Alfonso Maruccia

Tor, l'analisi del traffico che smaschera gli anonimi

Ricercatori sostengono che sia possibile scoprire la reale identità degli utenti Tor analizzando il traffico di rete, con una percentuale di successo altissima. Idee non nuove e difficili da sfruttare nella pratica, rassicurano da Tor

Roma - Uno studio congiunto realizzato da ricercatori di due istituti universitari americani (Columbia University, New York e Stevens Institute of Technology, Hoboken) e della Sapienza di Roma sostiene che il "segreto" per smascherare gli utenti di Tor si nasconde nell'analisi del traffico di rete, una pratica che con le attuali dimensioni del network sarebbe improba ma che può essere condotta (con approssimazioni accettabili) anche con strumenti già disponibili.

I ricercatori hanno sfruttato una delle caratteristiche fondamentali della rete a cipolla, vale a dire il meccanismo di preservazione delle caratteristiche dei pacchetti dati utili a garantire una latenza di trasmissione più bassa, per identificare modelli di traffico simili correlando connessioni di rete senza apparente collegamento diretto.

La capacità attuale delle reti telematiche rende questo genere di attacchi impossibile da mettere in pratica, spiega lo studio, ma strumenti di monitoraggio del traffico come NetFlow (Cisco) possono essere impiegati per lo stesso scopo con un livello di accuratezza inferiore.
Anche usando tool di monitoraggio come NetFlow, dicono i ricercatori, è stato possibile testare il metodo di analisi su un relay pubblico di Tor per identificare il 100 per 100 delle fonti "anonime" dei PC presenti in laboratorio, mentre nei test basati su situazioni reali l'accuratezza delle identificazioni è scesa all'81,4 per cento e i falsi positivi sono risultati essere il 6,4 per cento.

Tor è fondamentalmente insicuro? Gli sviluppatori della rete a cipolla gettano acqua sul fuoco, apprezzano il nuovo studio ma spiegano che si tratta di questioni non nuove e che per raggiungere livelli di accuratezza accettabili un attaccante dovrebbe controllare buona parte della rete Internet.

La rete a cipolla ha certamente i suoi problemi, e non bastassero le insicurezze del network ci si mettono anche i cracker prezzolati del governo russo a impostare un nodo di uscita compromesso capace di modificare tutti i file eseguibili aggiungendovi codice malevolo: l'attacco identificato come OnionDuke è l'ennesimo esempio di minacce nascoste all'interno (o ai bordi, come in questo caso) di Tor ed è strettamente imparentato con l'operazione MiniDuke almeno per quanto riguarda l'infrastruttura di base.

Alfonso Maruccia
Notizie collegate
  • SicurezzaMiniDuke, vecchia scuola per nuove minacceKaspersky pubblica i dettagli (parziali) di un nuovo pericolo informatico, un malware che ingloba tecniche di programmazione divenute celebri nel passato ma è ben calato nel presente. E attacca governi, istituzioni, ONG
  • SicurezzaOperation Onymous, le insicurezze di TorGli sviluppatori del network a cipolla si interrogano riguardo ai recenti "attacchi" delle autorità USA e UE contro i servizi nascosti nella darknet, una questione che solleva dubbi e incertezze non da poco
32 Commenti alla Notizia Tor, l'analisi del traffico che smaschera gli anonimi
Ordina
  • Come qui ha già scritto qualcuno, è la solita non-notizia pompata dagli Stati Spioni per fare allarmismo ed indurre gli ingenui a NON usare uno dei pochi sistemi che veramente li difendono dall'invadenza degli Inquisitori di Stato (e che fa venire i capelli bianchi perfino alla NSA, come ha rivelato Snowden).

    Innanzitutto è da vedere quanto questo studio sia attendibile, ovvero quanto bene replica un attacco applicabile al "mondo reale" (ho fortissimi dubbi, perchè l'unico modo di replicarlo sarebbe di controllare una gran parte di internet!).
    Sembra quindi soprattutto una simulazione teorica e di laboratorio, oltretutto fatta da indiani (non il massimo come informatici, nonostante decenni di incredibile propaganda su quanto sarebbero "bravi" ....).

    Ancora più importante, queste tecniche "a correlazione statistica" (note da anni) hanno un grado di incertezza che le rende del tutto INUTILIZZABILI in tribunale.
    Anche se si riuscisse davvero (ed è tutto da verificare) ad avere "solo" un 20 per cento di incertezza più "solo" un 6% di falsi positivi ciò non potrebbe costituire una prova da portare in aula.

    Inoltre: un IP identifica una connessione internet, quasi mai una PERSONA (per esempio, basta la possibilità di una violazione del wi-fi del titolare della connessione per invalidare la "prova", pure se ci fosse il 100% di certezza sull'identificazione dell'IP). La cosa più importante, a questo punto, è difendere la privacy dei propri archivi con la crittografia forte (vedi TrueCrypt), pulire le tracce di navigazione e dei dispositivi USB connessi, tenere disattivate le cache e i file di swap, possibilmente fare le operazioni critiche dentro a macchine virtuali criptate ecc.
    Tutte queste cose sono ancora più importanti che l'anonimato dell'IP e difendono il cittadino se il suo IP viene de-anonimizzato.

    Infine, date le grandi risorse necessarie per applicare tali tecniche al mondo reale, se sono usate lo saranno solo da NSA, GCHQ e simili, che difficilmente andranno dietro ai "peccatucci" di un singolo cittadino ma le useranno per individuare terroristi ecc.
    Per cui, perfino SE fossero usabili in pratica un NORMALE CITTADINO che non mette in pericolo la sicurezza di uno Stato può stare tranquillo: non verranno a cercare lui, con questi mezzi!
    Mentre se NON usa Tor sarà alla mercè di CHIUNQUE, anche del più scalcinato poliziotto di quartiere!

    Conclusione: USATE TOR (e pure TrueCrypt ed altri mezzi di difesa) e non fatevi fregare da chi sparge FUD (e ce ne sono tanti anche tra chi commenta nei forum, compreso questo).
    non+autenticato
  • ...resta il sistema migliore. Una volta entrato nel PC del "furbo" chiama casa fornendo i dati necessari alla sua individuazione.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > ...resta il sistema migliore. Una volta entrato
    > nel PC del "furbo" chiama casa fornendo i dati
    > necessari alla sua
    > individuazione.

    Tipo quello che c'è nei Mac messo da Apple sotto pressione delle agenzie govertive di uno stato che non è il tuo?
    In effetti pari funzioni!
    non+autenticato
  • se usa un mac non ci sta manco bisogno del troyan
    non+autenticato
  • più i falsi positivi sono bassi peggio è per chi viene coinvolto ma è innocente.
    non+autenticato
  • - Scritto da: regu no baka
    > più i falsi positivi sono bassi peggio è per
    > chi viene coinvolto ma è innocente.

    Ma quali falsi positivi se questa tecnica nel mondo reale non è utilizzabile ?
    non+autenticato
  • - Scritto da: Nome

    > Ma quali falsi positivi se questa tecnica nel
    > mondo reale non è utilizzabile
    > ?


    Incredibile quanto la gente sia disposta a mettere la testa sotto terra quando si parla di TOR: "un attaccante dovrebbe controllare buona parte della rete Internet."?
    Cisco è in questa posizione e garantisce le backdoor dei propri router alla national spy association.
    non+autenticato
  • - Scritto da: regu no baka
    > - Scritto da: Nome

    > > Ma quali falsi positivi se questa tecnica nel
    > > mondo reale non è utilizzabile ?

    > Incredibile quanto la gente sia disposta a
    > mettere la testa sotto terra quando si parla di
    > TOR: "un attaccante dovrebbe controllare buona
    > parte della rete Internet."?
    > Cisco è in questa posizione e garantisce le
    > backdoor dei propri router alla national spy
    > association.

    E' incredibile come la "gente", tecnici compresi, pensino che il mondo siano gli USA.

    Ti faccio una domanda, secondo te in Cina e un Russia quali sono le marche di apparecchiature di rete più diffuse ?
    non+autenticato
  • - Scritto da: Nome
    > - Scritto da: regu no baka
    > > - Scritto da: Nome
    >
    > > > Ma quali falsi positivi se questa
    > tecnica
    > nel
    > > > mondo reale non è utilizzabile ?
    >
    > > Incredibile quanto la gente sia disposta a
    > > mettere la testa sotto terra quando si parla
    > di
    > > TOR: "un attaccante dovrebbe controllare
    > buona
    > > parte della rete Internet."?
    > > Cisco è in questa posizione e garantisce le
    > > backdoor dei propri router alla national spy
    > > association.
    >
    > E' incredibile come la "gente", tecnici compresi,
    > pensino che il mondo siano gli
    > USA.
    >
    > Ti faccio una domanda, secondo te in Cina e un
    > Russia quali sono le marche di apparecchiature di
    > rete più diffuse
    > ?
    E secondo te quali NON hanno backdoor?
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: Nome

    > > E' incredibile come la "gente", tecnici
    > > compresi, pensino che il mondo siano gli
    > > USA.

    > > Ti faccio una domanda, secondo te in
    > > Cina e un Russia quali sono le marche di
    > > apparecchiature di rete più diffuse ?

    > E secondo te quali NON hanno backdoor?

    Anche se le hanno qulle russe spiano le comunicazioni russe, quelle cinesi le cinesi... Non c'è un singolo elemento che: "un attaccante dovrebbe controllare buona parte della rete Internet."
    non+autenticato
  • - Scritto da: Cognome

    > Anche se le hanno qulle russe spiano le
    > comunicazioni russe, quelle cinesi le cinesi...


    Il datagate insegna che lo spionaggio serve per impossessarsi delle backdoor altrui.
    E anche in assenza di queste con soli tre hop, le possibilità che ricadano in aree controllate dallo stesso elemento (es. uno in europa, uno in usa ed uno in oceania) sono altissime.
    non+autenticato
  • no, il datagate serve per impossessarsi dei tuoi dati, non delle backdoors, manco le basi oh...
    non+autenticato
  • - Scritto da: caron
    > no, il datagate serve per impossessarsi dei tuoi
    > dati, non delle backdoors, manco le basi
    > oh...

    Ah certo, il numero smisurato di hacker assunti e il numero smisurato di hack creati (per ogni singolo device) ti danno proprio ragione: loro spiano è basta. Non fanno reverse engineering, hack dei firmware e perfino hack diretti per arrivare ai propri scopi. no, no!

    E poi, anche se si limitassero a spiare (E NON LO FANNO) credi che non spierebbero con particolare impegno chi lavora nell'hardware, nel firmware e nel software di aziende che lavorano nella comunicazione?
    non+autenticato
  • - Scritto da: regu no baka

    > Il datagate insegna che lo spionaggio serve per
    > impossessarsi delle backdoor
    > altrui.

    embè? pure se controllano il 10% dei router backdoorati dai cinesi, hanno sempre pochissime possibilità di poter controllare il relaying dei tuoi pacchetti

    > E anche in assenza di queste con soli tre hop, le
    > possibilità che ricadano in aree controllate
    > dallo stesso elemento (es. uno in europa, uno in
    > usa ed uno in oceania) sono
    > altissime.

    vedi sopra

    non basta avere una manciata di router sotto controllo, c'è bisogno di averne un buon 90%

    e comunque l'esperimento fatto funziona perchè:

    1. l'attaccante controlla ANCHE un exit node
    2. l'attaccante controlla ANCHE un node single-hop ( i single-hop vengono evitati dal client TOR, a meno che non venga configurato appositamente )

    questa è un non notizia, basata su una non ricerca, con l'unico scopo ( da parte del governo USA ) di fare terrorismo mediatico
    non+autenticato
  • - Scritto da: rambollo

    > embè? pure se controllano il 10% dei router
    > backdoorati dai cinesi, hanno sempre pochissime
    > possibilità di poter controllare il relaying dei
    > tuoi
    > pacchetti

    Tor usa solo tre hop, o sbaglio?
    Se cadono per caso in europa, USA o Oceania quella comunicazione è totalmente deanonimizzabile.
    Anche su Africa e paesi 'colonizzati' del medioriente ci sono buone possibilità che sia tutto sotto controllo degli stessi.
    non+autenticato
  • Alla faccia di quelli che lo esaltano anche Tor non é sicuro al 100%.

    CVD!
    non+autenticato
  • - Scritto da: qualcuno
    > Alla faccia di quelli che lo esaltano anche Tor
    > non é sicuro al 100%.
    >
    > CVD!

    Ma l'articolo l'hai letto ?
    non+autenticato
  • ahhahaha non hai capito un razzo di quel che c'è scrittoA bocca apertaDDDDDD
    non+autenticato