Giovedì 26 ottobre, gli sviluppatori del Tor Project hanno ricevuto una segnalazione allarmante nella quale Filippo Cavallarin , CEO della società We Are Segment (gruppo Interlogica Industries ) specializzata nella fornitura di servizi inerenti la sicurezza delle informazioni, li avvisava di aver scovato una vulnerabilità nelle versioni di Tor Browser per Linux e Mac, battezzata poi con il nome di TorMoil dallo stesso Cavallarin:
👉 #TorMoil : Filippo Cavallarin discovered critical #security vulnerability in Tor Browser for Mac and Linux users https://t.co/SOrHkmqBgH
– We are Segment (@wearesegment) 3 novembre 2017
Una scoperta dalle potenzialità nefaste quella di Cavallarin, che a Punto Informatico ha dichiarato: “nonostante dietro all’anonimato fornito da Tor si nascondano miriadi di attività illecite, è altrettanto vero che tale servizio viene utilizzato anche da giornalisti, attivisti e dissidenti politici per eludere censure governative e poter esercitare il proprio diritto di libertà di parola. Una vulnerabilità di questo genere potrebbe avere conseguenze disastrose per quelle persone”.
Ed è proprio per questo motivo che Cavallarin ha deciso di non vendere, né rendere pubblico il codice sviluppato per sfruttare la vulnerabilità, nonostante l’ingente guadagno economico che questo avrebbe potuto fruttare a lui e alla sua società: Filippo ha infatti preferito avviare il cosiddetto processo di responsible disclosure e coordinarsi con il team di sviluppo di Tor, che in sole due ore si è messo in contatto con il ricercatore italiano ed ha iniziato a lavorare ad un fix, culminato poi con il rilascio di Tor Browser 7.0.9 avvenuto nella giornata di ieri.
Nonostante i dettagli tecnici della vulnerabilità non siano ancora stati resi pubblici, per il momento è noto che la vulnerabilità risiedeva nella gestione degli URL di tipo file:// da parte di Firefox , utilizzato come base per lo sviluppo di Tor Browser e per cui Mozilla dovrà quindi provvedere al rilascio di una patch in modo da risolvere il problema alla radice.
Per sfruttare la vulnerabilità e ottenere accesso al reale indirizzo IP dell’utente sarebbe stato quindi sufficiente visitare una pagina Web appositamente creata, cosa che avrebbe determinato la creazione di un canale di comunicazione diretto tra l’utente e l’host remoto , bypassando quindi l’anonimato di Tor Browser, come realizzato in laboratorio da Filippo durante lo sviluppo dell’exploit.
“Pur essendo un’azienda che mira a massimizzare il profitto, We Are Segment è una società fatta di persone che mettono l’etica davanti alle prospettive di guadagno, per questo ci definiscono ethical hackers”, afferma Cavallarin, il quale può contare su un’ottima reputazione in termini di responsible disclosure, avendo segnalato un’altra vulnerabilità ad Apple non più di qualche mese fa.
Grande soddisfazione è stata espressa anche dal CEO del gruppo Interlogica Industries Alessandro Fossato , il quale ha dichiarato a Punto Informatico : “sono estremamente felice dei risultati raggiunti dall’ecosistema Interlogica, quanto fatto da Filippo è la prova che in Italia esistono ancora talenti in grado di raggiungere risultati incredibili”.
Qualora non l’avessero già fatto, tutti coloro che utilizzano Tor Browser su piattaforme Linux e/o Mac sono invitati ad aggiornare il browser alla versione più recente .
Niccolò Castoldi