Parlando
di anonimato in rete e di navigazione nel Dark
Web
si fa spesso riferimento a Tor. Nell’immaginario comune Tor è
visto sia come metodo di comunicazione Internet per abilitare
l’anonimato online sia come strumento per l’accesso alla “rete
oscura”. È necessario, pertanto, fare un po' di chiarezza nonché
sfatare alcuni miti.
La
prima differenza sostanziale riguarda il fatto che la navigazione nel
Dark Web è profondamente diversa rispetto alla navigazione in
incognito, detta anche navigazione privata, che viene offerta come
opzione su tutti i browser. Questa differenza va sottolineata perché,
troppo spesso, è oggetto di alcune false credenze: la navigazione in
incognito ha semplicemente il vantaggio di non salvare la cronologia
di navigazione, i cookie, i dati dei siti e le informazioni inserite
nei moduli dei siti ma è molto lontana dal garantire un reale
anonimato al navigatore.
Il provider di servizi Internet traccia tutte le attività in ogni
caso, conosce l’indirizzo
IP e può identificare la posizione del internauta.
Inoltre, la navigazione in
incognito non ci permette in alcun modo di entrare nel Dark Web che
rappresenta un mondo a parte rispetto al Web che tutti noi
navighiamo.
Deep
Web e Dark Web sono due mondi diversi
Dark
Web e Deep Web sono due mondi molto diversi e in un certo senso non
comunicanti tra loro. Infatti, è bene sottolineare come tutti noi
navighiamo, abitualmente, nel Deep Web che, per definizione, indica
l’insieme delle pagine presenti sul web che non sono indicizzate
dai comuni motori di ricerca quali Google, Bing, ecc. Ne fanno parte
nuovi siti, pagine web a contenuto dinamico, web software, siti
privati aziendali, reti peer-to-peer. L’opposto del Deep Web si
chiama Surface Web che è costituito, invece, da pagine indicizzate
dai motori di ricerca. Pertanto, Deep e Surface Web sono le due facce
della stessa medaglia con la differenza che la prima non è
indicizzata e, dunque, potremo raggiungerla solo se ne conosciamo
l’URL. Consideriamo Deep Web la pagina del nostro profilo Facebook,
così come la pagina web della nostra casella Hotmail e i siti dei
Cloud Service Provider dove sono archiviati i nostri file così come
le tante pagine aziendali, governative, finanziarie a solo utilizzo
interno, presenti sul web, ma non indicizzate. L’immagine seguente,
dove il web viene rappresentato come un iceberg, illustra in modo
efficace i concetti espressi.
Il
Dark Web è, invece, una frazione molto piccola del web. Si tratta di
un mondo separato e poco accessibile, che si appoggia sulle Darknet
che sono reti chiuse per accedere alle quali sono necessarie
particolari configurazioni. Le principali Darknet sono:
Freenet,
poco utilizzata;
I2P;
Tor,
The Onion Router, che è ormai diventata la più famosa e usata tra
queste reti.
È
importante sottolineare che navigare nel Dark Web non ha nulla a che
vedere con la navigazione in incognito dei browser. I browser
tradizionali, infatti, non ci permettono di accedere al Dark Web. Per
entrare nel Dark Web servono strumenti appropriati. Il browser più
noto ed utilizzato è Tor che cerchiamo di descrivere per conoscerlo
meglio e per sfatare un falso mito: navigare nel Dark Web non è
illegale, salvo che non lo si utilizzi per azioni illecite.
Tor
La
Darknet Tor esiste dal 1998 quando la US Navy la realizzò
utilizzando la tecnologia “onion routing” sviluppata per
garantire l’anonimato. Nel 2006 è stata resa di pubblico dominio e
nello stesso anno è nata Tor Project Inc., organizzazione no profit
con sede in USA. Si tratta di un’infrastruttura hardware dedicata e
costituita da server che la ospitano. Oggi Tor è diretta da Bruce
Schneier, crittografo e tecnologo della sicurezza di fama mondiale il
cui blog, dedicato ai temi della cyber security, è tra i più noti e
frequentati in tutto il mondo. Le organizzazioni che costituiscono
Tor Project sono, tra le altre, lo US Department of State Bureau of
Democracy, lo Human Rights e il Labor. Pertanto, direi che è
evidente come Tor Project non sia un’associazione clandestina o
finalizzata al crimine informatico. Tutt’altro,
come, peraltro, si può leggere nel sito: “Defend
yourself against tracking and surveillance. Circumvent
censorship”.
Per
questi motivi, Tor è una rete di comunicazione usata soprattutto da
giornalisti, attivisti politici e whistleblowers di Paesi meno
democratici dove è necessario aggirare la censura e la sorveglianza
per esprimere il proprio parere. Il fatto che sia usata anche dai
“cattivi” non ne inficia il valore. È, senza dubbio, la rete
Darknet più popolare e conosciuta ed è utilizzata in tutto il mondo
da oltre 750.000 utenti Internet ogni giorno.
Infrastruttura
di Tor
La
rete Tor è costituita da alcune migliaia di server sparsi nel mondo.
Nello specifico, stiamo parlando di un numero che si aggira tra 6.000
e 8.000 “relay” e di quasi 3.000 “bridge”, quasi tutti
gestiti da volontari. I dati di navigazione non fluiscono
direttamente dal client al server ma il transito passa attraverso i
relay Tor che operano da router, realizzando, così, un circuito
virtuale crittografato a strati, esattamente come una “cipolla”,
da cui il nome Onion.
Per
questo motivo gli URL della rete Tor hanno il TLD, Top Level Domain,
che non è il classico .com o .it ma .onion. Quando si avvia la
navigazione aprendo il browser Tor, vengono scelti in maniera casuale
tre nodi in modo da costituire una catena di navigazione.
In
ogni passaggio, la comunicazione viene crittografata e questo avviene
per ciascun nodo. Il fatto, inoltre, che ogni nodo della rete conosce
solo il precedente e il successivo, rende difficile essere in grado
di risalire al client di partenza. Ci sono tre tipi di relay nel
sistema di navigazione Tor:
guard/middle
relay;
exit
relay;
bridge.
Come
abbiamo detto, per ragioni di sicurezza, il traffico Tor passa
attraverso almeno tre relay prima di raggiungere la sua destinazione.
Il primo è il guard relay, il secondo è un middle relay che riceve
il traffico e lo passa infine all’exit relay (figura sottostante).
I
relay intermedi, guard e middle, sono visibili solo all’interno
della rete Tor e, a differenza del relay d’uscita, non fanno
apparire il proprietario del relay come la fonte del traffico. Ciò
significa che un relay intermedio è generalmente sicuro. Potremmo
averlo anche nel server di casa nostra, diventando così un nodo
dell’infrastruttura Tor. Il relay di uscita è l’ultimo nodo che
il traffico Tor attraversa prima di raggiungere la sua destinazione.
I servizi a cui i client Tor si connettono, come, ad esempio, il sito
web, il servizio di chat, il provider di posta elettronica, ecc.
vedranno l’indirizzo IP del relay di uscita invece dell’indirizzo
IP reale dell’utente Tor. Ciò significa che è l’indirizzo IP
del relay di uscita che viene interpretato come la fonte del
traffico.
La topografia della rete Tor viene completata con i Bridge. È
importante sapere che la struttura della rete Tor prevede che gli
indirizzi IP dei relay Tor siano pubblici. Pertanto, se un governo o
un ISP volesse bloccare le rete, potrebbe farlo facilmente mettendo
nelle blacklist gli indirizzi IP di questi nodi Tor pubblici. Per
questa ragione esistono i Bridge che, essendo nodi che non sono
indicati nell’elenco pubblico come parte della rete Tor, rendono
più difficile bloccare l’intera rete da parte dei governi e degli
ISP. I bridge sono strumenti essenziali per l’elusione della
censura nei Paesi che bloccano regolarmente gli indirizzi IP di tutti
i relay Tor elencati pubblicamente, come Cina, Turchia e Iran.
Di
fatto si usano al posto del nodo di entrata, normalmente indicato
come server di un dato Paese, per impedire, appunto, all’ISP di
sapere che si sta usando Tor.
Per
usare Tor attraverso i bridge è necessario conoscere in anticipo
l’indirizzo di almeno un bridge. Tor project distribuisce gli
indirizzi IP dei bridge con diversi mezzi, tra cui il sito web e la
posta elettronica.
È
chiaro che, in questo modo, è possibile che anche un avversario
ottenga queste informazioni ed è per questa ragione che, al di là
delle misure di protezione utilizzare da Tor Project, la cosa
migliore è trovare in un altro Paese una persona di fiducia o
un’organizzazione che mantenga, per chi lo richiede, un bridge
offuscato “privato”. In questo caso, privato significa che il
bridge è configurato con l’opzione PublishServerDescriptor 0.
Senza questa opzione, il Tor Project saprà dell’esistenza del
bridge e potrebbe distribuire ad altre persone il suo indirizzo che,
così, rischierebbe di finire nelle mani di un avversario.
È
possibile impostare l’utilizzo dei bridge dalla configurazione di
rete del browser Tor.
Quando
appare la finestra di benvenuto, cliccare sul bottone +
e nella finestra
di dialogo, alla la voce “Ulteriori Impostazioni”
scegliere “Configurazione di Rete” e, successivamente,
selezionare l'opzione “Configure a Tor bridge or local proxy”I
bridge sono meno stabili e tendono ad avere prestazioni più basse
rispetto agli altri nodi di entrata.
La
rete Tor si affida a volontari che offrono i loro server e la loro
banda. Chiunque, quindi, può mettere a disposizione un proprio
computer per creare un relay della rete Tor. L’attuale rete Tor è
sottodimensionata rispetto al numero di persone che la utilizzano, il
che significa che Tor ha bisogno di più volontari per accrescere il
numero dei relay. Gestendo un relay Tor, come viene spiegato nella
pagina dedicata del sito Tor Project, si può contribuire a
migliorare la rete Tor rendendola:
più
veloce e, di conseguenza, più utilizzabile;
più
robusta contro gli attacchi;
più
stabile in caso di interruzioni;
più
sicura per i suoi utenti perché spiare più relay è più difficile
che farlo su pochi.
C’è
un ultimo aspetto da considerare, peraltro peculiare e che
rappresenta un problema non trascurabile: la sicurezza va a scapito
della velocità. Il “giro del mondo” che dovrà fare il flusso
dei dati, come abbiamo spiegato, renderà la navigazione lenta. Non
bisogna quindi pensare di usare Tor per lo streaming, il file sharing
o per attività che richiedano grandi flussi di dati.
Quanto
è sicuro ed anonimo Tor?
In
teoria dovrebbe essere sicura e garantire l’anonimato di chi lo
utilizza. In pratica esistono dubbi – anche fondati – sulla sua
reale sicurezza. Sullo stesso sito Tor Project, nella pagina di
supporto, alla domanda: “Sono completamente anonimo se utilizzo
Tor?”, viene data la seguente risposta: “In generale, è
impossibile avere un anonimato totale, perfino con Tor. Anche se ci
sono alcune pratiche da mettere in atto per accrescere il proprio
anonimato, mentre si utilizza Tor, ma anche offline. Tor non protegge
tutto il traffico Internet del tuo computer quando lo utilizzi. Tor
protegge soltanto applicazioni che sono configurate correttamente, in
modo da far passare il proprio traffico attraverso Tor”.
Detto
ciò, mentre Tor è anonimo in teoria, in pratica i “nodi di
uscita”, in cui il traffico lascia il protocollo “cipolla”
sicuro e viene decifrato, possono essere stabiliti da chiunque,
comprese le agenzie governative. Chiunque gestisca un nodo di uscita
può quindi leggere il traffico che lo attraversa.
Ed
infatti, ahimè, per più di 16 mesi, si è assistito all’aggiunta
di server dannosi alla rete Tor al fine di intercettare il traffico
ed eseguire attacchi di stripping SSL agli utenti che accedono a siti
dove si opera con le criptovalute.
Gli
attacchi, iniziati a gennaio 2020, sono consistiti nell'aggiungere
server alla rete Tor e contrassegnarli come "relè di uscita",
che, come spiegato in precedenza, sono i server attraverso i quali il
traffico lascia la rete Tor per rientrare su Internet pubblico dopo
essere stati resi anonimi.
Questi
server sono serviti ad identificare il traffico diretto ai siti Web
di criptovalute ed eseguire un attacco di stripping SSL, ossia un
tipo di attacco volto a declassare il traffico da una connessione
HTTPS crittografata a HTTP in chiaro.
L’ipotesi
più probabile è che l'attaccante abbia declassato il traffico a
HTTP al fine di sostituire gli indirizzi IP dei server di
criptovaluta con i propri e dirottare, così, le transazioni per
profitto personale.
Gli
attacchi non sono nuovi e sono stati documentati
ed esposti per la prima volta l'anno scorso, ad agosto, da un
ricercatore di sicurezza e operatore del nodo Tor noto come Nusenu.
All'epoca,
il ricercatore disse che l'aggressore era riuscito a inondare la rete
Tor di relè di uscita Tor dannosi in tre occasioni, portando il
picco della loro infrastruttura di attacco a circa il 23% della
capacità di uscita dell'intera rete Tor prima di essere chiuso dal
team Tor.
Ma
in una nuova
ricerca
pubblicata di recente e condivisa con The Record, Nusenu ha detto che
nonostante le loro operazioni siano state esposte pubblicamente, le
minacce sono continuate e sono ancora in corso.
Secondo
Nusenu, gli attacchi hanno raggiunto e superato un quarto dell'intera
capacità di uscita della rete Tor in due occasioni all'inizio del
2021, raggiungendo il picco del 27% a febbraio 2021.
La
seconda ondata di attacchi è stata rilevata, proprio come la prima,
e i relè di uscita Tor malevoli sono stati rimossi dalla rete Tor,
ma non prima che l'infrastruttura di attacco fosse viva e
intercettasse il traffico Tor per settimane o mesi.
Il
motivo principale per cui gli attacchi hanno funzionato per più di
un anno è stato perché l'attore malevolo ha aggiunto relè di
uscita dannosi “a piccole dosi” riuscendo così a nascondersi
all’interno della rete e costruendo l’infrastruttura malevola con
il tempo.
L’ultimo
attacco è stato individuato, però, velocemente per il fatto che la
capacità di uscita della rete Tor era passata da circa 1.500 relè
di uscita giornalieri a più di 2.500, un valore che nessuno poteva
ignorare.
Nonostante
siano stati rimossi più di 1.000 server, Nusenu ha anche detto che
dal 5 maggio 2021, l'aggressore controlla ancora tra il 4% e il 6%
dell'intera capacità di uscita della rete Tor, con attacchi di
stripping SSL ancora in corso.
Nell'agosto
2020, il Tor Project ha emesso una serie di raccomandazioni su come
le operazioni del sito Web e gli utenti di Tor Browser potrebbero
proteggersi da questo tipo di attacchi. Gli utenti che utilizzano il
browser Tor per accedere alla criptovaluta o ad altri siti finanziari
sono invitati a seguire i consigli forniti sul sito.
È
chiaro che non esiste infrastruttura che non sia attaccabile e che
gli attacchi sono volti, sempre di più, a colpire aree di interesse
crescente quali, appunto, come riportato nell’articolo, il mercato
delle criptovalute.
Nessuno, in sintesi, può ritenersi al sicuro.
Nemmeno con la navigazione in incognito.
Carlo Mauceli
