“Dall’Fbi un milione di dollari a un’università americana per scoprire chi usa Tor”
I responsabili del software che garantisce la privacy accusano. I federali non commentano ma non smentiscono. In Italia sono 100 i nodi Tor a rischio
di ARTURO DI CORINTO per La Repubblica del 14 Novembre 2015
L’FBI non commenta ma non nega di avere dato un milione di dollari a un gruppo di ricercaTori per svelare i nomi degli utenti di Tor, il progetto di anonimato online dell’omonima fondazione. Tutto è cominciato con una dichiarazione del diretTore del Progetto, Roger Dingledine, secondo il quale la Carnegie Mellon University avrebbe ricevuto questa quantità di denaro per de-anonimizzare gli indirizzi Tor facenti capo ad alcuni utenti all’interno di una più vasta operazione di polizia.
Il sospetto che le autorità cerchino queste vulnerabilità di Tor per denunciarne gli utilizzaTori non è recente ma è stato rivelato solo ieri. Proprio a luglio, infatti, i tecnici avevano individuato e respinto un attacco contro il loro software che usava una tecnica sviluppata e descritta in uno studio scientifico da un gruppo di ricercaTori della Carnegie Mellon University. Gli stessi ricercaTori che avevano appena cancellato la loro presenza a una conferenza sulla sicurezza informatica dove avrebbero dovuto illustrare – guarda un po’ – i metodi più economici per individuare gli utilizzaTori di Tor, fossero essi attivisti per i diritti civili o terroristi.
Come che sia, la portavoce dell’FBI ha dichiarato al quotidiano online Ars Technica che “l’accusa di aver pagato 1 milione di dollari per sfruttare le vulnerabilità di Tor è imprecisa”, senza però smentirla del tutto. Considerato che manca anche una confessione dei vertici dell’istituzione universitaria americana presunta responsabile dell’exploit, non è chiaro se il pagamento sia avvenuto o meno e se ci sia il coinvolgimento dell’agenzia federale americana.
Quello che è certo è che uno degli indirizzi di Tor smascherati grazie a queste tecniche appartiene a Brian Farrell, atteso in tribunale a Seattle proprio questo mese per essere stato coinvolto nelle vicende di Silk Road, il mercato nero di droga e armi raggiungibile nel dark web proprio con software come Tor. La sua identità e il suo ruolo nella vicenda sarebbero infatti collegate all’attività di un istituto di ricerca universitario che avrebbe aiutato l’FBI come risulta da questo documento.
Anche se gli hacker che lavorano al progetto Tor hanno corretto la vulnerabilità sfruttata dai ricercaTori, quanto avvenuto dimostrerebbe un’inconsueta – e secondo gli attivisti preoccupante – collaborazione tra le forze di polizia e il mondo della ricerca universitaria e segue di poco le rivelazioni relative al ruolo di Hacking team nell’intercettazione delle comunicazioni realizzate via Tor.
Tuttavia che ci sia un grosso interesse nello smontare la protezione crittografica delle comunicazioni via Tor che hanno permesso perfino ad Amnesty International di documentare gli orrori della guerra in Siria grazie alla protezione delle identità dei testimoni col software cifrato, lo dimostra l’attenzione di alcune aziende private che offrono una taglia a chi ci riesce. A confermarlo a Forbes è Chaouki Bekrar, fondaTore di diverse aziende di cybersecurity, secondo cui gli attacchi ai nodi Tor per svelare le identità di chi li usa “sono il sacro Graal degli investigaTori governativi”. La sua Zerodium, offre ai ricercaTori fino $30,000 per i cosiddetti “zero-day exploit”, cioè per la vendita di vulnerabilità non ancora conosciute dei software – per colpire il Tor Browser Bundle, il browser di Tor basato su Firefox. E ci si può credere visto che la stessa compagnia offre 1 milione di dollari per violare il software dell’iPhone 6.
La preoccupazione di molte istituzioni per i diritti civili è che queste tecniche capaci di violare la comunicazione sicura di cooperanti in zone di guerra e dei whistleblower (gole profonde) anti-corruzione possa minare la fiducia del rapporto fra chi denuncia abusi, Torture e malaffare interrompendo il circuito virtuoso prodotto dalle loro coraggiose testimonianze. Ma anche che sulla loro conoscenza una potenza terroristica possa apprendere tecniche da usare contro governi legittimi. Dei 6000 nodi Tor presenti nel mondo circa 100 si trovano sul suolo italiano.