Alfonso Maruccia

Tor, il DNS spiffera troppo

Un nuovo attacco abusa del sistema di risoluzione dei nomi di dominio per provare a compromettere l'anonimato degli utenti della darknet. Il livello di accuratezza è alto, dicono i ricercatori, le contromisure possibili

Roma - Dai ricercatori di sicurezza di tre università svedesi e americane arriva DefecTor, un nuovo pericolo per gli utenti di Tor che sfrutta i principi di funzionamento del sistema DNS per incrementare il livello di accuratezza degli attacchi contro l'anonimato della darknet più popolare di Internet.

DefecTor è ideale per quegli avversari dotati di un'infrastruttura capace di estendersi per l'intera Rete globale, spiegano i ricercatori, corporation come Google che sarebbero già in grado di "de-anonimizzare" il traffico di Tor e gli utenti che lo hanno generato se solo lo volessero.

Se il traffico fra il sistema client dell'utente e un nodo Tor è cifrato, dicono gli esperti, le richieste di risoluzione dei nomi di dominio a un server del sistema DNS sono inviate in chiaro: tali richieste possono essere utilizzate per identificare con maggior precisione un utente della darknet, magari servendosi di tecniche di de-anonimizzazione già note come la creazione di "impronte digitali" di una connessione anonima (tramite l'analisi della lunghezza e la direzione dei pacchetti di dati) e l'intercettazione del traffico in uscita.
L'insicurezza delle richieste di risoluzione dei domini applicate a Tor è poi peggiorata dal fatto che il traffico DNS passa attraverso apparati di rete mai toccati dalle comunicazioni HTTP dell'utente come i sistemi autonomi (AS), e ciò rappresenta un ulteriore fattore utilizzabile per decifrare l'identità di un utente indipendentemente dal traffico di rete.

Per i ricercatori Google rappresenta un "bersaglio" ideale nella ricerca degli effetti di DefecTor, visto che la corporation di Mountain View gestisce il 40 per cento del traffico delle richieste DNS provenienti dai nodi di uscita di Tor e gestisce un terzo di tutte le richieste DNS della darknet.

Fortunatamente per gli utenti a rischio di compromissione, diverse misure per mitigare le conseguenze di un attacco DefecTor sono possibili: i nodi di uscita di Tor dovrebbero gestire in autonomia le richieste DNS o rivolgersi al proprio ISP al posto di Google o chiunque altro, spiegano i ricercatori, gli sviluppatori dovrebbero chiudere le falle nella cache DNS (già segnalata) e rafforzarsi contro il fingerprinting degli utenti, mentre il modo più sicuro di difendersi da DefecTor rappresenta l'uso di un servizio Web con indirizzo .onion, accessibile solo all'interno della darknet.

Alfonso Maruccia
Notizie collegate
  • TecnologiaTor, la cipolla randomizzata è più sicuraGli sviluppatori lavorano per rafforzare la sicurezza del tool anonimizzatore, un'iniziativa che dovrebbe mettere gli utenti di Tor al riparo di exploit e malware come quelli usati dall'FBI
  • AttualitàTor, l'FBI ha carta biancaUn giudice USA stabilisce che l'agenzia investigativa federale ha tutto il diritto di compromettere i sistemi informatici di chiunque per la protezione dei cittadini. Un indirizzo IP, poi, non garantisce la privacy
25 Commenti alla Notizia Tor, il DNS spiffera troppo
Ordina
  • a occhio il "bug" piu' interessante sembra questo:

    < We also find that a set of exit relays, at times comprising 40% of Tor’s exit bandwidth, uses Google’s public DNS servers >

    ossia vanno "debuggati" gli exitnode ADMINCon la lingua fuori
    non+autenticato
  • Ho poca voglia di leggermi tutta la ricerca, ma le richieste dei nomi a dominio passano attraverso Tor comunque, sono in chiaro solo nel tratto tra il nodo d'uscita e il server DNS, come del resto qualunque altra connessione tra la rete Tor e il resto della rete (per forza!). Quindi o c'è un errore nell'articolo di Maruccia, o nella ricerca, delle due l'una.
    non+autenticato
  • o più semplicemente non c'è nessun errore ma non hai letto la ricerca Occhiolino
    infatti è abbastanza sorprendente
    non+autenticato
  • - Scritto da: ABC
    > o più semplicemente non c'è nessun errore ma non
    > hai letto la ricerca


    Ha ragione lui e non c'è proprio una sega da leggere. La "ricerca" non si basa su bachi nel modo in cui Tor interroga il DNS, è ovvio che il tratto finale sia in chiaro, non potrebbe essere altrimenti, mica è un baco. E' la stessa ricerca ricopiata 10 volte: analisi di correlazione del traffico, fattibile solo in laboratorio, che la NSA stessa ammette di NON poter fare (documenti di Snowden).
    non+autenticato
  • - Scritto da: belloccio
    > - Scritto da: ABC
    > > o più semplicemente non c'è nessun errore ma non
    > > hai letto la ricerca
    >
    >
    > Ha ragione lui e non c'è proprio una sega da
    > leggere. La "ricerca" non si basa su bachi nel
    > modo in cui Tor interroga il DNS, è ovvio che il
    > tratto finale sia in chiaro, non potrebbe essere
    > altrimenti, mica è un baco. E' la stessa ricerca
    > ricopiata 10 volte: analisi di correlazione del
    > traffico, fattibile solo in laboratorio, che la
    > NSA stessa ammette di NON poter fare (documenti
    > di
    > Snowden).

    Ma perché non ti leggi la ricerca invece di fare la figura del rincoglionito?
    I bridge con meek funzionano con google, quindi google può relazionare il 100% del traffico sugli entry node con meek. Il 40% del traffico Tor dagli exit node usa i DNS di google. Sapendo che richiesta DNS fai puo' sapere a che sito ti connetti e sapendo la dimensione della pagina e controllando l'entry node può indovinare chi la scarica se usi il suo DNS+entry node arrivando a una accuratezza assoluta se si tratti di accedere alle homepage dei siti web. Ma questo è solo uno dei vari punti della ricerca sul DNS, gli altri non te li riassumo. Gli exit node dovrebbero usare un DNS installato localmente che fa da cache anziché usare DNS esterni come OpenDNS o Google DNS. Se leggi la ricerca vedi che è stato trovato un BUG in Tor (nel file sorgente di Tor o nell'eseguibile di Tor, come preferisci) che mostra come Tor non onori al file di configurazione per il TTL delle richieste al DNS permettendo un exploit che riesce a tracciare le query. E più leggi più ne vedi. Studia, capra!
    non+autenticato
  • - Scritto da: ABC
    > - Scritto da: belloccio
    > > - Scritto da: ABC
    > > > o più semplicemente non c'è nessun
    > errore ma
    > non
    > > > hai letto la ricerca
    > >
    > >
    > > Ha ragione lui e non c'è proprio una sega da
    > > leggere. La "ricerca" non si basa su bachi
    > nel
    > > modo in cui Tor interroga il DNS, è ovvio
    > che
    > il
    > > tratto finale sia in chiaro, non potrebbe
    > essere
    > > altrimenti, mica è un baco. E' la stessa
    > ricerca
    > > ricopiata 10 volte: analisi di correlazione
    > del
    > > traffico, fattibile solo in laboratorio, che
    > la
    > > NSA stessa ammette di NON poter fare
    > (documenti
    > > di
    > > Snowden).
    >
    > Ma perché non ti leggi la ricerca invece di fare
    > la figura del
    > rincoglionito?

    L'hai fatta solo tu, non hai capito una sega della ricerca che asserisci di aver letto. I "meeks" li usano giusto in posti tipo l'Iran, servono solo se non puoi accedere direttamente a Tor, non sono un problema per il 99% degli utenti, e per quei pochi che ne hanno bisogno, sono intrinsecamente insicuri per il ruolo stesso che ricoprono, li si usa presupponendo che chi li gestisce non sia un avversario, se invece lo è, la loro sicurezza viene meno. Non è un baco, è assenza di prerequisiti.
    Non è roba per sistemisti, torna ad aggiornare la LAN, ebete.
    non+autenticato
  • - Scritto da: belloccio
    > - Scritto da: ABC
    > > - Scritto da: belloccio
    > > > - Scritto da: ABC
    > > > > o più semplicemente non c'è nessun
    > > errore ma
    > > non
    > > > > hai letto la ricerca
    > > >
    > > >
    > > > Ha ragione lui e non c'è proprio una sega
    > da
    > > > leggere. La "ricerca" non si basa su bachi
    > > nel
    > > > modo in cui Tor interroga il DNS, è ovvio
    > > che
    > > il
    > > > tratto finale sia in chiaro, non potrebbe
    > > essere
    > > > altrimenti, mica è un baco. E' la stessa
    > > ricerca
    > > > ricopiata 10 volte: analisi di correlazione
    > > del
    > > > traffico, fattibile solo in laboratorio,
    > che
    > > la
    > > > NSA stessa ammette di NON poter fare
    > > (documenti
    > > > di
    > > > Snowden).
    > >
    > > Ma perché non ti leggi la ricerca invece di fare
    > > la figura del
    > > rincoglionito?
    >
    > L'hai fatta solo tu, non hai capito una sega
    > della ricerca che asserisci di aver letto.

    A differenza di te, ho capito benissimo

    > I "meeks" li usano giusto in posti tipo l'Iran,
    > servono solo se non puoi accedere direttamente a
    > Tor, non sono un problema per il 99% degli
    > utenti, e per quei pochi che ne hanno bisogno,

    Non c'entra un cazzo. E' comunque una vulnerabilità

    > sono intrinsecamente insicuri per il ruolo
    > stesso che ricoprono,
    li si usa presupponendo
    > che chi li gestisce non sia un avversario, se
    > invece lo è, la loro sicurezza viene meno. Non è
    > un baco, è assenza di prerequisiti.

    I bridge devono garantire la stessa sicurezza di ogni altro tipo di entry node. Inclusi i bridge con meek e altri proxy offuscatori.
    Ma non hai capito una sega di Tor quindi... bla bla bla

    >
    > Non è roba per sistemisti, torna ad aggiornare la
    > LAN,
    > ebete.

    Aggiornare la LAN? boh che cazzo vuol dire sto' celebroleso.
    non+autenticato
  • - Scritto da: ABC

    > I bridge devono garantire la stessa sicurezza di
    > ogni altro tipo di entry node.

    Una beata minchia. Servono per accedere alla rete Tor per chi non può perchè vive in un paese dove è filtrata. E se chi li gestisce poi gestisce pure il DNS usato dal nodo d'uscita, è ovvio che possa fare attacchi di correlazione, e non esiste modo per impedirlo. E se vivi in uno di quei pochi paesi dove Tor e filtrato e poi usi un bridge di google francamente sono davvero cazzi tuoi, significa che sei un minorato mentale, come del resto emerge da questa stessa discussione.
    non+autenticato
  • - Scritto da: belloccio
    > - Scritto da: ABC
    >
    > > I bridge devono garantire la stessa sicurezza di
    > > ogni altro tipo di entry node.
    >
    > Una beata minchia. Servono per accedere alla rete
    > Tor per chi non può perchè vive in un paese dove
    > è filtrata. E se chi li gestisce poi gestisce
    > pure il DNS usato dal nodo d'uscita, è ovvio che
    > possa fare attacchi di correlazione, e non esiste
    > modo per impedirlo. E se vivi in uno di quei
    > pochi paesi dove Tor e filtrato e poi usi un
    > bridge di google francamente sono davvero cazzi
    > tuoi, significa che sei un minorato mentale, come
    > del resto emerge da questa stessa
    > discussione.
    cmq.. a prescindere.. i 'meek' non sono morti? ( https://lists.torproject.org/pipermail/tor-talk/20... )
    non+autenticato
  • - Scritto da: bubba

    > cmq.. a prescindere.. i 'meek' non sono morti? (
    > https://lists.torproject.org/pipermail/tor-talk/20

    Ottimo, se google ha sospeso il suo, allora la ricerca oggetto dell'articolo perde qualunque residua utilità (che non aveva comunque). Tanta compassione al troll antecedente.
    non+autenticato
  • - Scritto da: ABC
    > Aggiornare la LAN? boh che cazzo vuol dire sto'
    > celebroleso.

    A volte l'ignoranza dei frequentatori di PI mi lascia davvero sbigottito.
    non+autenticato
  • - Scritto da: DEF
    > - Scritto da: ABC
    > > Aggiornare la LAN? boh che cazzo vuol dire sto'
    > > celebroleso.
    >
    > A volte l'ignoranza dei frequentatori di PI mi
    > lascia davvero
    > sbigottito.

    Prima t'asfaltano nella discussione come sempre, poi in un impeto d'analfabetismo gli dai dei "ceLebrolesi", e infine ti autorispondi. Non vedi che ti va tutto male nella vita? Anche su PI, non solo nella realtà. Suicidati.Annoiato

    non+autenticato
  • Scusate ma... questi sistema non dovrebbero solo servire a superare il blocco in quei paesi dove non vi è libertà ecc..? Mica ci devo fare chissà che cosa di illegale, quindi perchè questa sicurezza? Ben vengano i buchi al sistema così se qualcuno fa qualcosa di illegale o parla di attentati ecc.., beh che lo becchino pure.
    non+autenticato
  • - Scritto da: Mao99
    > Scusate ma... questi sistema non dovrebbero solo
    > servire a superare il blocco in quei paesi dove
    > non vi è libertà ecc..? Mica ci devo fare chissà
    > che cosa di illegale, quindi perchè questa
    > sicurezza? Ben vengano i buchi al sistema così se
    > qualcuno fa qualcosa di illegale o parla di
    > attentati ecc.., beh che lo becchino
    > pure.

    Ecco uno che ha capito tutto... Rotola dal ridere
  • - Scritto da: Elrond
    > - Scritto da: Mao99
    > > Scusate ma... questi sistema non dovrebbero solo
    > > servire a superare il blocco in quei paesi dove
    > > non vi è libertà ecc..? Mica ci devo fare chissà
    > > che cosa di illegale, quindi perchè questa
    > > sicurezza? Ben vengano i buchi al sistema così
    > se
    > > qualcuno fa qualcosa di illegale o parla di
    > > attentati ecc.., beh che lo becchino
    > > pure.
    >
    > Ecco uno che ha capito tutto... Rotola dal ridere

    Eccome se lo ha capito...... Ma poi con quel modo di pens.......e anche se capisce, avrà capito sicuramente tutto. Ma proprio tutto!!A bocca aperta
    non+autenticato
  • - Scritto da: Mao99
    > Scusate ma... questi sistema non dovrebbero solo
    > servire a superare il blocco in quei paesi dove
    > non vi è libertà ecc..? Mica ci devo fare chissà
    > che cosa di illegale, quindi perchè questa
    > sicurezza? Ben vengano i buchi al sistema così se
    > qualcuno fa qualcosa di illegale o parla di
    > attentati ecc.., beh che lo becchino
    > pure.

    ben vengano le boiateA bocca storta
    non+autenticato