[Linuxtrent] Re: [Linuxtrent] vulnerabilità tor scoperta da azienda di sicurezza italiana
- From: Cristian Consonni <cristian@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 9 Nov 2017 19:31:39 +0100
Ciao,
On 05/11/2017 17:14, Marco Ciampa (Redacted sender ciampix for DMARC) wrote:
On Sun, Nov 05, 2017 at 12:14:42PM +0000, Paolo Debortoli wrote:
parlando di sicurezza (anche se nutro un paio di dubbi):
http://www.repubblica.it/economia/2017/11/03/news/azienda_di_cibersicurezza_italiana_viola_l_anonimato_di_tor_la_rete_mondiale_per_le_navigazioni_segrete_sul_web-180132987/
Vero ma questi problemi vengono rilevati quotidianamente (e infatti la
rete tor si aggiorna di continuo) per cui sembra un po' una sorta di
articolo "promozionale" per non dire pubblicità ...
La falla esiste(va), così come ne esistono in qualsiasi programma,
questo articolo di Ars Technica (in inglese) è più corto, ma contiene
più informazioni sulla causa del problema:
https://arstechnica.com/information-technology/2017/11/critical-tor-flaw-leaks-users-real-ip-adcdress-update-now/
Effettivamente ho aggiornato Tor Browser ora è l'ultimo aggiornamento è
una patch diretta a questo problema:
https://blog.torproject.org/tor-browser-709-released
Riguardo all'articolo di Repubblica, credo che il punto sia la (solita)
combinazione di:
* articolo ipergeneralista (per necessità)
* giornalista non esperto - basti pensare che Tor project viene chiamato
"colosso americano" (sic et simpliciter)
* voglia di scoop - «il programmatore veneziano che ha violato
l'anonimato di Tor (e che Repubblica ha svelato per prima)»[1]
* titolo ad effetto
Infatti, hanno pure pubblicato un'intervista al tizio che ha scoperto il
bug, CEO dell'azienda sopra citata, che si chiude con questa perla (che
attribuisco al 99% alla mancata comprensione del giornalista):
«Accertata l'efficacia dell'algoritmo di exploit, che rendirizzava
l'utente dal percorso anonimo a uno scoperto, il programmatore veneziano
ha provato a sondare il mercato della cybersicurezza, dove esistono
aziende che comprano queste scoperte e le rivendono ai gruppi
direttamente interessati, o ad altre grandi aziende per esempio quelle
che producono antivirus. Dopo qualche ricognizione, però, ha prevalso il
timore che l'utilizzo di intermediari avrebbe potuto creare problemi di
rintracciabilità per gli utenti di Tor, o far finire in mani male
intenzionate la scoperta. Così Cavallarin si è rivolto direttamente al
gruppo californiano della cipolla. "In due ore mi hanno risposto, erano
preoccupatissimi e hanno iniziato subito a lavorare per risolvere il baco"»
Fosse davvero così sembrerebbe che prima di fare disclosure avessero
pensato di rivendere il bug, cosa che si scontrebbere, e non poco, con
tutto il resto del discorso sull'ethical hacking.
Ciao,
C
[1]:
http://www.repubblica.it/economia/2017/11/03/news/_ho_violato_il_network_piu_anonimo_del_mondo_ma_sono_un_hacker_etico_e_ho_preferito_non_vendere_l_algoritmo_a_nessuno_-180135936/
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
- » [Linuxtrent] Re: [Linuxtrent] vulnerabilità tor scoperta da azienda di sicurezza italiana - Cristian Consonni