Dai ricercatori di sicurezza di tre università svedesi e americane arriva DefecTor , un nuovo pericolo per gli utenti di Tor che sfrutta i principi di funzionamento del sistema DNS per incrementare il livello di accuratezza degli attacchi contro l’anonimato della darknet più popolare di Internet.
DefecTor è ideale per quegli avversari dotati di un’infrastruttura capace di estendersi per l’intera Rete globale, spiegano i ricercatori, corporation come Google che sarebbero già in grado di “de-anonimizzare” il traffico di Tor e gli utenti che lo hanno generato se solo lo volessero.
Se il traffico fra il sistema client dell’utente e un nodo Tor è cifrato, dicono gli esperti, le richieste di risoluzione dei nomi di dominio a un server del sistema DNS sono inviate in chiaro : tali richieste possono essere utilizzate per identificare con maggior precisione un utente della darknet, magari servendosi di tecniche di de-anonimizzazione già note come la creazione di “impronte digitali” di una connessione anonima (tramite l’analisi della lunghezza e la direzione dei pacchetti di dati) e l’intercettazione del traffico in uscita.
L’insicurezza delle richieste di risoluzione dei domini applicate a Tor è poi peggiorata dal fatto che il traffico DNS passa attraverso apparati di rete mai toccati dalle comunicazioni HTTP dell’utente come i sistemi autonomi (AS), e ciò rappresenta un ulteriore fattore utilizzabile per decifrare l’identità di un utente indipendentemente dal traffico di rete.
Per i ricercatori Google rappresenta un “bersaglio” ideale nella ricerca degli effetti di DefecTor, visto che la corporation di Mountain View gestisce il 40 per cento del traffico delle richieste DNS provenienti dai nodi di uscita di Tor e gestisce un terzo di tutte le richieste DNS della darknet.
Fortunatamente per gli utenti a rischio di compromissione, diverse misure per mitigare le conseguenze di un attacco DefecTor sono possibili : i nodi di uscita di Tor dovrebbero gestire in autonomia le richieste DNS o rivolgersi al proprio ISP al posto di Google o chiunque altro, spiegano i ricercatori, gli sviluppatori dovrebbero chiudere le falle nella cache DNS (già segnalata) e rafforzarsi contro il fingerprinting degli utenti, mentre il modo più sicuro di difendersi da DefecTor rappresenta l’uso di un servizio Web con indirizzo .onion , accessibile solo all’interno della darknet.
Alfonso Maruccia
Ti potrebbe interessare
6 ott 2016