TOR è un software pressocchè sicuro, errori umani a parte.
Il tracciamento degli utenti, oltre che per errori umani, avviene tramite il famigerato NIT: usato dalla FBI.
Cosa vuol dire NIT? Network Investigative Technique o anche "Drive By Download".
Come avviene il tracciamento? Tramite Malware ed Exploit.
Per poter tracciare gli utenti sulla rete TOR, l'FBI utilizza un Malware installato nel PC della vittima (e non nella rete TOR) il quale consente di tracciare l'utente che utilizza la rete anonima.
Si aprono anche scenari inquietanti per possibili altri utilizzi, l’indebolimento di una tecnologia invocata da lavoratori e attivisti per i diritti umani, e la possibilità per persone innocenti di essere infettati dal Malware e di essere incolpati per aver visitato casualmente il sito sbagliato.
L’uso del Malware o comunque l'utilizzo di software di tracciamento da parte dell’FBI non è una novità.
CIPAV (2007)
Non è una novità perchè basti dire che nel 2007 utilizzavano il CIPAV (Computer And Internet Protocol Address Verifier) che permise di sventare un attentato in una scuola di Washington.
Questo tipo di software permettono di risalire all'indirizzo IP, indirizzo MAC, browser utilizzato, porte aperte, programmi in esecuzione, sistema operativo e finanche nome del proprietario del PC.
Ma come vengono installati? Tramite bug del browser ed ovviamente con le classiche tecniche di pishing e d'Ingegneria Sociale utilizzate dagli Hacker per invogliare un utente ad installare un software malevolo.
Ci sono casi di utilizzo di questi software già nei primi anni del 2000: in particolare nel 2002 e nel 2004 (dove un Hacker a Boston violò PC, TV e Telefoni di un migliaio di persone).
Software analoghi vengono usati per casi che vanno dalla pirateria informatica a minacce di bomba, pornografia infantile ed estorsione.
A seconda della distribuzione, un NIT può essere una Backdoor che da l’accesso al governo ai vostri file, posizione, cronologia web e webcam oppure un semplice spyware.
Come si sarà capito neanche i cosiddetti Hidden Service con indirizzi che terminano in .onion, le cui posizioni fisiche sono teoricamente irrintracciabili, non sono al sicuro con questo tipo di Malware.
Perchè la falla non è nella rete TOR ma nel vostro PC.
Se un keylogger registra ciò che digitate sulla tastiera, lo farà indipendentemente dal tipo di browser o proxy che utilizzate.
OPERAZIONE TORPEDO (2012)
L’FBI, per via dell'illegalità che regna nella rete TOR, ha presentato la propria soluzione nel 2012, in un’inchiesta denominata “Operation Torpedo”.
L’Operation Torpedo è iniziata con un’indagine nei Paesi Bassi nel mese di agosto 2011.
Agenti del National High Tech Crime Unit della polizia olandese avevano deciso di reprimere la pornografia infantile online, secondo una dichiarazione giurata dell’FBI.
A tal fine, programmarono un web crawler che ha perlustrato la Darknet, raccogliendo tutti gli indirizzi .onion che potesse trovare.
Gli agenti del NHTCU hanno sistematicamente visionato ognuno dei siti e hanno fatto un elenco di quelli dedicati alla pornografia infantile.
Poi, armati di un mandato di perquisizione da parte della Corte di Rotterdam, gli agenti hanno cercato di determinare dove erano situati i siti.
Che, in teoria, è un compito quasi impossibile.
Ma quando gli agenti sono arrivati ad un sito chiamato “Pedoboard,” hanno scoperto che il proprietario aveva stupidamente lasciato l’account amministrativo aperto senza password.
Hanno effettuato l’accesso e cominciato a frugare, trovando l’indirizzo IP reale del server a Bellevue, Nebraska.
Hanno fornito le informazioni all’FBI, che ha collegato l’indirizzo IP al 31enne Aaron McGrath.
Si è scoperto che McGrath ospitava non uno, ma due siti di pornografia infantile presso la server farm dove lavorava e un terzo a casa.
Nel novembre 2012, i federali piombano in casa di McGrath, prendono i server e portano il tutto in un ufficio dell’FBI a Omaha.
Un magistrato federale firmò tre distinti mandati di perquisizione: uno per ciascuno dei tre servizi nascosti.
I mandati autorizzavano l’FBI a modificare il codice sui server per mandare il NIT su tutti i computer che accedevano al sito.
Questo NIT era stato appositamente creato per identificare i computer, senza salvare i tasti digitati o spedire file al bureau.
In un periodo di due settimane, l’FBI ha raccolto gli indirizzi IP, gli indirizzi MAC hardware e nomi di host di Windows di almeno 25 visitatori dei siti.
Poi con l'aiuto del provider è stato un gioco da ragazzi associare l'IP al proprietario della linea telefonica.
In fin dei conti però la FBI aveva commesso degli illeciti diffondendo Malware ed invadendo comunque la privacy, inoltre:
“Normalmente qualcuno che è soggetto ad un mandato di perquisizione deve essere avvertito praticamente subito” disse l’avvocato difensore Joseph Gross Jr.
“Tutto ciò è una palese violazione del quarto emendamento.”
E’ comunque difficile fornire una scusa legittima dopo aver visitato siti simili: il semplice atto di guardare pornografia infantile è un crimine.
Nell'inchiesta, per non invalidarla, non si usavano mai le parole “Hack”, “Malware” o “Exploit”, la verità però è che questo tipo di software sono Malware, senza se e senza ma.
L'EXPLOIT "MAGNETO" SU FREEDOM HOSTING (2013)
Il Malware per il browser TOR che permise nel luglio 2013 di arrestare Eric Eoin Marques (fondatore e proprietario di Freedom Hosting) va sotto il nome di “Magneto”
Lavorando con le autorità francesi, l’FBI ottenne il controllo dei server di Marques presso una società di hosting in Francia.
Poi il bureau sembra li abbia riallocati o clonati nel Maryland, dove è stata incentrata l’inchiesta.
Il primo agosto 2013, alcuni utenti di TOR avevano notato che i siti di Freedom Hosting stavano servendo un “iframe” (un tipo di sito web all’interno del sito web stesso. L’iframe conteneva codice Javascript che sfruttava una vulnerabilità di Firefox per eseguire le istruzioni sul computer della vittima).
Questo fu il primo exploit trovato nel browser TOR.
Nel codice era nascosto un piccolo software chiamato Magneto che raccoglieva l’indirizzo MAC del bersaglio e il nome host di Windows e poi li inviava in Virginia.
In parole povere, l'exploit aveva annullato l’anonimato per cui il browser TOR era stato progettato.
La vulnerabilità era nota come CVE-2013-1690.
Il drive-by di Freedom Hosting (utilizzato pare anche su Tormail), in silenzio, raccoglieva dati su criminali ed anche su vittime innocenti.
Nessun commento:
Posta un commento