Alfonso Maruccia

Tor e Firefox, una falla in comune

Gli sviluppatori di Tor aggiornano il browser ufficiale avvertendo dell'esistenza di una falla potenzialmente molto pericolosa. Interviene anche Mozilla, che a sua volta rilancia programmando un update

Roma - Il browser ufficiale di Tor è affetto da una grave vulnerabilità di sicurezza, potenzialmente utilizzabile da "avversari" ben equipaggiati per compromettere le difese a protezione dell'anonimato degli utenti della darknet: l'avvertimento arriva direttamente dagli sviluppatori, che si premurano di chiudere la falla con un nuovo aggiornamento per il software. Firefox, che di Tor costituisce la base, sarà invece ancora vulnerabile per poco.

Il browser di Tor è stato dunque aggiornato alla release 6.0.5, e agli utenti viene caldamente consigliata l'installazione dell'update visto che la vulnerabilità in oggetto permette di "impersonare" un sito web legittimo (es. addons.mozilla.org) tramite un certificato crittografico fasullo, installare un aggiornamento potenzialmente malevolo per un componente aggiuntivo del browser e da lì "bucare" il sistema dell'utente - magari tramite l'esecuzione di codice malevolo da remoto.

Un attacco di tipo man-in-the-middle (MITM) come quello descritto dai ricercatori è problematico ma non impossibile, ed è già ampiamente documentato nelle cronache di questi anni che ad esempio riguardano la famigerata certificate authority (CA) olandese DigiNotar.
I cracker al soldo di uno stato sono ovviamente i soggetti che più potrebbero trarre vantaggio dalla vulnerabilità, e la situazione è ancora più grave anche sul fronte degli utenti che si limitano a navigare sul Web "in chiaro" visto che una serie di falle permette di ottenere gli stessi risultati (utilizzo di un certificato fasullo, installazione di un add-on malevolo) anche sulle versioni standard di Firefox.

Le vulnerabilità "nascoste" del browser open source e il loro possibile utilizzo da parte delle autorità di polizia (e da parte dell'FBI in particolare) sono da tempo al centro dell'attenzione, Mozilla ha riconosciuto l'esistenza del problema e ha pianificato la distribuzione di un aggiornamento per Firefox per il 20 settembre.

Alfonso Maruccia
Notizie collegate
9 Commenti alla Notizia Tor e Firefox, una falla in comune
Ordina
  • E' sacrosanto che vi siano delle vulnerabilità in Tor dato che lo utilizzano pedofili, trafficanti di droga e soprattutto terroristi.
    Bisognerebbe eliminare Tor!
    non+autenticato
  • Pensa te: io eliminerei anche le strade in quanto sono usate anche da criminali, stupratori , ecc... ec...
    non+autenticato
  • - Scritto da: Sergio Mucci
    > E' sacrosanto che vi siano delle vulnerabilità in
    > Tor dato che lo utilizzano pedofili, trafficanti
    > di droga e soprattutto
    > terroristi.
    che sia sacro o santo non so, ma l'articolo NON PARLA di una vulnerabilita' di Tor... ma di firefox.....
    non+autenticato
  • Praticamente era una backdoor. Non è pensabile che nessuno avesse mai pensato a questo. Cioè che un certificato fasullo (ma generato da una CA vera) si sarebbe potuto usare per fare un man-in-the-middle sul sistema di aggiornamenti. Un sistema che nel Tor browser deve essere disattivato di default visto che firefox fa tutto "in background" e non puoi di certo verificare manualmente che i pacchetti che scarichi(aggiorni) e si auto-installano siano firmati con gpg. Questa logica può anche andare bene (forse) su Firefox che non è un browser orientato alla sicurezza, ma altrimenti le opzioni di default devono essere altre. Gli addon "no-restart" sono comodi ma sono pur sempre programmi che si scaricano e partono subito a funzionare senza lasciare molto spazio a controlli. Guardacaso gli espertoni di sicurezza che gestiscono Tor hanno sempre stato lasciato attivi gli aggiornamenti così come il javascript... Non possono essere scelte casuali.
    Non mi meraviglierebbe se in futuro saltassero fuori altri "bug ovvi"
    non+autenticato
  • Per evitare questi problemi ed altri (spero che basti) ho sempre disattivato tutti gli script con addon, have ecc... quindi nel 99% dei siti che navigo.
    Li attivo solo per quei pochi siti di cui mi posso fidare (forse).
    Peccato solo che per WinXP non viene più aggiornato, ma vbb così sarò a posto spero.
    non+autenticato
  • Se fosse internet explorer sarebbe sicurissimo, ma voi nerd avete sentenziato che firefox era migliore solo perchè invidiosi dei soldi di microsoft ed ecco che la frittata è servita
    non+autenticato
  • - Scritto da: Nameless
    > Se fosse internet explorer sarebbe sicurissimo,
    > ma voi nerd avete sentenziato che firefox era
    > migliore solo perchè invidiosi dei soldi di
    > microsoft ed ecco che la frittata è
    > servita

    IE è preinstallato, lo usa il 90% delle persone nel mondo compreso le società, banche ecc... per questo è preso maggiormnete di mira e quindi saltano fuori più falle da sfruttare. Per questo è sempre preferibile usare (in tutto) le alternative meno prese di mira.
    Per esempio pratico avevo lasciato IE ad un parente ed in 6 mesi aveva preso virus (in C non attivo solo depositato), gliel'ho sostituito con FF e non ho più avuto problemi, sarà una caso, ma seguo quella idea di principio.
    non+autenticato
  • - Scritto da: Mao99
    > - Scritto da: Nameless
    > > Se fosse internet explorer sarebbe sicurissimo,
    > > ma voi nerd avete sentenziato che firefox era
    > > migliore solo perchè invidiosi dei soldi di
    > > microsoft ed ecco che la frittata è
    > > servita
    >
    > IE è preinstallato, lo usa il 90% delle persone
    > nel mondo compreso le società, banche ecc... per
    > questo è preso maggiormnete di mira e quindi
    > saltano fuori più falle da sfruttare. Per questo
    > è sempre preferibile usare (in tutto) le
    > alternative meno prese di
    > mira.
    > Per esempio pratico avevo lasciato IE ad un
    > parente ed in 6 mesi aveva preso virus (in C non
    > attivo solo depositato), gliel'ho sostituito con
    > FF e non ho più avuto problemi, sarà una caso, ma
    > seguo quella idea di
    > principio.

    IE prende i virus non perche' e' preinstallato, ma perche' e' BACATO!
    Firefox attualmente ha una diffusione maggiore (nonostante IE sia preinstallato), ma IE detiene comunque il monopolio degli attacchi.
  • ...il problema di IE è che non si sa: ci affidiamo al buon cuore della MicroSoft...

    Anche questa è la potenza dell'open source: un terzo può individuare e correggere un bug/una falla, con beneficio per tutti.
    non+autenticato