No, Tor Browser non è stato violato
C'è un'enorme differenza fra dire che è stata trovata una vulnerabilità su un browser e che è stato violato un sistema
share
Negli ultimi giorni avrete sentito, e visto dai vari titoli che sono comparsi sui giornali, che TorBrowser (che, sostanzialmente, è un modo di trasportare i dati fatto, e nato, per garantire l’anonimato) è stato violato, quindi tutti hanno inteso che non è un browser sicuro. No, non è così, in questo caso il verbo “violare” non è stato usato propriamente, è stato un vero e proprio titolo click-bait pensato da qualche “giornalaio” per ottenere un po’ di visibilità. Il problema è che poi la notizia così impostata è stata ripresa da altre testate giornalistiche, trasmettendo ad una platea più ampia di lettori delle informazioni errate.
Ma quindi Tor non è sicuro? Vediamo un po’.
Facciamo un esempio, se la posizione geografica dei furgoni portavalori utilizzati dalla vostra banca potessero essere raggiunti da un’entità terza, direste che la vostra banca è stata oggetto di violazione informatica? No. Lo stesso principio è applicabile a Tor. Quindi, no, Tor non è stato violato, è stata trovata una vulnerabilità su Tor Browser, uno dei programmi che viene fornito in dotazione con Tor ma che non è obbligatorio utilizzare. Le vulnerabilità, poi, erano concentrate solo nelle ultime versioni di Linux e MacOs. Il problema è che permettevano ad un attaccante esterno d’ottenere informazioni non sul contenuto di quello che l’utente stava vendendo ma, eventualmente, il suo indirizzo IP. Le versioni per Windows non sono affette da questa vulnerabilità, così come altri software, perché bloccano la funzionalità che è stata attaccata: FILE:// che permette di visualizzare anche i file sul PC (non quelli remoti).
Quindi, c’è un’enorme differenza fra dire che è stata trovata una vulnerabilità su un browser o che è stato violato un sistema. Ma questo vuol dire che quanto è successo è poco importante e/o interessante? Assolutamente no. I ragazzi di We are Segment hanno, infatti, scoperto una vulnerabilità importante legata all’information disclosure di uno dei software OpenSource che, probabilmente, è fra i più soggetti a controlli Audit a livello mondiale.
Ma la disinformazione di fondo rimane perché la maggior parte delle volte in cui si parla di sicurezza informatica i media italiani non sono in grado di definire correttamente cosa è accaduto. Questo dipende anche dalla nostra scarsa capacità, come italiani, di capire determinati fenomeni legati all’innovazione. Tuttavia, questa imprecisione che possiamo trovare sui media sicuramente non aiuta l’utente medio ad ampliare il suo bagaglio di conoscenze.
Ho voluto parlare di quanto accaduto con Filippo Cavallarin il quale, oltre ad essere un caro amico, è CEO e Founder proprio di We Are Segment, l’azienda italiana summenzionata e che ha individuato il suddetto problema.
Secondo Filippo “è molto facile per chi non è un tecnico del settore confondere una componente di un insieme con l’insieme stesso. Se dovessi “sfondare” (come si dice in gergo), ad esempio, Internet Explorer, molti capirebbero che ho sfondato “tutto l’Internet”, ma in realtà avrei solamente bucato un browser, non tutta la Rete. È un’incomprensione abbastanza comune, quindi abbiamo modificato il nostro comunicato stampa per non permettere una cattiva interpretazione dei fatti e rendere più chiaro l’accaduto. Il problema non è stato ancora sistemato, ma per ora TorBrowser 7.09 è stato messo in sicurezza. Siamo in attesa che i ragazzi di Firefox rilascino la patch definitiva, ma comunque ora gli utenti Linux e MacOs possono navigare in sicurezza. Ciò che è interessante riguarda il fatto che il bug trovato era già presente da tempo, quindi era un bug endemico, non si è creato ora. Inoltre, se la vulnerabilità fosse stata utilizzata da qualcuno probabilmente, proprio a causa della natura delle stessa, avremmo avuto un attacco “target” (diretto verso qualcosa di specifico), non un attacco “wide” (a tutta la Rete nella sua interezza). Il tempo di risposta di Tor è stato molto veloce, dopo 2 ore dall’invio della mia segnalazione mi hanno risposto ringraziandomi e sottolineando che avevano già analizzato il problema e confermavano la vulnerabilità.”
In questi giorni dovrebbe esserci il fixing del problema, quindi alcuni dettagli non sono ancora stati resi pubblici, ma una volta sistemato, verrà rilasciata una disclosure e di conseguenza verranno fornite maggiori informazioni su questa vulnerabilità.
Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it
