Nella giornata di ieri abbiamo avuto notizia del pià vasto attacco mai perpetrato alla rete degli Hidden Service di Tor sparsa per il mondo, portata a termine durante una manovra di contrasto alla pedopornografia.
Per chi non ha avuto tempo di leggere tutta la documentazione che è passata riassumo per sommi capi quantoè successo: nella giornata di ier è stata diffusa la notizia che Eric Eoin Marques, 28 anni e creatore della piattaforma di Hosting Free via Hidden Service di TOR “Freedom Hosting” à stato arrestato con l’accusa di distribuzione e promozione di pedopornografia infantile.
Anche se non ci sono ancora voci ufficiali, pare che Marques fosse non solamente hosting provider ma anche uno degli amministratori dietro ad uno degli hidden service pià popolari per la pedopornografia, [Lolita City][1], un forum di scambio materiale pedopornografico e non solo *(anche messaggi, appuntamenti con bambini e fattiva collaborazione per la creazione e la distribuzione di materiale)*.
Nell’ambito delle operazioni si sono svolti una serie di attacchi per compromettere alcuni siti chiave all’interno di **Freedom Hosting**, sia ovviamente per carpire l’identità dei naviganti, che erano anonimi navigando in Tor, ma soprattutto credo per comprendere quale utente accedeva a quale pagina e ritrovare altrettanto ovviamente gli amministratori dei vari siti web ospitati. Tra i siti compromessi e sicuramente soggetti all’indagine, anche se probabilmente tutti i siti hostati su FreedomHosting sono stati compromessi, vi sono le bacheche pedofile di TLZ [The Love Zone] e LC [Lolita City] oltre a TorMail, un servizio che forniva caselle di posta elettronica anonime ed accedibili solamente tramite Tor, e ovviamente indirizzo preferenziale degli utilizzatori di quel servizio.
La dinamica non è stata probabilmente molto differente da quella utilizzata nel maggio del 2012 da Anonymous, quando con l’Operazione “Alice Day” [bucarono proprio Lolita City][2] (con un exploit per phpBB, se non ricordo male) dumpando il materiale e pubblicando username, mail e password degli utenti del forum[2], *(oltre che, si dice, l’intero contenuto della posta interna degli utenti)* che però come ovvio non portarono a nulla tranne a qualche mail civetta ad nessun grande risultato pratico.
E qui il “forse” è d’obblgco, aggiungerei, perché forse invece è proprio da quel dump che le mail degli amministratorie la loro pseudo-identà) sono divenute note, almeno come sospetto. Mi aspetto nelle prossime settimane un sacco di perquisizioni alla ricerca di un particolare MAC address ed altrettanti computer mandati al macero in via precauzionale…
L’attacco è stato effettuato su uno dei siti ospitati per poi avere probabilmente accesso all’interezza dei siti, un po’ come accadde (a forse accade ancora) nei mass-pwnage come quelli subiti da Aruba, dove per ogni php fallato vengono compromessi tutti i siti sullo stesso host.
Il codice inserito non faceva altro che fare leverage su una vulnerabilità (nota) per recuperare e spedire ad un server esterno l’indirizzo IP della macchina ed il suo MAC address, nell’ovvio intendo di accoppiare gli utenti Tor con gli utenti esterni. Se siete curiosi il [codice del payload è qui][3].
Da tutto questo giro di fatti ed accadimenti si possono trarre una serie di conclusioni, tutte peraltro abbastanza importanti da analizzare:
* Circa la metà degli Hidden Service attivi erano ospitati da Freedom Hosting: ancora una volta il comodo servizio web ha attirato attivisti (e non) che non se la sono sentita di ospitare un hidden service, dimostrazione pratica della forse poca conoscenza dei meccanismi che ancora vi è tra i service operators. Rete decentralizzata un corno, un single point of failure ha chiuso metà della “rete nascosta”…
* Anche se le ultime stime dicono che la pedopornografia assomma nelle Darknet a non più del 4% dell’interezza delle comunicazioni (alto, ma non esorbitante come molti vogliono fare credere, se non lo avete letto date una occhiata allo splendido paper di [Artemis Project][4]), la pedopornografia rimane la base ed il cavallo di battaglia con cui attaccare la rete Tor. Andrebbe capito e dovrebbe essere la rete stessa a espellere il corpo estraneo che rischia di fare ammalare l’intero sistema;
* Gli utenti di Tor sono (pare) per buona percentuale discretamente ignoranti: usare Tor con javascript abilitato è come giocare con un palloncino in una fabbrica di spilli non esattamente corretto, poichè senza javascript buona parte della rete “non funziona”. Dichiamo che in contesti di rischio elevato il costante update del Browser Bundle e la disabilitazione di JS se non assolutamente necessario è da considerarsi una ottima practice…;
* C’è ancora tanto da scrivere e da fare comprendere su quanto sia fondamentale accedere a Tor da un terminale altamente torrificato (come Tails[5]) e non già da sistemi che sono ibridi tra due reti (internet e tor) e che possono quindi leakkare dati dall’una all’altra.
**Una nota “positiva”**: *nessun luogo è sicuro se parli di pedopornografia.*
**Una nota “negativa”**: *grazie alla pedopornografia nessun luogo è sicuro.*
E comunque sia Lolita City è chiusa se tutto lo scenario non fosse così inquietante per molti altri siti di attivisti, questa sola notizia basterebbe per aprire una bottiglia di buon Armagnac e festeggiare.
Per chiudere una considerazione: è pur vero che non hanno attaccato Tor, ma è altrettanto vero che hanno attaccato tutta la RETE Tor, fatta di tanti hidden service atomici e pensata per essere decentralizzata, non ospitata in quattro server in mano ad una unica entità, che ora controlla indisturbata metà della Darknet…
Per maggiori info:
* Un bell’articolo su [OpenWatch](https://openwatch.net/i/200/anonymous-web-host-freedom-hosting-owner-arrested)
* Una panoramica di [Lolita City][2] pubblicata qualche mese fa
* Il [codice dell’exploit][3] che è stato utilizzato
* Il meraviglioso report di [Project Artemis][4] sugli Hidden Service di Tor
* La distribuzione Torrificata e Hardenizata [Tails][5]
Estote parati.
[1]: http://weirderweb.com/2013/06/06/back-in-booming-lolita-city-the-online-child-pornography-community-is-thriving/
[2]: http://www.technoid.com.au/2011/10/25/anonymous-operation-darknet-takes-down-pedophile-site/
[3]: https://gist.github.com/mbijon/6151638
[4]: http://resources.infosecinstitute.com/project-artemis-osint-activities-on-deep-web/
[5]: https://tails.boum.org/