L’attacco all’infrastruttura TOR – Le criptovalute il vero obiettivo

(di Carlo Mauceli)
31/05/21

Parlando di anonimato in rete e di navigazione nel Dark Web si fa spesso riferimento a Tor. Nell’immaginario comune Tor è visto sia come metodo di comunicazione Internet per abilitare l’anonimato online sia come strumento per l’accesso alla “rete oscura”. È necessario, pertanto, fare un po' di chiarezza nonché sfatare alcuni miti.

La prima differenza sostanziale riguarda il fatto che la navigazione nel Dark Web è profondamente diversa rispetto alla navigazione in incognito, detta anche "navigazione privata", che viene offerta come opzione su tutti i browser. Questa differenza va sottolineata perché, troppo spesso, è oggetto di alcune false credenze: la navigazione in incognito ha semplicemente il vantaggio di non salvare la cronologia di navigazione, i cookie, i dati dei siti e le informazioni inserite nei moduli dei siti ma è molto lontana dal garantire un reale anonimato al navigatore

Il provider di servizi Internet traccia tutte le attività in ogni caso, conosce l’indirizzo IP e può identificare la posizione del internauta. 

Inoltre, la navigazione in incognito non ci permette in alcun modo di entrare nel Dark Web che rappresenta un mondo a parte rispetto al Web che tutti noi navighiamo.

Deep Web e Dark Web sono due mondi diversi

Dark Web e Deep Web sono due mondi molto diversi e in un certo senso non comunicanti tra loro. Infatti, è bene sottolineare come tutti noi navighiamo, abitualmente, nel Deep Web che, per definizione, indica l’insieme delle pagine presenti sul web che non sono indicizzate dai comuni motori di ricerca quali Google, Bing, ecc. Ne fanno parte nuovi siti, pagine web a contenuto dinamico, web software, siti privati aziendali, reti peer-to-peer.

L’opposto del Deep Web si chiama Surface Web che è costituito, invece, da pagine indicizzate dai motori di ricerca. Pertanto, Deep e Surface Web sono le due facce della stessa medaglia con la differenza che la prima non è indicizzata e, dunque, potremo raggiungerla solo se ne conosciamo l’URL. Consideriamo Deep Web la pagina del nostro profilo Facebook, così come la pagina web della nostra casella Hotmail e i siti dei Cloud Service Provider dove sono archiviati i nostri file così come le tante pagine aziendali, governative, finanziarie a solo utilizzo interno, presenti sul web, ma non indicizzate. L’immagine, dove il web viene rappresentato come un iceberg, illustra in modo efficace i concetti espressi.

Il Dark Web è, invece, una frazione molto piccola del web. Si tratta di un mondo separato e poco accessibile, che si appoggia sulle Darknet che sono reti chiuse per accedere alle quali sono necessarie particolari configurazioni. Le principali Darknet sono:

  • Freenet, poco utilizzata;
  • I2P;
  • Tor, The Onion Router, che è ormai diventata la più famosa e usata tra queste reti.

È importante sottolineare che navigare nel Dark Web non ha nulla a che vedere con la navigazione in incognito dei browser. I browser tradizionali, infatti, non ci permettono di accedere al Dark Web. Per entrare nel Dark Web servono strumenti appropriati. Il browser più noto ed utilizzato è "Tor" che cerchiamo di descrivere per conoscerlo meglio e per sfatare un falso mito: navigare nel Dark Web non è illegale, salvo che non lo si utilizzi per azioni illecite.

Tor

La Darknet Tor esiste dal 1998 quando la U.S. Navy la realizzò utilizzando la tecnologia “onion routing” sviluppata per garantire l’anonimato. Nel 2006 è stata resa di pubblico dominio e nello stesso anno è nata Tor Project Inc., organizzazione no profit con sede in USA. Si tratta di un’infrastruttura hardware dedicata e costituita da server che la ospitano. Oggi Tor è diretta da Bruce Schneier, crittografo e tecnologo della sicurezza di fama mondiale il cui blog, dedicato ai temi della cyber security, è tra i più noti e frequentati in tutto il mondo. Le organizzazioni che costituiscono Tor Project sono, tra le altre, lo U.S. Department of State Bureau of Democracy, lo Human Rights e il Labor. Pertanto, direi che è evidente come Tor Project non sia un’associazione clandestina o finalizzata al crimine informatico. Tutt’altro, come, peraltro, si può leggere nel sito: “Defend yourself against tracking and surveillance. Circumvent censorship”.

Per questi motivi, Tor è una rete di comunicazione usata soprattutto da giornalisti, attivisti politici e whistleblowers di Paesi meno democratici dove è necessario aggirare la censura e la sorveglianza per esprimere il proprio parere. Il fatto che sia usata anche dai “cattivi” non ne inficia il valore. È, senza dubbio, la rete Darknet più popolare e conosciuta ed è utilizzata in tutto il mondo da oltre 750.000 utenti Internet ogni giorno.

Infrastruttura di Tor

La rete Tor è costituita da alcune migliaia di server sparsi nel mondo. Nello specifico, stiamo parlando di un numero che si aggira tra 6.000 e 8.000 “relay” e di quasi 3.000 “bridge”, quasi tutti gestiti da volontari. I dati di navigazione non fluiscono direttamente dal client al server ma il transito passa attraverso i relay Tor che operano da router, realizzando, così, un circuito virtuale crittografato a strati, esattamente come una “cipolla”, da cui il nome Onion.

Per questo motivo gli URL della rete Tor hanno il TLD, Top Level Domain, che non è il classico .com o .it ma .onion. Quando si avvia la navigazione aprendo il browser Tor, vengono scelti in maniera casuale tre nodi in modo da costituire una catena di navigazione.

In ogni passaggio, la comunicazione viene crittografata e questo avviene per ciascun nodo. Il fatto, inoltre, che ogni nodo della rete conosce solo il precedente e il successivo, rende difficile essere in grado di risalire al client di partenza. Ci sono tre tipi di relay nel sistema di navigazione Tor:

  • guard/middle relay;
  • exit relay;
  • bridge.

Come abbiamo detto, per ragioni di sicurezza, il traffico Tor passa attraverso almeno tre relay prima di raggiungere la sua destinazione. Il primo è il guard relay, il secondo è un middle relay che riceve il traffico e lo passa infine all’exit relay.

I relay intermedi, guard e middle, sono visibili solo all’interno della rete Tor e, a differenza del relay d’uscita, non fanno apparire il proprietario del relay come la fonte del traffico. Ciò significa che un relay intermedio è generalmente sicuro. Potremmo averlo anche nel server di casa nostra, diventando così un nodo dell’infrastruttura Tor. Il relay di uscita è l’ultimo nodo che il traffico Tor attraversa prima di raggiungere la sua destinazione.

I servizi a cui i client Tor si connettono, come, ad esempio, il sito web, il servizio di chat, il provider di posta elettronica, ecc. vedranno l’indirizzo IP del relay di uscita invece dell’indirizzo IP reale dell’utente Tor. Ciò significa che è l’indirizzo IP del relay di uscita che viene interpretato come la fonte del traffico.

La topografia della rete Tor viene completata con i bridge. È importante sapere che la struttura della rete Tor prevede che gli indirizzi IP dei relay Tor siano pubblici. Pertanto, se un governo o un ISP volesse bloccare le rete, potrebbe farlo facilmente mettendo nelle blacklist gli indirizzi IP di questi nodi Tor pubblici. Per questa ragione esistono i bridge che, essendo nodi che non sono indicati nell’elenco pubblico come parte della rete Tor, rendono più difficile bloccare l’intera rete da parte dei governi e degli ISP. I bridge sono strumenti essenziali per l’elusione della censura nei Paesi che bloccano regolarmente gli indirizzi IP di tutti i relay Tor elencati pubblicamente, come Cina, Turchia e Iran.

Di fatto si usano al posto del nodo di entrata, normalmente indicato come server di un dato Paese, per impedire, appunto, all’ISP di sapere che si sta usando Tor.

Per usare Tor attraverso i bridge è necessario conoscere in anticipo l’indirizzo di almeno un bridge. Tor project distribuisce gli indirizzi IP dei bridge con diversi mezzi, tra cui il sito web e la posta elettronica.

È chiaro che, in questo modo, è possibile che anche un avversario ottenga queste informazioni ed è per questa ragione che, al di là delle misure di protezione utilizzate da Tor Project, la cosa migliore è trovare in un altro Paese una persona di fiducia o un’organizzazione che mantenga, per chi lo richiede, un bridge offuscato “privato”. In questo caso, privato significa che il bridge è configurato con l’opzione PublishServerDescriptor 0. Senza questa opzione, il Tor Project saprà dell’esistenza del bridge e potrebbe distribuire ad altre persone il suo indirizzo che, così, rischierebbe di finire nelle mani di un avversario.

È possibile impostare l’utilizzo dei bridge dalla configurazione di rete del browser Tor.

Quando appare la finestra di benvenuto, cliccare sul bottone "+" e nella finestra di dialogo, alla la voce “Ulteriori Impostazioni” scegliere “Configurazione di Rete” e, successivamente, selezionare l'opzione “Configure a Tor bridge or local proxy”.

I bridge sono meno stabili e tendono ad avere prestazioni più basse rispetto agli altri nodi di entrata.

La rete Tor si affida a volontari che offrono i loro server e la loro banda. Chiunque, quindi, può mettere a disposizione un proprio computer per creare un relay della rete Tor. L’attuale rete Tor è sottodimensionata rispetto al numero di persone che la utilizzano, il che significa che Tor ha bisogno di più volontari per accrescere il numero dei relay. Gestendo un relay Tor, come viene spiegato nella pagina dedicata del sito Tor Project, si può contribuire a migliorare la rete Tor rendendola:

  • più veloce e, di conseguenza, più utilizzabile;
  • più robusta contro gli attacchi;
  • più stabile in caso di interruzioni;
  • più sicura per i suoi utenti perché spiare più relay è più difficile che farlo su pochi.

C’è un ultimo aspetto da considerare, peraltro peculiare e che rappresenta un problema non trascurabile: la sicurezza va a scapito della velocità. Il “giro del mondo” che dovrà fare il flusso dei dati, come abbiamo spiegato, renderà la navigazione lenta. Non bisogna quindi pensare di usare Tor per lo streaming, il file sharing o per attività che richiedano grandi flussi di dati.

Quanto è sicuro ed anonimo Tor?

In teoria dovrebbe essere sicura e garantire l’anonimato di chi lo utilizza. In pratica esistono dubbi – anche fondati – sulla sua reale sicurezza. Sullo stesso sito Tor Project, nella pagina di supporto, alla domanda: “Sono completamente anonimo se utilizzo Tor?”, viene data la seguente risposta: “In generale, è impossibile avere un anonimato totale, perfino con Tor. Anche se ci sono alcune pratiche da mettere in atto per accrescere il proprio anonimato, mentre si utilizza Tor, ma anche offline. Tor non protegge tutto il traffico Internet del tuo computer quando lo utilizzi. Tor protegge soltanto applicazioni che sono configurate correttamente, in modo da far passare il proprio traffico attraverso Tor”.

Detto ciò, mentre Tor è anonimo in teoria, in pratica i “nodi di uscita”, in cui il traffico lascia il protocollo “cipolla” sicuro e viene decifrato, possono essere stabiliti da chiunque, comprese le agenzie governative. Chiunque gestisca un nodo di uscita può quindi leggere il traffico che lo attraversa.

Ed infatti, ahimè, per più di 16 mesi, si è assistito all’aggiunta di server dannosi alla rete Tor al fine di intercettare il traffico ed eseguire attacchi di stripping SSL agli utenti che accedono a siti dove si opera con le criptovalute.

Gli attacchi, iniziati a gennaio 2020, sono consistiti nell'aggiungere server alla rete Tor e contrassegnarli come "relè di uscita", che, come spiegato in precedenza, sono i server attraverso i quali il traffico lascia la rete Tor per rientrare su Internet pubblico dopo essere stati resi anonimi.

Questi server sono serviti ad identificare il traffico diretto ai siti Web di criptovalute ed eseguire un attacco di stripping SSL, ossia un tipo di attacco volto a declassare il traffico da una connessione HTTPS crittografata a HTTP in chiaro.

L’ipotesi più probabile è che l'attaccante abbia declassato il traffico a HTTP al fine di sostituire gli indirizzi IP dei server di criptovaluta con i propri e dirottare, così, le transazioni per profitto personale.

Gli attacchi non sono nuovi e sono stati documentati ed esposti per la prima volta l'anno scorso, ad agosto, da un ricercatore di sicurezza e operatore del nodo Tor noto come Nusenu.

All'epoca, il ricercatore disse che l'aggressore era riuscito a inondare la rete Tor di relè di uscita Tor dannosi in tre occasioni, portando il picco della loro infrastruttura di attacco a circa il 23% della capacità di uscita dell'intera rete Tor prima di essere chiuso dal team Tor.

Ma in una nuova ricerca pubblicata di recente e condivisa con The Record, Nusenu ha detto che nonostante le loro operazioni siano state esposte pubblicamente, le minacce sono continuate e sono ancora in corso.

Secondo Nusenu, gli attacchi hanno raggiunto e superato un quarto dell'intera capacità di uscita della rete Tor in due occasioni all'inizio del 2021, raggiungendo il picco del 27% a febbraio 2021.

La seconda ondata di attacchi è stata rilevata, proprio come la prima, e i relè di uscita Tor malevoli sono stati rimossi dalla rete Tor, ma non prima che l'infrastruttura di attacco fosse viva e intercettasse il traffico Tor per settimane o mesi.

Il motivo principale per cui gli attacchi hanno funzionato per più di un anno è stato perché l'attore malevolo ha aggiunto relè di uscita dannosi “a piccole dosi” riuscendo così a nascondersi all’interno della rete e costruendo l’infrastruttura malevola con il tempo.

L’ultimo attacco è stato individuato, però, velocemente per il fatto che la capacità di uscita della rete Tor era passata da circa 1.500 relè di uscita giornalieri a più di 2.500, un valore che nessuno poteva ignorare.

Nonostante siano stati rimossi più di 1.000 server, Nusenu ha anche detto che dal 5 maggio 2021, l'aggressore controlla ancora tra il 4% e il 6% dell'intera capacità di uscita della rete Tor, con attacchi di stripping SSL ancora in corso.

Nell'agosto 2020, il Tor Project ha emesso una serie di raccomandazioni su come le operazioni del sito Web e gli utenti di Tor Browser potrebbero proteggersi da questo tipo di attacchi. Gli utenti che utilizzano il browser Tor per accedere alla criptovaluta o ad altri siti finanziari sono invitati a seguire i consigli forniti sul sito.

È chiaro che non esiste infrastruttura che non sia attaccabile e che gli attacchi sono volti, sempre di più, a colpire aree di interesse crescente quali, appunto, come riportato nell’articolo, il mercato delle criptovalute. 

Nessuno, in sintesi, può ritenersi al sicuro. Nemmeno con la navigazione in incognito.