Spento un gruppo di nodi Tor

Lo scorso 21 dicembre alle 20:17 UTC Thomas White ha scritto un messaggio in cui avvisava che i nodi americani olandesi di uscita di Tor gestiti da lui erano stati compromessi e lui ne aveva perso il controllo.

Alle 23:54 dello stesso giorno (poco meno di sette ore rispetto a quando questo articolo è andato online nella sua prima versione) Thomas ha scritto un messaggio dai toni più pacati in cui annuncia di aver messo i server in blacklist e di aver avviato un’analisi dell’accaduto.

Qualche ora dopo ha scritto un tweet in cui ribadisce che i suoi sospetti iniziali sono stati presi troppo seriamente.

Se è facile urlare al Gombloddo!!1!!1!!, bisogna comunque porre degli accenti su alcuni fatti, posto che questi siano veri (al momento non sono ancora verificabili da terzi).

Secondo il suo racconto, il 21 dicembre i nodi Tor gestiti da Thomas presso un ISP sarebbero andati offline e il suo account amministrativo per la gestione delle macchine sarebbe stato sospeso. Gli ultimi eventi registrati dai sensori hardware e software sarebbero stati l’apertura dello chassis e l’inserimento di un dispositivo USB sconosciuto al server.

Quando Thomas è riuscito a riprendere il controllo dei suoi server ha notato queste cose:

  • alcuni log sono spariti;
  • l’ora dell’orologio interno di alcuni server sembra che sia stata modificata;
  • l’ISP non ha commentato l’accaduto (ma può essere che la persona contattata non sappia effettivamente nulla);
  • l’ISP ha confermato che ci sono stati accessi non autorizzati all’account di gestione, ma non ha saputo motivare i dati dei sensori che hanno rivelato l’apertura del case e l’inserimento di un dispositivo USB

In ogni modo, Thomas seguiva le procedure consigliate per la gestione dei nodi Tor e non teneva alcuna traccia degli utenti, quindi qualsiasi tipo di analisi dei server, allo stato attuale delle conoscenze, non può compromettere i singoli utenti.

I server sono attualmente nella blacklist della rete Tor e ci resteranno finché Thomas non avrà completato le dovute analisi. Gli IP interessati sono questi:

  • 77.95.229.11 – 77.95.229.23
  • 77.95.224.187
  • 89.207.128.241
  • 5.104.224.15
  • 128.204.207.215

Aggiornamento 23/12/2014 09:00

In un messaggio del 22 dicembre alle 16:57 Thomas White dice che l’intrusione potrebbe non essere stata ordinata dalle forze di polizia, anche se restano dei punti oscuri, come la scomparsa dai log della traccia dell’apertura dello chassis e la spiegazione poco convincente in merito al dispositivo USB.

In un ulteriore messaggio di tre ore dopo Thomas annuncia che alcuni nodi sono di nuovo online, ribadisce che non si tratterebbe di un intervento di una forza di polizia, ma fa riferimento ad indagini in corso.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento