«Stavo facendo attività di ricerca in rete», spiega Filippo Cavallarin, fondatore We Are Segment, azienda del gruppo specializzata in Cyber security, «quando ho trovato qualcosa che non mi tornava, c’era un tassello diverso da quello che avrebbe dovuto esserci; così in un’ora di controlli sono arrivato a scoprire nel sistema un baco che di fatto vanifica il concetto stesso di anonimato che caratterizza il sistema Tor. E’ stata un’intuizione».
Questa vulnerabilità di portata mondiale, battezzata in seguito TorMoil, compromette il sistema di comunicazione anonima Tor Browser e coinvolge gli utenti che utilizzano i sistemi operativi macOS e Linux, lasciando fuori quelli di Windows. Come si legge nell’advisory della vulnerabilità, pubblicato dal CEO dell’azienda:
“A causa di un bug di FireFox nella gestione di file:// URLs, è possibile in entrambi i sistemi che gli utenti facciano trapelare il proprio indirizzi IP.”
Ciò compromette il principio e il fondamento stesso del browser Tor, vanificandone, di conseguenza, anche il vantaggio dell’anonimato.
La scelta etica
Filippo Cavallarin aveva due possibilità riguardanti la diffusione della sua scoperta:
– Poteva vendere la vulnerabilità a società come Zerodium, e ricavarne un notevole profitto
– Poteva prendere la strada etica e comunicarla a Tor stesso e dargli il tempo di riparare il guasto e poi comunicare la sua scoperta al mondo.
Il CEO di We Are Segment ha scelto la seconda strada, seguendo le basi della responsible disclosure per TorMoil, non solo per rispettare il codice etico aziendale mettendo avanti al profitto la scelta di essere hacker etici, ma anche per salvare la vita di coloro che utilizzano Tor per diffondere notizie e denunciare soprusi in quei luoghi dove la libertà di espressione è limitata.
Proprio come spiega Filippo nel comunicato stampa:
«La compromissione dell’anonimato è un problema da non sottovalutare assolutamente nella rete Tor: infatti espone ad altissimo rischio tutti coloro che affidano a Tor la loro identità ed in alcuni casi, può anche costare loro la vita.
Basti pensare a quanti giornalisti, grazie a questo strumento, eludono le censure governative per esercitare il loro diritto alla libertà di parola.»
La portata della scoperta di TorMoil
La notizia è stata rilasciata inizialmente ed in esclusiva da Repubblica e poi dalla stessa azienda We are Segment, nel tardo pomeriggio di venerdì 3 Novembre. In poche ore, la notizia si è diffusa a macchia d’olio, non solo in Italia ma anche nel resto del mondo.
Testate nazionali ed internazionali, così come le tv nazionali, hanno mostrato il loro interesse per intervistare l’Hacker etico che sta dietro TorMoil e poter così diffondere informazioni su questa alta criticità nel sistema del browserTor.
Dopo La Repubblica, ne hanno parlato il Corriere della Sera, Ansa e molti altri magazine online italiani, così come quelli internazionali, da riviste russe, arabe o del sud est asiatico, come Securitylab.ru o News Asis, a testate internazionali e dalla maggiore visibilità, come The Hacker News, ZDNet, The Register e Security Affairs.
Tor e la sua importanza
Tor, acronimo per “The Onion Router”, è un sistema di comunicazione che permette la navigazione in internet in totale anonimato. In altre parole, gli utenti non possono essere rintracciati, risalendo all’indirizzo IP del PC o del device connesso, in quanto il sistema è stato costruito a strati, nel senso che i dati vengono crittografati sui diversi livelli che formano il sistema a Cipolla.
“Il protocollo della Cipolla” è formato da un gruppo di server volontari che permettono alle persone di aumentare la privacy e la sicurezza nella navigazione. Infatti, gli utenti, invece di stabilire una connessione diretta alla rete, usano un sistema di tunnel virtuali che camuffano le tracce compiute da ogni singolo dato.