > tecnologica sono solo quelle tramite i pizzini.
    > (che bisogna regolarmente mangiare dopo averli
    > letti)

    Perchè ricordi un'epoca in cui sia stato diverso ?
    non+autenticato
  • - Scritto da: Mario
    > le comunicazioni veramente sicure in quest'epoca
    > tecnologica sono solo quelle tramite i pizzini.
    > (che bisogna regolarmente mangiare dopo averli
    > letti)


    Straquoto!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)