Il ricercatore di sicurezza Dan Egerstad, dopo aver lanciato l'allarme ripetutamente e non essere stato ascoltato, ha deciso di esporre le sue scoperte per richiamare l'attenzione.

C'è stato molto subbuglio per quanto accaduto a Dan Egerstad, un giovane analista di sicurezza che ha messo a nudo alcune debolezze di TOR, acronimo di The Onion Router, popolare sistema di anonimizzazione del traffico sponsorizzato dalla EFF.

TOR (spiegazioni su Wikipedia) è un sistema di Proxy a catena che rende molto difficile risalire a chi ha originato il traffico verso un determinato punto della rete Internet. Tra i nodi di TOR il traffico è cifrato, ma non lo è in ingresso e in uscita dalla "nuvola" di TOR: pertanto, un nodo terminale in qualche modo compromesso e dotato di tecniche di sniffing può rivelare cose molto... interessanti sul traffico che lo attraversa.

È esattamente quel che è accaduto a Dan Egerstad, che sul suo blog DangeredSecurity ha pubblicato un post in cui descrive esattamente cosa è accaduto. In pratica, il giovane si è servito di alcuni nodi terminali nei quali aveva inserito la registrazione del traffico e vi ha rilevato, sulla scorta di alcune parole chiave ritenute sensibili, il passaggio di messaggi e-mail, non solo non cifrati, ma anche con le relative coppie nome-utente e password in chiaro.

Pur avendo tentato di rappresentare la scoperta e considerando che alcuni governi hanno specificamente disposto che i propri dipendenti fossero obbligati ad usare TOR, i suoi avvisi hanno ricevuto un feedback di scarso spessore.

Egerstad ha allora deciso di pubblicare l'elenco completo dei dati sensibili (account, password, ecc.) di 100 Enti, Istituti, Ambasciate e altre strutture governative. "We choose to publish 100 sensitive accounts for Governments in full disclosure to get heads turned.", ha scritto, che significa "abbiamo deciso di pubblicare integralmente [i dati di] 100 account governativi per far loro girare la testa".

La notizia è rapidamente saltata su molti siti: ne parlano eWeek, Ars Technica, PC World, Computer World e molti altri. Il ricercatore, nel suo post, assicura che nessun account, con l'occasione, è stato "hackerato" e ribadisce che tutti i dati contenuti nei dischi dei computer usati per la vicenda sono stati distrutti.

La nota di Egerstad si conclude con un ringraziamento a tutti coloro che hanno collaborato e con un laconico "fuck all of you who are filing police reports on me, you are idiots and are only proving that you haven’t understood anything", che significa "affanc... tutti coloro tra voi che stileranno rapporti di polizia su di me, se lo farete siete degli idioti e dimostrerete di non aver capito nulla".

Il monito contenuto nel post di Egerstad, infatti, recita: "ToR isn’t the problem, just use it for what it’s made for." ovvero "Non è ToR il problema, va solo usato per fare le cose per cui è stato concepito".

In Italia si è parlato abbastanza poco di questa vicenda che assume, invece, un ruolo di monito a livello generale e dovrebbe insegnarci che della rete occorre farne un uso onesto, cosciente e consapevole, soprattutto senza deliri di onnipotenza.

Condividere questa pagina su: