Un hacker italiano “salva” Tor, il browser web anonimo

Che lo si usi a fin di bene (rifugiati politici, membri della resistenza nei regimi dittatoriali…) o per scopi meno nobili Tor è considerato l’unico sistema di navigazione su Internet in grado di assicurare una navigazione sul web realmente anonima e rispettosa della privacy. Ma anche un sistema pensato proprio per questo scopo – e di conseguenza considerato sicuro – può avere le sue falle. A scoprirle è stato Filippo Cavallarin, Ceo di We are Segment, azienda italiana specializzata nella sicurezza informatica. La vulnerabilità che ha identificato – TorMoil – permette a terze parti di risalire all’identità degli utenti che utilizzano i sistemi operativi macOS e Linux, vanificando del tutto i vantaggi del sistema Tor.

Due to a Firefox bug in handling file:// URLs it is possible on both systems that users leak their IP address. Once an affected user navigates to a specially crafted web page, the operating system may directly connect to the remote host, bypassing Tor Browser

Chi usa Tor deve immediatamente aggiornare il browser per evitare problemi.

Perché dirlo solo ora?

La falla è stata segnalata da Cavallarin agli sviluppatori di Tor e resa pubblica solo quando il problema è stato risolto. La ragione sta nel codice “deontologico” degli hacker etici.

“La compromissione dell’anonimato espone ad altissimo rischio tutti coloro che affidano a Tor la loro identità ed in alcuni casi, può anche costare loro la vita”, ha spiegato Cavallarin. “Basti pensare a quanti giornalisti, grazie a questo strumento, eludono le censure governative per esercitare il loro diritto alla libertà di parola. Questo tipo di vulnerabilità rappresenta davvero un’arma che, a seconda dei fini, può agevolare da un lato atti leciti o etici; dall’altro illeciti. Ecco perché la mia azienda ha scelto di divulgare questa informazione solo dopo la rapida risoluzione del problema. La nostra è stata una scelta puramente etica, sempre in linea con il nostro codice etico aziendale. Pur essendo un’azienda che mira a massimizzare il profitto, We are Segment è una società di persone che davanti a tutto mettono l’etica, infatti noi siamo ethical hackers”.

Lessons learned?

Il caso Tor sembrerebbe non avere attinenza con le tematiche industriali che trattiamo su questo sito, eppure qualche considerazione spinge a farla. Perché è l’ennesimo caso di un “tool” considerato sicuro e rivelatosi poi fallace, come accaduto per esempio anche nel caso del software CCleaner. Quello che occorre capire – astraendosi dal caso concreto – è che la “sicurezza” deve ormai essere interpretata in chiave probabilistica. Ci permettiamo quindi di dare alle imprese (e ai professionisti) tre consigli.

Primo: la sicurezza dei dati non è molto diversa da quella delle automobili che lasciamo parcheggiate per strada. Nessun antifurto può davvero metterle al sicuro, ma adottando le giuste precauzioni si può aumentare il proprio livello di sicurezza, cioè ridurre il rischio di essere attaccati. Segmentare le reti, differenziare gli accessi e i privilegi, considerare i rischi causati dall’ingresso di dispositivi ospiti all’interno della rete ecc. Una piccola “seccatura” oggi può risparmiare parecchie rogne domani.

Secondo: Siccome si può solo ridurre, ma non azzerare, la possibilità di subire un attacco, occorre dotarsi di un “piano B” da mettere in atto nel momento del bisogno. Backup, backup e ancora backup dei dati – online e offline. Ma non basta. Occorre sapere chi contattare per affrontare le prime urgenze. Sono cose che andrebbero insegnate in azienda un po’ come si fa con i corsi di primo soccorso.

Terzo: valutare la possibilità di assicurarsi dai danni che si possono subire o involontariamente arrecare a terzi a causa del furto subito. Spesso questi danni possono essere maggiori del valore del bene che ci viene sottratto. Oggi sono diverse le case assicurative che prevedono (anche se non pubblicizzano troppo) polizze di questo genere. Informatevi!

Franco Canna

Giornalista professionista ed esperto in creazione e gestione di contenuti digitali e social media. Grande appassionato di tecnologia, collabora dal 2001 con diverse testate B2B nel settore industriale scrivendo di automazione, elettronica, strumentazione, meccanica, ma anche economia e food & beverage, oltre che con organizzatori di eventi, fiere e aziende. E’ segretario e membro del Consiglio Direttivo della sezione milanese di ANIPLA, l’Associazione Nazionale Italiana per l’Automazione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.