L’altro web

Blocked windowNei giorni scorsi un’importante azione di polizia internazionale ha spento diversi siti del cosiddetto dark web.

Le notizie che rimbalzano sul web parlano principalmente di Silk Road, un sito .onion da cui era possibile acquistare molta merce illegale pagando in bitcoin. Silk Road non è stato l’unico sito oscurato, i numeri non sono certi a causa nel modo in cui funziona la rete .onion; guardando alcuni siti che si incaricano di mantenere un indice di siti .onion, sembra che l’azione abbia colpito ad ampio raggio e siano stati chiusi molti siti ben oltre il limite della legalità.

L’estensione dei siti .onion chiusi dalle forze congiunte di polizia potrebbe far pensare che sia stata scoperta una vulnerabilità nel protocollo Tor oppure nel modo in cui vengono contattati i siti .onion. Ovviamente le forze di polizia tengono la bocca cucita su questo tema. Si potrebbe anche trattare di una meritoria azione coordinata frutto di lunghe indagini.

Per capire come non sia stato così facile rintracciare i siti che sono stati chiusi bisogna capire come funziona il protocollo Tor Hidden Service.

Nella rete Internet normale quando un computer contatta un sito web, il computer conosce esattamente l’indirizzo IP del server (o proxy di bilanciamento) a cui si collega e il server conosce esattamente l’indirizzo IP dell’host (o proxy o gateway NAT) a cui inviare le risposte; questa è una condizione necessaria perché avvenga il transito di dati.

I siti .onion funzionano in una maniera un po’ diversa.

Innanzi tutto .onion è un TLD, ma non è gestito da alcun DNS, tecnicamente è uno pseudo-TLD come, ad esempio, il vecchio .uucp.

I nomi a dominio .onion sono degli hash di 16 caratteri di una chiave pubblica volutamente non mnemonici, anche se è possibile averli pseudo-mnemonici generando chiavi finché l’hash non soddisfa chi lo vuole utilizzare.

I siti .onion sono raggiungibili preferibilmente attraverso la rete Tor, esiste un gateway sulla rete Internet, ma la saggezza sconsiglia caldamente di utilizzarlo.

Sulla rete Tor i server .onion si annunciano in un database, chi li vuole visitare consulta questo archivio e inizia un handshake relativamente complesso a base di scambi di chiavi e scelte arbitrarie di nodi di collegamento intermedi (ne vengono scelti in totale tre dal client e tre dal server). Il tutto serve ad anonimizzare quanto più possibile le identità di client e server e ad impedire intercettazioni o attacchi di tipo man in the middle.

Sulla rete .onion si trovano molte cose, da Facebook a tutto ciò che i vari governi considerano illegale. Attenzione a questa definizione perché per noi potrebbero essere armi o droga, per altri potrebbe essere anche un sito come Siamo Geek. Senza Tor, la rete .onion e strumenti come Tails molti giornalisti o loro informatori sarebbero facilmente intercettabili e molte persone non avrebbero accesso ad informazioni che per noi sono pubbliche, mentre per loro sono illegali.

La rete .onion è molto pericolosa per i contenuti in cui si può incappare. Ci sono anche delle parole chiave che fanno capire che tipo di illegalità sta dietro alcuni siti. Chi si vuole avventurare in questa Mos Eisley di Internet deve esercitare estrema cautela: molti siti hanno contenuti illegali oppure link verso contenuti illegali. Per questa ragione non pubblico nessun link .onion e cancellerò senza avviso o spiegazione qualsiasi commento che contenga link a siti .onion.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

5 pensieri riguardo “L’altro web”

    1. Se fai domande speifiche cerco di rispondere 🙂

      TLD e’ il dominio di piu’ alto livello come .IT, .COM, .EU eccetera

      DNS e’ il sistema di gestione dei nomi che trasforma i nomi (tipo siamogeek.com) in indirizzi numerici.

      1. Grazie, Luigi, sei sempre molto gentile anche con gli sconosciuti. ^__^

        L’articolo è ovviamente “per addetti ai lavori” che sanno cos’è un TLD, un DNS e che quando leggono “come, ad esempio, il vecchio .uucp” si fanno almeno un’immagine mentale vaga di che possa essere.

        Io mi sono lasciato ingannare da un inizio articolo molto colloquiale, e ho pensato che fosse uno degli articoli più “divulgativi” (che sono il motivo principale per cui io profano leggo il blog: sono molto ben scritti e pieni di fonti interessanti! ^_^ )… poi ho inciampato sul gradino del paragrafo in cui si “parla tecnico” e ci ho sbattuto il naso.

        Tutto qui. ^__^
        N.B.: anche gli articoli “tecnici” servono, non prenderla come una lamentela o una critica! Continuate così che è un buon mix!

        1. A dir la verita’ l’avevo iniziato con un taglio divulgativo, ma mi sono reso conto che per spiegare come funzionano i siti .onion dovevo usare dei tecnicismi se non volevo andare troppo per le lunghe 🙂

          Provo a dare una spiegazione “leggera” di come funzionano i siti .onion: vengono generate delle chiavi di cifratura e viene calcolato un codice di controllo (hash) partendo da quelle chiavi.

          L’hash viene reso pubblico e dato come indirizzo del sito.

          Quando un client vuole collegarsi ad un server va a prendere da un archivio pubblico la chiave di cifratura corrispondente, stabilisce un nodo “di incontro” e chiede al server tramite la rete Tor di trovarsi su quel nodo.

          Se il server risponde, client e server iniziano a scambiarsi delle informazioni iniziali (handshake) per verificare che non ci siano attacchi esterni (man in the middle) e che i dati siano il piu’ possibile anonimi. Il tutto avviene scegliendo degli altri nodi (tre per parte) per evitare che il client contatti direttamente il server e, quindi, venga meno l’anonimato.

          Ho semplificato al massimo, ma spero di aver reso l’idea. Il meccanismo e’ molto complesso e anche un iniziato deve leggerlo un po’ di volte per capire il giro del fumo.

          I commenti come i tuoi per me non sono delle critiche “negative”, anzi! Ci servono moltissimo per capire se abbiamo la necessita’ di spiegare meglio alcune cose.

Spazio per un commento