Alfonso Maruccia

Tor ha il suo dominio ufficiale

Le massime autoritÓ di Internet hanno accolto la proposta di trasformare i domini .onion di Tor in TLD "speciali", uno status che dovrebbe garantire vantaggi sia per gli utenti che per gli operatori dei servizi raggiungibili nella darknet

Tor ha il suo dominio ufficialeRoma - Importante riconoscimento di ufficialità per i domini .onion da parte di IETF (Internet Engineering Task Force) e IANA (Internet Assigned Numbers Authority), organizzazioni di controllo della rete telematica mondiale che hanno deciso di accettare la proposta di trasformare i server nascosti di Tor in domini di primo livello a carattere speciale.

Un indirizzo .onion corrisponde a un servizio accessibile solo all'interno della darknet di Tor, e d'ora in poi i domini corrispondenti verranno trattati dai client Web (e non solo) come i nomi di dominio "speciali" già registrati quali .localhost, .local, .test, .invalid, .example e altri.

La proposta che in buona sostanza legittimizza lo status della darknet più popolare era inizialmente arrivata dal ricercatore di sicurezza Jacob Appelbaum e dall'ingegnere di Facebook Alec Muffett: questo secondo caso rappresenta la continuazione di una politica "permissiva" nei confronti di Tor che il social network in blu ha già adottato l'anno scorso.
Grazie al nuovo status di TLD "speciale", i servizi .onion potranno approfittare di nuove garanzie di sicurezza sia sul fronte remoto che dal punto di vista degli utenti: gli amministratori dei server potranno avere facile accesso ai servizi di fornitura dei certificati crittografici SSL/TLS, mentre gli utenti godranno di un grado di privacy superiore senza la necessità di interrogare i server DNS esterni durante il tentativo di accesso ai servizi "nascosti" di Tor.

Gli ingegneri e le autorità della Rete riconoscono ufficialmente lo status dell'infrastruttura di Tor, ma fuori da Internet la darknet continua a far paura soprattutto negli USA del Datagate: una libreria di Boston aveva deciso di creare un nodo Tor sulla sua rete, ma un paio di telefonate da parte di polizia locale e DHS (Departement of Homeland Security) hanno bloccato il progetto.

Alfonso Maruccia
Notizie collegate
  • TecnologiaFacebook apre le porte a TorIl social network annuncia l'apertura di un nuovo indirizzo accessibile sulla rete a cipolla. Un modo per aggirare i divieti e le censure di alcuni regimi
  • SicurezzaOperation Onymous, le insicurezze di TorGli sviluppatori del network a cipolla si interrogano riguardo ai recenti "attacchi" delle autoritÓ USA e UE contro i servizi nascosti nella darknet, una questione che solleva dubbi e incertezze non da poco
  • SicurezzaTor, gli incidenti della cipollaGli sviluppatori avvertono: qualcuno ci ha attaccato. Sappiamo quando, ma non sappiamo chi. Si spera si tratti della ricerca di Alexander Volynkin, cassata al prossimo BlackHat
16 Commenti alla Notizia Tor ha il suo dominio ufficiale
Ordina
  • E cosa risolverebbe il dominio?
    Marketing? FUD? False speranze?
    Mah!
  • dall'articolo non avevo capito bene che servisse questa stramberia... ma leggendo la m/l...

    (...)
    4) A certificate would permit service providers to remove their anonymity while preserving the anonymity of their clients

    5)     Continued use of certs for .onion is important for companies like Facebook
    (...)

    serve alle AZIENDE che, per qualche motivo, si vogliono far riconoscere/essere trusted, (ANCHE) dentro la darknet.
    Il "ANCHE" e' necessario in quanto il cert viene dato dai soliti, e devi essere autenticabile e pagante "da fuori"

    Cio' ci porta a una bega collaterale, fastidiosa per FB appunto, e cosi' verra' sanata. FB aveva gia' ottenuto un cert per il suo .onion.
    Questo e' "normale" perche' le CA consentono di emettere cert per domain o ip non routabili. "sfortunatamente" cio' e' deprecabile da qualche anno e, pare, verra' proibito a fine anno..... quindi senza questo mod, FB avrebbe avuto problemi...Con la lingua fuori
    (lateral rant: ma perche' diamine uno dovrebbe comprare un certificato verificabile su internet per un TLD inesistente (www.azienda.athome ) che ha senso solo in casa tua? Non potresti mettere una CA in casa e/o generare un selfsigned? RISPOSTA : si potrei, ma e' faticoso gestire i client e i miei utenti-bonobo hanno paura ad accettare i selfcert, allora compro della roba che non-ha-senso su internet, per evitare la fatica)


    Probabilmente cio' generera' anche alcuni strani effetti collaterali "fuori", visto che prima tentare di risolvere un .onion ti veniva sparato un NX DOMAIN... ma ora ..?
    (il link riportato dice una roba UN BEL PO' vaga : "Now, after the IETF and IANA's decision gets implemented in software products, computers will now ignore Web queries to a .onion domain, and forward users directly to their local Tor software without sending a blind DNS query over the Internet." . vedremo. )
    non+autenticato
  • ah beh si beh...
    non+autenticato
  • - Scritto da: ...
    > ah beh si beh...
    problemi di pecorite?
    non+autenticato
  • Quello che c'è scritto in questo articolo è abbastanza fuorviante e a tratti impreciso.

    TOR è in sostanza un PROXY a cui si collega il browser e ultimamente è stato integrato nel browser TOR stesso per cui non è più necessario lanciare Vidalia e compagnia.

    Quando il browser è proxato, ogni richiesta ai DNS passa dal proxy (anche quelle non sulla darknet), altrimenti l'anonimato va a farsi friggere, quindi sono i nodi esterni che fanno le richieste, come è giusto che sia e continuerà ad essere così per fortuna.

    Per quanto riguarda i domini .ONION poi, questi NON SONO MAI USCITI in nessun modo dalla Darknet, anche perché i DNS normali li ignorano, ma sono gestiti internamente e non ci sono nodi di uscita coinvolti.

    Se quindi dite che .onion è stato aggiunto ai domini locali è un bene perchè così usando un .onion da un browser "normale" non proxato, il browser rifiuterà la richiesta, invece di inviare al DNS una richiesta che sarebbe rifiutata ma comunque probabilmente registrata.

    Ma è tutto lì non c'è niente di più di prima riguardo la sicurezza degli utenti che usano propriamente TOR sulla giusta rete.
    non+autenticato
  • ora si potranno dirottare i domini onion sulla clearnet?
    E questo sarebbe più sicuro (certificati a parte)?

    Stessa cosa per localhost: uno mappa le connessioni che non vuole far uscire su localhost, ma questi fanno in modo che un DNS le risolva cosicchè ciò che è privato esce fuori dal PC?

    Avrò capito male io...
    non+autenticato
  • - Scritto da: hhhh
    > ora si potranno dirottare i domini onion sulla
    > clearnet?
    > E questo sarebbe più sicuro (certificati a
    > parte)?
    >
    >
    > Stessa cosa per localhost: uno mappa le
    > connessioni che non vuole far uscire su
    > localhost, ma questi fanno in modo che un DNS le
    > risolva cosicchè ciò che è privato esce fuori dal
    > PC?
    >
    > Avrò capito male io...

    A me PARE DI CAPIRE che la cosa serva affinché i browser considerino i domini .onion "speciali" e NON inviino richieste ai server DNS "normali" per la risoluzione di quegli indirizzi. Questo per evitare che la tua navigazione in TOR lasci questo tipo di tracce (richieste di risoluzione DNS) sulla rete "in chiaro".


    SE ho capito bene... Tieni conto che non so bene come funzioni TOR, non so come venga gestita la risoluzione DNS al suo interno (immagino che ci sia un "client" TOR, che richiamerà dei propri server DNS, ma non lo so)...
    non+autenticato
  • - Scritto da: Ciccio... un altro

    > A me PARE DI CAPIRE che la cosa serva affinché i
    > browser considerino i domini .onion "speciali" e
    > NON inviino richieste ai server DNS "normali" per
    > la risoluzione di quegli indirizzi.

    mhhhh.. è ragionevole, ma suppongo che i browser distribuiti in bundle con TOR siano già modificati per agire così.

    Però se fosse come dici ci sta, perché aumenterebbe la sicurezza delle soluzioni intermedie (browser standard non moddato + tor).
    Mi aspetto comunque un bug in questo giro, che permetterà di far risolvere gli onion al DNS pubblico e sgamare così tutti i navigatori drogati Occhiolino
    non+autenticato
  • - Scritto da: hhhh

    > Mi aspetto comunque un bug in questo giro, che
    > permetterà di far risolvere gli onion al DNS
    > pubblico e sgamare così tutti i navigatori
    > drogati
    >Occhiolino

    Chi lo sa, forse ad ogni richiesta di accesso ad uno di questi domini speciali, il browser farà partire automaticamente una bella email diretta all'FBI (negli ultimi anni si sente parlare sempre di NSA... fatemi citare la cara vecchia FBI che andava di moda nei telefilm degli anni 90). ^_^
    non+autenticato
  • Non è necessaria l'email.
    Ci pensa il gestore dei certificati SSL a registrare sul proprio server tutte le richieste HTTP e a metterle a disposizione delle autorità.
    non+autenticato
  • E mi pare anche giusto che vengano messe a disposizione dell'Autorità.
    Perchè tu cos'hai da nascondere?
    non+autenticato
  • - Scritto da: Fabio Aloisio
    > E mi pare anche giusto che vengano messe a
    > disposizione dell'Autorità.

    in ogni caso non accade così, si usano i certificati locali per validare.
    Se fosse così facile la sicurezza di TOR sarebbe una barzelletta (che poi per me lo è, ma non in modo così ovvio e spudorato).

    > Perchè tu cos'hai da nascondere?

    io niente, infatti vivo in una casa con pareti trasparenti.
    non+autenticato
  • - Scritto da: hhhh
    > - Scritto da: Fabio Aloisio
    > > E mi pare anche giusto che vengano messe a
    > > disposizione dell'Autorità.
    >
    > in ogni caso non accade così, si usano i
    > certificati locali per
    > validare.
    > Se fosse così facile la sicurezza di TOR sarebbe
    > una barzelletta (che poi per me lo è, ma non in
    > modo così ovvio e
    > spudorato).


    Allo stato attuale non risulta che il PROTOCOLLO usato da Tor sia mai stato bucato. TUTTI i casi di indagini su Tor (silkroad 1&2, ecc...) si basavano o su utenti che lasciavano attivo javascript, oppure falle nel browser (e non in Tor), oppure ancora errate configurazioni dei webservers su cui girava l'onion service, o ancora le buone vecchie indagini sui trasporti fisici delle merci illegali vendute tramite Tor.

    Non c'è una sola indagine in cui sia stata documentato l'uso di una falla in Tor in quanto tale.
    non+autenticato
  • - Scritto da: Fabio Aloisio
    > E mi pare anche giusto che vengano messe a
    > disposizione dell'Autorità.
    >
    > Perchè tu cos'hai da nascondere?

    eh no, o ti firmi "nome e cognome", "Voice of Raison" o io a questo gioco non ci sto'!
    non+autenticato
  • - Scritto da: Ciccio... un altro
    > - Scritto da: hhhh
    >
    > > Mi aspetto comunque un bug in questo giro, che
    > > permetterà di far risolvere gli onion al DNS
    > > pubblico e sgamare così tutti i navigatori
    > > drogati
    > >Occhiolino
    >
    > Chi lo sa, forse ad ogni richiesta di accesso ad
    > uno di questi domini speciali, il browser farà
    > partire automaticamente una bella email diretta
    > all'FBI (negli ultimi anni si sente parlare
    > sempre di NSA... fatemi citare la cara vecchia
    > FBI che andava di moda nei telefilm degli anni
    > 90).
    > ^_^


    Acclarato che sia tu, sia il tizio a cui rispondi non avete la più vaga idea di come funzioni il DNS resolving in Tor, forse sarebbe il caso che taceste, no?

    P.S.: no, non chiedetemi di spiegarvelo, non aiuto il prossimo aggratis. Se vi va leggetevi le specifiche protocollo.
    non+autenticato
  • - Scritto da: Gioco a nascondino

    > Acclarato che sia tu, sia il tizio a cui rispondi
    > non avete la più vaga idea di come funzioni il
    > DNS resolving in Tor

    Non c'entra un piffero come funziona il DNS in TOR.
    L'articolo parla di domini onion (e tanti altri), il fatto che alcuni di questi domini funzionino solo dentro TOR è solo incidentale.
    non+autenticato