Tor (The Onion Router) è stato compromesso. La rete, nata per assicurare comunicazioni anonime (ne abbiamo parlato in un articolo), sembra sia stato bucata da sconosciuti a partire dallo scorso febbraio, ben prima dei colpi di testa di Putin. Sul blog del progetto Tor si legge infatti che "chiunque abbia usato Tor tra l'inizio di febbraio e il 4 luglio dovrebbe ritenere di essere stato colpito dall'attacco".

Chi è stato? Si teorizza che l'attaccante sia stato qualche ricercatore. Gli occhi sono puntati sulla divisione CERT del Software Engineering Institute (SEI) della Carnegie Mellon University. All'inizio di questo mese il CERT ha infatti cancellato un intervento alla conferenza Black Hat intitolato "You Don't Have to be the NSA to Break Tor: Deanonymizing Users on a Budget".

In quell'occasione i ricercatori avrebbero dovuto spiegare come compromettere Tor con una spesa di 3000 dollari circa, ma poi l'ufficio legale dell'Università ha bloccato la pubblicazione del materiale. Coincidenze? A pensar male si fa peccato ma spesso ci si azzecca.

Chiunque sia stato è comunque riuscito, a quanto pare, a raccogliere informazioni sulle persone che hanno usato Tor per visitare i siti del Deep Web, come il noto Silk Road. Inoltre potrebbe teoricamente aver compromesso altre parti della rete. La vicenda è ancora avvolta dall'oscurità, anche perché il post sul blog è un insieme di "crediamo, pensiamo".

Chi ha bucato Thor ha cercato di recuperare le chiavi pubbliche per accedere a servizi nascosti, ma "probabilmente non sono stati in grado di vedere tutto il traffico a livello di applicazione (ad esempio quali pagine sono state caricate o se gli utenti hanno visitato il servizio nascosto)", riporta il post sul blog.

"L'attacco, probabilmente, ha anche provato a capire chi ha pubblicato i descrittori dei servizi nascosti. Questo consentirebbe agli attaccanti di conoscere l'ubicazione del servizio nascosto", aggiunge il team di Tor. Per l'attacco sono stati usati due metodi combinati, uno noto come "traffic confirmation" e l'altro come "Sybil attack".

Gli attaccanti hanno ricercato traffico su un relay Tor e poi hanno provato a rintracciare un traffico simile su un altro relay. Controllando i due, e lavorando a ritroso, è possibile scoprire chi c'è dietro. Inoltre, sul finire di gennaio sono stati creati centinaia di nuovi relay, il 6,4% della rete, compromettendo parzialmente la sicurezza.

Adesso, i relay in oggetto sono stati eliminati ed è stato distribuito un aggiornamento software che dovrebbe risolvere alcuni problemi di sicurezza. Il team di Tor sta inoltre cercando modi per rendere più difficile per i relay sospetti ottenere rilevanza o ai malintenzionati di analizzare e abbinare traffico.