Pochi giorni fa sono stato catturato da un articolo particolare pubblicato sul blog di torproject.org. I ragazzi che gestiscono il progetto Tor hanno lanciato un allarme. Sembra infatti che ci sono stati alcuni tentativi da parte delle autorità di sequestrare le Directory Authority di Tor mettendo in serio pericolo la sicurezza e la privacy degli utenti dell’intera rete.

L’articolo di torproject.org

Ma cosa sono le Directory Authority (DirAuth)?

Le Directory Authority sono dei server speciali che aiutano i client connessi a Tor ad acquisire la lista dei relays disponibili.

Come fanno i client a conoscere dove sono i relay e come fanno a conoscere se hanno la giusta chiave per instradare la connessione?

Ogni relay ha una chiave a lungo termine chiamata “Identity Key”. Nelle liste che le Directory Authority hanno, ci sono anche i certificati di ogni relay (auto firmati) che specificano le loro chiavi, locazione e politiche di connessione.

Se si riuscisse a controllare le maggiori DirAuth (nel 2012 erano 8) della rete Tor si avrebbe la possibilità di decidere che strada far prendere alle connessioni in uscita. Controllando di fatto l’intera rete.

Dove sono scritte queste DirAuth?

Il software Tor viene precompilato con la lista delle location e delle chiavi pubbliche per ogni DirAuth. L’unico modo per ingannare il sistema e usare altre DirAuth è quello di modificare il software stesso. Per sicurezza il software viene rilasciato con una firma hash che è possibile verificare una volta effettuato il download.

Attacco a Tor

Dopo l’annuncio di questo possibile tentativo di bloccare la rete Tor da parte delle autorità statunitensi. E’ stato pubblicato sulla loro mailing-list questo avviso:

Thomas White thomaswhite at riseup.net – Sun Dec 21 20:17:23 UTC 2014

Dear all,

Many of you by now are probably aware than I run a large exit node
cluster for the Tor network and run a collection of mirrors (also ones
available over hidden services).

Tonight there has been some unusual activity taking place and I have
now lost control of all servers under the ISP and my account has been
suspended. Having reviewed the last available information of the
sensors, the chassis of the servers was opened and an unknown USB
device was plugged in only 30-60 seconds before the connection was
broken. From experience I know this trend of activity is similar to
the protocol of sophisticated law enforcement who carry out a search
and seizure of running servers.

Until I have had the time and information available to review the
situation, I am strongly recommending my mirrors are not used under
any circumstances. If they come back online without a PGP signed
message from myself to further explain the situation, exercise extreme
caution and treat even any items delivered over TLS to be potentially
hostile. […]

In sintesi, il proprietario di un grande exit-node di Tor un certo Thomas White, annuncia sulla mailinglist di Torproject che i suoi server non sono più raggiungibili. Thomas ipotizza un possibile sequestro da parte delle autorità dell’intero cluster.

Banalmente sono caduto nel tranello anch’io. Ho pensato che Thomas gestisse una DirAuth.

Grazie a Filippo Valsorda (@filosottile) che mi ha confermato la totale indipendenza dei due avvenimenti, ho avuto un quadro più chiaro.

Oggi leggo su punto-informatico.it questo articolo

Alfonso Maruccia di Punto-Informatico è caduto nel mio stesso errore.

Una conferma dei pericoli denunciati dagli sviluppatori è arrivata in queste ore da Thomas White, gestore di un cluster di relay di Tor: il provider ha sospeso il mio account e tutti i server sotto il mio controllo, ha spiegato White […]

Alfonso Maruccia su Punto-informatico.it

Tutto infatti ha avuto conferma perché nello stesso articolo di Torproject.org dove veniva lanciato l’avviso è apparso questo aggiornamento che sembrerebbe chiarire ogni collegamento.

[Update Monday Dec 22: So far all is quiet on the directory authority front, and no news is good news.]

Anche nei commenti dello stesso articolo di Torproject.org appare una risposta chiara a chi aveva fatto la stessa ipotesi sbagliata.

On December 21st, 2014 arma said:
No, this is an exit relay operator, not a directory authority operator.
Also, this particular fellow has had a series of run-ins with British law enforcement. This run-in is far from his first (and won’t be hs last either probably).
England is really bad news these days in terms of civil liberties. I’m glad we don’t have any directory authorities in England.

Diffondete la corretta informazione e invitate a correggere articoli e post senza lanciare falsi allarmi. Per ora i due eventi non sono collegati. Per ora.

Attendo come sempre i vostri commenti!