Uncategorized

Come la Germania ha sventato su TOR un attacco ransomware grazie al Timing Analysis (e come potrebbe fregare anche te)

Pubblicato da ilbioss il

In Germania, le forze dell’ordine hanno messo a segno un colpo da maestro contro il gruppo ransomware Vanir Locker.

Come?

Grazie ad una tecnica chiamata “Timing Analysis“.

Sì, lo so.

Hai appena installato Tor, ti senti un hacker degno di un film di spionaggio e sei pronto a navigare nell’ombra senza lasciare traccia.

Ma aspetta un attimo: non tutto è come sembra !

Anche il miglior ninja digitale può inciampare in una banale buccia di banana chiamata Timing Analysis.

E questa è solo la punta dell’iceberg !

Facciamo un viaggio tra le tecniche di attacco più subdole che mettono a rischio il tuo anonimato su Tor.

Pronto a scoprire come proteggere il tuo mantello dell’invisibilità ? Let’s go !

Timing Analysis: quando il tempo gioca contro di te

Immagina di essere un supereroe che corre da un lato all’altro della città per combattere il crimine. Bene, se qualcuno osserva i tuoi movimenti e annota quanto tempo impieghi a spostarti, potrebbe capire chi sei e dove stai andando, anche se indossi una maschera ! La Timing Analysis funziona allo stesso modo: un attaccante controlla i tempi di invio e ricezione dei pacchetti su Tor, cercando di identificare il percorso che seguono. Anche se i pacchetti sono crittografati, i tempi non mentono !

Traffic Analysis: quanti pacchetti hai in tasca?

Questa è la tecnica preferita degli “stalker digitali”. Non c’è bisogno di sapere cosa stai inviando o ricevendo; basta osservare la quantità di traffico per ottenere indizi preziosi.

Se invii un sacco di dati in un certo momento e un nodo di uscita mostra lo stesso aumento di traffico, bingo ! Potrebbero aver scoperto il tuo piccolo segreto.

Website Fingerprinting: dimmi cosa guardi e ti dirò chi sei

Sai quando tua morosa capisce che hai guardato Netflix tutto il giorno solo guardando il divano deformato ?

Ecco, il Website Fingerprinting fa la stessa cosa. Anche se Tor nasconde il contenuto del tuo traffico, i pattern di dati inviati e ricevuti possono tradire il sito che stai visitando.

Un attaccante esperto può identificare se stai guardando un video di gattini o leggendo la guida su come costruire un razzo in giardino.

Correlation Attacks: il gioco delle coppie

Gli attacchi di correlazione sono come giocare al “gioco delle coppie” ma con i pacchetti di dati.

Un attaccante che controlla sia un nodo di ingresso che uno di uscita della rete Tor può confrontare i flussi di traffico e dire: “Ehi, questo pacchetto che entra qui sembra identico a quello che esce lì !”. Se trova la coppia giusta, ha praticamente capito chi sei e dove stai navigando.

Flow Analysis: il detective dei pacchetti

Pensavi che solo tu potessi conoscere i dettagli dei tuoi flussi di traffico ? Sbagliato ! Il Flow Analysis è un detective che monitora i tuoi pacchetti per periodi prolungati. Analizzando velocità, burst di traffico e modelli di pacchetti, può identificare chi sei e cosa stai facendo, anche se sei nascosto dietro l’invisibilità di Tor.

Latency Fingerprinting: la lentezza è la tua condanna

Sai quando la tua connessione va a singhiozzo e tu pensi di essere l’unico a notarlo ? Ebbene, gli attaccanti se ne accorgono eccome ! Con il Latency Fingerprinting, osservano i ritardi nella trasmissione dei pacchetti per scoprire il tuo percorso su Tor. Anche un piccolo balbettio nella tua connessione può rivelare molto.

Machine Learning-Based Attacks: i nerd conquistano il mondo !

E poi arrivano loro, i super nerd con i loro algoritmi di machine learning.

Analizzano enormi quantità di dati cercando pattern che nemmeno Neo di Matrix potrebbe vedere. Se il tuo traffico segue uno schema riconoscibile, questi algoritmi possono identificarti con una precisione che farebbe impallidire Sherlock Holmes.

Ma quindi ? Siamo tutti fregati ?

Non proprio ! Anche se queste tecniche sono impressionanti, la comunità di Tor sta continuamente sviluppando nuove contromisure.

Tra padding, randomizzazione dei ritardi e circuiti multipath, gli sviluppatori fanno del loro meglio per rendere la vita difficile a chi vuole spiarti.

Cosa puoi fare tu, caro aspirante ninja ?

1. Mantieni Tor Aggiornato

  • Gli aggiornamenti di Tor non sono solo per correggere bug, ma spesso includono patch di sicurezza importanti per contrastare nuove tecniche di attacco. Assicurati di avere sempre l’ultima versione.

2. Utilizza un VPN o una rete proxy prima di Tor

  • Usare una VPN prima di connetterti a Tor aggiunge un ulteriore strato di anonimato. In questo modo, il tuo ISP vedrà solo la connessione alla VPN e non quella alla rete Tor. Se possibile, usa una VPN che non tiene log e ha una politica di privacy forte.

3. Evita il Browser Tor per comportamenti identificabili

  • Non accedere a siti che richiedono login con account legati alla tua identità reale (come il tuo account email personale o i social media). Anche se Tor nasconde il tuo IP, accedere a questi account ti rende identificabile.

4. Cambia periodicamente il tuo circuito Tor

  • Nella finestra del browser Tor, puoi fare clic sull’icona a forma di cipolla e selezionare “Nuovo circuito per questo sito” o “Nuova identità”. Questo cambia il percorso del traffico attraverso la rete Tor, rendendo più difficile per un attaccante correlare i tuoi movimenti.

5. Usa il “Padding”

  • Tor ha un’opzione per inserire pacchetti di riempimento nel traffico in modo casuale. Questo aiuta a disturbare i pattern temporali che potrebbero essere utilizzati per identificarti tramite Timing Analysis. Controlla nelle impostazioni avanzate del browser Tor per attivare questa opzione.

6. Evita comportamenti ripetitivi e prevedibili

  • Cambia il tuo comportamento online: se visiti lo stesso sito alla stessa ora ogni giorno, crei un pattern che potrebbe essere identificabile. Cerca di variare le tue abitudini, sia in termini di orari che di attività.

7. Usa la “Sandboxing”

  • La sandboxing isola le applicazioni in ambienti separati per ridurre il rischio che un eventuale attacco comprometta il sistema. Esistono versioni sandbox di Tor Browser, che rendono più difficile per i malware (o gli attaccanti) influenzare il resto del sistema.

8. Controlla le estensioni e i plugin

  • Non installare estensioni o plugin aggiuntivi nel Tor Browser, poiché possono compromettere la tua privacy e la sicurezza. Usa il browser in configurazione predefinita il più possibile.

9. Naviga con JavaScript disattivato

  • Sebbene molti siti richiedano JavaScript per funzionare correttamente, disattivarlo riduce il rischio di essere tracciati tramite fingerprinting o exploit specifici. Tor Browser ha un’opzione per disattivare JavaScript a livello globale o per singoli siti.

10. Usa sistemi operativi orientati alla sicurezza come Tails

  • Tails è un sistema operativo live che puoi avviare da una chiavetta USB. È progettato per preservare la privacy e l’anonimato, con tutte le connessioni instradate attraverso Tor e senza lasciare tracce sul computer che utilizzi.

11. Evita l’uso eccessivo di bridge

  • I bridge di Tor possono essere utili in alcuni contesti, ma il loro utilizzo può ridurre la sicurezza se non gestiti correttamente. Usali solo quando necessario, ad esempio in paesi con restrizioni sull’accesso a Tor.

12. Sii consapevole del contesto

  • Considera il contesto in cui usi Tor. Se ti trovi in un paese con censura aggressiva o con autorità che monitorano attivamente il traffico, dovresti essere ancora più cauto e valutare l’utilizzo di strumenti aggiuntivi come i bridge obfs4.

Implementare queste misure migliorerà notevolmente la tua sicurezza su Tor e ridurrà il rischio di essere identificato da attacchi sofisticati come il Timing Analysis.

Ricorda, la chiave è mantenere la mente aperta e aggiornarsi continuamente sulle nuove tecniche di attacco e difesa !

    Che la navigazione anonima sia con te ! 🚀

    PICCOLA APPENDICE :

    Il bridge obfs4 è un tipo di nodo speciale nella rete Tor progettato per aiutare gli utenti a connettersi a Tor quando l’accesso diretto è bloccato, come in paesi con censura aggressiva. Ma entriamo nei dettagli:

    Cos’è un Bridge Tor?

    Un bridge Tor è essenzialmente un nodo di ingresso che non è pubblicamente elencato nella directory principale di Tor. Questo lo rende più difficile da rilevare e bloccare rispetto ai nodi di ingresso standard. I bridge sono utili quando gli ISP o le autorità locali bloccano l’accesso ai nodi di ingresso conosciuti di Tor.

    Cosa fa obfs4?

    obfs4 è un protocollo di offuscamento (obfuscation protocol) che maschera il traffico Tor per farlo sembrare un normale traffico internet. Questo viene fatto attraverso tecniche che rendono il traffico difficile da rilevare anche con analisi approfondite. Ecco le sue caratteristiche principali:

    1. Offuscamento del Traffico: obfs4 altera il traffico Tor in modo che non sia riconoscibile come traffico Tor. A differenza del traffico Tor standard, che ha una firma distintiva (come l’handshake TLS), obfs4 lo maschera, rendendolo più difficile da identificare e bloccare.
    2. Resistenza alla Censura: È progettato per resistere a tecniche di censura sofisticate, come il Deep Packet Inspection (DPI), che analizzano il contenuto dei pacchetti per rilevare la presenza di protocolli specifici come Tor.
    3. Meccanismo di Protezione: Utilizza una combinazione di crittografia e offuscamento per proteggere non solo il contenuto del traffico, ma anche le sue caratteristiche (come dimensioni e timing) che potrebbero essere usate per identificarlo.

    Perché usare un Bridge obfs4?

    • Bypassare la Censura: Se ti trovi in un paese che blocca l’accesso ai server Tor, l’uso di un bridge obfs4 ti consente di connetterti comunque alla rete Tor, nascondendo il fatto che stai usando Tor.
    • Nascondere l’uso di Tor: Anche se il tuo ISP non blocca Tor, potrebbe monitorare chi lo utilizza. Utilizzando un bridge obfs4, il tuo traffico appare come normale traffico web, riducendo il rischio di essere identificato come utente Tor.

    Come configurare un Bridge obfs4?

    1. Scarica e installa Tor Browser.
    2. Vai nelle impostazioni: Nella finestra di benvenuto, clicca su “Configura”.
    3. Seleziona “Usa un bridge”.
    4. Inserisci il Bridge obfs4: Puoi usare i bridge predefiniti forniti da Tor oppure ottenere un elenco di bridge specifici su Bridges.torproject.org.
    5. Connetti: Una volta configurato, Tor Browser utilizzerà il bridge obfs4 per connettersi alla rete.

    Considerazioni

    L’uso di obfs4 è altamente efficace contro la maggior parte delle tecniche di censura, ma non è infallibile

    Questo articolo ha esclusivamente scopo informativo e non deve essere considerato come una guida pratica o un incoraggiamento a violare leggi, regolamenti o politiche aziendali. L’autore non si assume alcuna responsabilità per eventuali usi impropri delle informazioni qui contenute. L’uso di strumenti come Tor deve essere sempre conforme alle leggi locali e internazionali e nel rispetto della privacy e dei diritti altrui.

    https://www.torproject.org/

    3 commenti Aggiungi il tuo

    1. Avatar di Priti Priti ha detto:
      settembre 23, 2024 alle 4:31 PM

      Very informative well shared 👍

      Piace a 1 persona

      Rispondi
      1. Avatar di ilbioss ilbioss ha detto:
        settembre 26, 2024 alle 9:36 am

        Thank you so much ! I’m glad you found it helpful. If you have any questions or want to know more, feel free to ask ! 😊👍

        "Mi piace"

        Rispondi
    2. Avatar di Priti Priti ha detto:
      settembre 26, 2024 alle 2:09 PM

      Ofcourse

      "Mi piace"

      Rispondi

    Lascia un commento