Un’azienda italiana specializzata nella sicurezza informatica ha di recente scoperto una falla nel sistema internazionale di comunicazione anonima The Onion router, noto come Tor. La vulnerabilità è stata individuata da Filippo Cavallarin, 35anni, amministratore delegato di We are Segment, specializzata nella sicurezza informatica.
Nello specifico Cacallarin ha identificato una vulnerabilità - che ha battezzato TorMoil - nel software che permette a terze parti di risalire all’identità dell’utente, vanificando i vantaggi del sistema Tor. Come spiega Repubblica, che per prima ha dato la notizia, "Tor è un meccanismo di comunicazione in Rete che si basa sul cosiddetto 'protocollo della cipolla': una rete di snodi crittografati gestiti da volontari che consentono a chi naviga o spedisce messaggi di non lasciare traccia, e di offrire servizi da siti nascosti".
Questa vulnerabilità è riscontrabile solo dagli utenti che utilizzano i sistemi operativi macOS e Linux. La società californiana dietro il Tor ha ammesso in una nota la vulnerabilità, provvedendo a risolverla, si legge in una nota.
"Una questione incredibilmente preoccupante"
La scoperta di Cavallarin mette in evidenza “una questione dalla portata incredibilmente preoccupante” ha detto l’azienda in una nota ufficiale, sia per il numero di persone coinvolte sia per il tipo di attività, etiche o meno, che utilizzano questo sistema. La rete Tor nasce per consentire agli utenti di esercitare il diritto di anonimato in internet, quindi di non poter essere rintracciati risalendo semplicemente all’indirizzo IP, ovvero la nostra carta di identità in Internet, del pc o device connesso.
"Lo strumento per navigare sicuri, non è sicuro"
Attualmente questo sistema di comunicazione è considerato come il più sicuro e il più stabile al mondo, tanto che rappresenta il più diffuso standard in materia di anonimato in rete. “La scelta etica di segnalare la falla allo staff IT di Tor e, solo in seguito, condividere questa scoperta con le community non è sempre dovuto” specifica il team. Un comportamento etico segue le basi della cosiddetta responsible disclosure che prevede la segnalazione di un problema di sicurezza al produttore del software e solo dopo la sua risoluzione, la stessa viene resa pubblica. Tenuto conto della gravità della situazione e della serietà delle implicazioni, l’azienda veneziana ha preferito informare il mondo del pericolo perché gli utenti inconsapevoli possano aggiornare in tempi brevi il proprio software di navigazione Tor.
"Siamo hacker etici, abbiamo detto tutto all'azienda"
“La compromissione dell’anonimato è un problema da non sottovalutare assolutamente nella rete Tor: infatti espone ad altissimo rischio tutti coloro che affidano a Tor la loro identità ed in alcuni casi, può anche costare loro la vita” ha detto Filippo Cavallarin. “Basti pensare a quanti giornalisti, grazie a questo strumento, eludono le censure governative per esercitare il loro diritto alla libertà di parola. Questo tipo di vulnerabilità rappresenta davvero un’arma che, a seconda dei fini, può agevolare da un lato, atti leciti o etici; dall’altro illeciti. Ecco perché la mia azienda ha scelto di divulgare questa informazione solo dopo la rapida risoluzione del problema. La nostra è stata una scelta puramente etica, sempre in linea con il nostro codice etico aziendale. Pur essendo un’azienda che mira a massimizzare il profitto, We are Segment è una società di persone che davanti a tutto mettono l’etica, infatti noi siamo ethical hackers”.