Il progetto Tor usa tecniche di criptazione e routing con lo scopo di rendere anonimo (irrintracciabile) l’utente finale di un sito, in modo che nessuno possa intercettarlo. L’idea originale, sviluppata dalla marina americana, era avere un sistema che permettesse l’uso di internet da parte della popolazione (o dei propri agenti, a dirla tutta) quando era presente una sorveglianza o un blocco delle connessioni da parte del governo; gli esempi classici sono Iran e Cina. Col tempo il sistema è stato usato anche per altri scopi, come creare interi siti irrintracciabili (o meglio, visibili solo usando la rete Tor): questo è un esempio di deep web.
Ogni tanto qualche scivolone si vede anche in progetti dedicati alla sicurezza, ed è il caso di Tor browser, il bundle distribuito dal progetto Tor per rendere facile il suo uso (con tutto il necessario). Il bundle include anche un browser internet preconfigurato, basato su Firefox, e proprio questo browser ha (aveva) un bug piuttosto noioso: con una chiamata javascript ad hoc, il browser poteva rivelare le informazioni necessarie ad identificare la connessione dell’utente, vanificando completamente l’utilità di Tor.
Se si aggiunge che il bug è presente da 5 anni, si capisce che non è stata fatta proprio una bella figura. Anche perché nel frattempo il bug è stato sfruttato, tanto che il problema è diventato pubblico grazie ad un post nella community di Tor che includeva il codice per sfruttarlo. E si sa che almeno su windows è già sfruttato, rendendo il problema non solo critico ma (in gergo) 0-day: da sistemere il più presto possibile.
In effetti il giorno dopo è stata rilasciata una versione del bundle corretta. Dal post del 30 novembre, che lo annuncia (e che, ovviamente, incita all’aggiornamento):
Even though there is currently, to the best of our knowledge, no similar exploit for OS X or Linux users available the underlying bug affects those platforms as well.
Anche se al momento, al meglio della nostra conoscenza, non è disponibile un simile exploit contro gli utenti OS X o Linux, il bug sottostante impatta anche queste piattaforme.
Aggiungiamo che il problema non è confinato al browser Tor, in quanto presente anche in Firefox (il “bug sottostante”) e Thunderbird.
Insomma, come al solito: per stare tranquilli dobbiamo mantenere i programmi aggiornati! 😉
Fonte: arstechnica.com
Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.
Lascia un commento