Uno studio congiunto realizzato da ricercatori di due istituti universitari americani (Columbia University, New York e Stevens Institute of Technology, Hoboken) e della Sapienza di Roma sostiene che il “segreto” per smascherare gli utenti di Tor si nasconde nell’analisi del traffico di rete, una pratica che con le attuali dimensioni del network sarebbe improba ma che può essere condotta (con approssimazioni accettabili) anche con strumenti già disponibili.
I ricercatori hanno sfruttato una delle caratteristiche fondamentali della rete a cipolla, vale a dire il meccanismo di preservazione delle caratteristiche dei pacchetti dati utili a garantire una latenza di trasmissione più bassa, per identificare modelli di traffico simili correlando connessioni di rete senza apparente collegamento diretto.
La capacità attuale delle reti telematiche rende questo genere di attacchi impossibile da mettere in pratica , spiega lo studio, ma strumenti di monitoraggio del traffico come NetFlow (Cisco) possono essere impiegati per lo stesso scopo con un livello di accuratezza inferiore.
Anche usando tool di monitoraggio come NetFlow, dicono i ricercatori, è stato possibile testare il metodo di analisi su un relay pubblico di Tor per identificare il 100 per 100 delle fonti “anonime” dei PC presenti in laboratorio, mentre nei test basati su situazioni reali l’accuratezza delle identificazioni è scesa all’81,4 per cento e i falsi positivi sono risultati essere il 6,4 per cento.
Tor è fondamentalmente insicuro? Gli sviluppatori della rete a cipolla gettano acqua sul fuoco , apprezzano il nuovo studio ma spiegano che si tratta di questioni non nuove e che per raggiungere livelli di accuratezza accettabili un attaccante dovrebbe controllare buona parte della rete Internet.
La rete a cipolla ha certamente i suoi problemi , e non bastassero le insicurezze del network ci si mettono anche i cracker prezzolati del governo russo a impostare un nodo di uscita compromesso capace di modificare tutti i file eseguibili aggiungendovi codice malevolo: l’attacco identificato come OnionDuke è l’ennesimo esempio di minacce nascoste all’interno (o ai bordi, come in questo caso) di Tor ed è strettamente imparentato con l’ operazione MiniDuke almeno per quanto riguarda l’infrastruttura di base.
Alfonso Maruccia