Alfonso Maruccia

Tor, tracciamento a mezzo mouse

Un ricercatore sviluppa un metodo per tracciare l'utente anche quando è attivo su Tor. Gli sviluppatori della darknet ringraziano e gongolano: i metodi di tracking più comuni non servono più a niente

Roma - Jose Carlos Norte ha applicato il tracciamento a mezzo mouse alla darknet di Tor, rete pensata per salvaguardare la privacy dell'utente che apparentemente risulta essere vulnerabile a un genere di tracking non comune ma non certo impossibile da mettere in pratica.

Come già evidenziato nelle ricerche precedenti sull'argomento, il tracking via mouse richiede l'uso del codice JavaScript - e sul browser di Tor JS è abilitato di default: ogni utente muove e usa il mouse in maniera individuale, spiega Norte, e tenendo traccia dei movimenti su un numero sufficiente di siti al di fuori della darknet è possibile, tramite la API getClientRects, identificare l'utente anche quando è su Tor.

Il ricercatore ha approntato anche una pagina proof-of-concept per dimostrare l'efficacia del suo metodo di tracciamento, mentre le reazioni dalla community dei ricercatori di sicurezza vanno dall'apprezzamento di Mikko Hypponen per una tecnica ingegnosa ai dubbi sulla difficoltà applicativa di Lukasz Olejnik.
Ad apprezzare sicuramente il lavoro di Norte sono stati gli stessi sviluppatori di Tor, che hanno preso a esaminare i due bug menzionati nell'exploit del ricercatore e si sono fatti tanti complimenti da soli: il browser della darknet ha oramai chiuso quasi tutti i metodi di tracciamento standard e la community deve ricorrere a tecniche esotiche nella speranza di violare la privacy degli utenti.

Alfonso Maruccia
Notizie collegate
  • SicurezzaIE, tracciamento mouse a mezzo browserIndividuata una nuova vulnerabilità nel browser Microsoft, potenzialmente utilizzabile per tracciare ogni singolo movimento col mouse compiuto dall'utente. A rischio le tastiere virtuali
  • AttualitàTor, la Carnegie Mellon University ha aiutato l'FBIDalle non-smentite del recente passato si passa ai fatti dei documenti legali, dove si dice nero su bianco che l'università americana ha collaborato con i federali per bucare Tor e individuare i membri di Silk Road 2.0
  • AttualitàTor, una Internet di seconda categoriaUna nuova ricerca evidenzia il pessimo trattamento riservato dai servizi di rete agli utenti di Tor, un network notorio per fare da scudo a cracker e cyber-criminali ma anche a chi non può accedere alla Internet pubblica causa censura
23 Commenti alla Notizia Tor, tracciamento a mezzo mouse
Ordina
  • Bitcoin e tor per un pagamento del riscatto sicuro? accoppiata vincente per ogni genere di reato, il ransomware ci dice qualcosa? bloccare un intero ospedale? Perreo Peppetteo ha le sue ragioni in un paese civile certe cose vanno stroncate sul nascere
    non+autenticato
  • - Scritto da: Mondo civile
    > Bitcoin e tor per un pagamento del riscatto
    > sicuro? accoppiata vincente per ogni genere di
    > reato, il ransomware ci dice qualcosa? bloccare
    > un intero ospedale? Perreo Peppetteo ha le sue
    > ragioni in un paese civile certe cose vanno
    > stroncate sul
    > nascere

    Jawohl, Herr Unteroffizier!
    non+autenticato
  • il problema di ospedali è normale trovare ancore win98 e winXP con personale non qualificato all'uso dei computer dopo e normale che ransomware vanno alla grande.
    io uso debian non mi becaranon mai i ransomware e non sono idiota a dare i privilegi root ad un alegato ricevuto tamite mail.
    non+autenticato
  • Solo io associo TOR a droga, pedofilia, terrorismo e armi?
    non+autenticato
  • si.
    Forse è il caso che tu cominci a chiederti come mai.
    non+autenticato
  • - Scritto da: Perreo Peppetteo
    > Solo io associo TOR a droga, pedofilia,
    > terrorismo e
    > armi?

    spero tu non abbia diritto di voto
    non+autenticato
  • - Scritto da: Perreo Peppetteo
    > Solo io associo TOR a droga, pedofilia,
    > terrorismo e
    > armi?
    se escludi il terrorismo e aggiungi i cybercrook, non sono pochi. (nelle procure almeno).
    non+autenticato
  • No, anche le semplice menti lo fanno. Non ragioni , arrivi a facili conclusioni, perché uno dovrebbe sforzarsi di ragionare ?
  • - Scritto da: Perreo Peppetteo
    > Solo io associo TOR a droga, pedofilia,
    > terrorismo e
    > armi?

    Non solo tu, pure tutte le altre genti malate mentalmente. O che non conoscono proprio per niente il depweb.
    non+autenticato
  • "Come già evidenziato nelle ricerche precedenti sull'argomento, il tracking via mouse richiede l'uso del codice JavaScript - e sul browser di Tor JS è abilitato di default"

    Considerando che l'utente comune non usa di certo Tor e che basta un clic per disabilitare globalmente Javascript è un non problema....
    non+autenticato
  • se non ricordo male è lo stesso tor browser a dirti di disabilitare javascript
    non+autenticato
  • Si lo da come consigliato oltre una serie di avvertimenti nell'uso.

    Comunque ripeto, non è di certo un browser che usi tanto per provare,se lo stai usando significa che un minimo sei già informato e di certo non lascerai tutto di default.

    Poi c'è da dire che senza javascript molti siti non funzionano, comunque è più un esercizio di stile che altro...
    non+autenticato
  • - Scritto da: Etype

    > Poi c'è da dire che senza javascript molti siti
    > non funzionano, comunque è più un esercizio di
    > stile che
    > altro...

    Ma che min***a dici? Esercizio di stile? Rotola dal ridere

    Disabilita JS e naviga su tutti i siti più comuni e visitati del web e vediamo su quanti ti funziona tutto tranne "lo stile" Rotola dal ridere

    Questo ovviamente non significa che non POTREBBERO farli funzionare anche senza JS, ma la realtà dei fatti è che oggigiorno la stragrande maggioranza dei siti senza JS è praticamente inutilizzabile. Certo, ci sono le eccezioni, ma rimangono proprio questo, ECCEZIONI.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Etype
    >
    > > Poi c'è da dire che senza javascript molti siti
    > > non funzionano, comunque è più un esercizio di
    > > stile che
    > > altro...
    >
    > Ma che min***a dici? Esercizio di stile? Rotola dal ridere
    >
    > Disabilita JS e naviga su tutti i siti più comuni
    > e visitati del web e vediamo su quanti ti
    > funziona tutto tranne "lo stile"
    > Rotola dal ridere
    >
    > Questo ovviamente non significa che non
    > POTREBBERO farli funzionare anche senza JS, ma la
    > realtà dei fatti è che oggigiorno la stragrande
    > maggioranza dei siti senza JS è praticamente
    > inutilizzabile. Certo, ci sono le eccezioni, ma
    > rimangono proprio questo,
    > ECCEZIONI.

    non mi deve funzionare tutto, abilito solo quello che mi serve, quando sono su tor uso un altro browser impostato a dovere, come immagino facciano tutti quelli che vanno nel deep web, a dirla tutta se questo è un metodo di tracciamento posso stare molto tranquilloSorride
    non+autenticato
  • confermo è inutile visto che la prima cosa che si fa su tor è disabilitare il javascript.
    P.S.
    Il browser lo abilità di default ma disabilità alcune funzioni di js.
    non+autenticato
  • - Scritto da: ...

    > Ma che min***a dici? Esercizio di stile? Rotola dal ridere

    Esercizio di stile il tracciamento che hanno inventato !
    non+autenticato
  • - Scritto da: ...

    > Questo ovviamente non significa che non
    > POTREBBERO farli funzionare anche senza JS, ma la
    > realtà dei fatti è che oggigiorno la stragrande
    > maggioranza dei siti senza JS è praticamente
    > inutilizzabile.

    Ci sono due tipi di siti: quelli che leggi e basta, quelli che leggi e scrivi.

    Dove leggi e basta il js non serve, si puo' eliminare e sostituire con fogli di stile, come ho fatto per tutti i siti di news che vado a leggere senza commentare.

    Dove scrivi, il js ci vuole, ma se scrivi, vuol dire che stai gia' prendendo altre precauzioni se non vuoi essere tracciato.
  • - Scritto da: ...
    > - Scritto da: Etype
    >
    > > Poi c'è da dire che senza javascript molti siti
    > > non funzionano, comunque è più un esercizio di
    > > stile che
    > > altro...
    >
    > Ma che min***a dici? Esercizio di stile? Rotola dal ridere
    >
    > Disabilita JS e naviga su tutti i siti più comuni
    > e visitati del web e vediamo su quanti ti
    > funziona tutto tranne "lo stile"
    > Rotola dal ridere
    >
    > Questo ovviamente non significa che non
    > POTREBBERO farli funzionare anche senza JS, ma la
    > realtà dei fatti è che oggigiorno la stragrande
    > maggioranza dei siti senza JS è praticamente
    > inutilizzabile. Certo, ci sono le eccezioni, ma
    > rimangono proprio questo,
    > ECCEZIONI.

    Se il sito che devo visitare e per sola informazione, news e contenuti non dinamici eccome che lo visito e mi funziona, se la pappardella e fatta di servizi ajax e compagnia cantante, e normale che senza js non funzia.
    non+autenticato
  • - Scritto da: ...
    > Questo ovviamente non significa che non
    > POTREBBERO farli funzionare anche senza JS, ma la
    > realtà dei fatti è che oggigiorno la stragrande
    > maggioranza dei siti senza JS è praticamente
    > inutilizzabile. Certo, ci sono le eccezioni, ma
    > rimangono proprio questo,
    > ECCEZIONI.

    ma che siti guardi?Sorride
    non+autenticato
  • - Scritto da: Etype
    > "Come già evidenziato nelle ricerche precedenti
    > sull'argomento, il tracking via mouse richiede
    > l'uso del codice JavaScript - e sul browser di
    > Tor JS è abilitato di
    > default"
    >
    ma siamo sicuri? a me pareva ci fosse NOSCRIPT (o forse sono io che lo metto sempre by design ovunque.....Con la lingua fuori )
    non+autenticato