Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più consulta la cookie policy.
Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie.

Tor, Anonimato e Privacy: come funziona e quali sono i limiti

Pubblicato il 2016-01-11 11:02:46 da Giuseppe Anzalone - 0 Commenti

Tor è uno dei progetti Open Source che mi sta più a cuore per la sua qualità e la sua lodevole missione: aumentare la privacy e garantire l'anonimato degli utenti durante l'accesso alle risorse web. Tor è facilmente accessibile anche tramite i dispositivi Android, ma prima di spiegarvi come navigare su internet in modo anonimo con il vostro smartphone ritengo importante che conosciate, almeno per grandi linee, come funziona Tor e quali siano i suoi limiti.

Image 1

Nonostante le sue notevoli potenzialità, l'anonimato che la rete Tor è in grado di offrirvi presenta dei limiti, per questo motivo vi consiglio di leggere questo articolo prima di iniziare ad usarla. Se però siete proprio impazienti e volete subito iniziare ad usarlo, allora leggete articolo al link seguente nel quale troverete tutte le istruzioni per navigare con Tor sul vostro dispositivo Android.

Nota bene: questo articolo non è esaustivo, semplifica volutamente molti concetti e non può sostituire le guide ufficiali di Tor. Se avete esigenze di anonimato estremo, legato a motivazioni molto serie, è importante che leggiate con cura tutta la documentazione ufficiale di Tor, chiedendo eventuali chiarimenti alla comunità che supporta e sviluppa il Progetto.

Come funziona Tor (in sintesi)

Tor è una rete costituita da server (detti anche nodi) di volontari che mettono a disposizione parte delle loro risorse di calcolo e soprattutto di traffico web, per aumentare la privacy e la sicurezza su internet. Quando un utente (o client) si collega ad un sito web (o ad un altro servizio web) tramite Tor, la connessione con il sito non avviene in modo diretto ma subisce una serie di passaggi attraverso un certo numero di server Tor. I dati viaggiano in una sorta di staffetta fra un server e l'altro fino a giungere a destinazione. Prima di essere spediti i dati vengono crittografati tante volte quanti sono i server coinvolti nella staffetta. I dati transitano quindi protetti da una struttura crittografica a velo di cipolla (non a caso la cipolla è il simbolo di Tor ed il nome stesso nasce dall'acronimo di The Onion Routing network). Ogni velo rappresenta un livello di crittografia che può essere decriptato solo dal server Tor ad esso corrispondente. Così ciascun nodo Tor sarà in grado di conoscere solo l'identità del nodo che lo precede nella staffetta e di quello che lo segue, ma nessuno a parte il client, sarà a conoscenza del percorso complessivo che faranno i dati. Lo stesso dicasi per i vari ISP (Internet Service Provider) che sono coinvolti nella comunicazione, nessuno di essi potrà avere informazioni sul percorso complessivo dei dati.

Se vi siete già stancati di dettagli tecnici potete saltare al prossimo paragrafo. Se invece l'argomento vi sta interessando, vi proporrò degli esempi che vi consentiranno di comprendere più in dettaglio quanto sintetizzato rapidamente sopra.

Negli esempi, illustrati nelle figure seguenti, supponiamo che il client A voglia visualizzare una pagina del sito web B e che per fare ciò invii a B il messaggio “MESSAGE”.

Cosa accade se non si utilizza la rete Tor?

In questo caso (rappresentato nella parte superiore della figura) A invia il messaggio tramite l'ISP che gli fornisce la connessione ad internet (nel caso si tratti di un cellulare l'ISP sarà un operatore telefonico). Oltre all'ISP, il messaggio attraversa diversi server prima di raggiungere la destinazione B. Ho rappresentato tutti i server attraversati dal messaggio con una nuvoletta grigia e per comodità li ho accomunati tutti con la dicitura Intermediario (abbreviato i).

Image 2

La domanda a cui vogliamo rispondere è: chi sa cosa?

  • A: conosce mittente, destinatario e contenuto del messaggio.
  • i: conosce mittente, destinatario e contenuto del messaggio.
  • B: conosce mittente, destinatario e contenuto del messaggio.

Risulta evidente che questa è la situazione più sfavorevole dal punto di vista della privacy.

Le cose migliorano leggermente se la connessione con B avviene tramite un protocollo sicuro tipo https (come rappresentato nella parte inferiore della figura) . In questo secondo caso infatti l'Intermediario conosce mittente e destinatario ma non conosce il contenuto del messaggio.

Cosa cambia utilizzando Tor?

Supponiamo adesso di inviare lo stesso messaggio di prima da A a B utilizzando la rete Tor. Il client A ha accesso alla lista dei server Tor disponibili e fra questi ne sceglie un certo numero, minimo 3, e li ordina in sequenza in modo da stabilire il percorso che il suo messaggio dovrà compiere prima di raggiungere B.

Image 3
A è l'unico a conoscere l'intero percorso mentre ogni server conoscerà solo il server che lo segue e quello che lo precede nella staffetta. Nella figura precedente ho ipotizzato che il client A abbia scelto di inviare il suo messaggio a B seguendo il percorso che passa dal server 1 al server 8 e poi al server 3.

Nella figura seguente ho riportato i singoli messaggi ricevuti da ogni nodo e per esprimere il concetto di crittografia a velo di cipolla, ho racchiuso fra parentesi colorate i dati cifrati (anch'essi colorati). Il colore utilizzato corrisponde al colore del server che sarà in grado di decifrare quei dati, tutti gli altri non avranno modo di decifrarli.

Image 4
Image 10

Vediamo quindi quali sono i passaggi con cui il client compone il messaggio da spedire al server 1.

  1. Il messaggio originale “MESSAGE” è innanzi tutto racchiuso da parentesi viola ad indicare che è stato cifrato per renderlo leggibile solo al destinatario B. Questo livello di cifratura non dipende da Tor ma dal fatto che stiamo supponendo di visitare una pagina tramite https (notate infatti che era presente anche nell'immagine precedente relativa alla connessione cifrata senza Tor). Nel caso in cui la pagina web fosse servita tramite http la cifratura in viola sparirebbe.
  2. Al messaggio ottenuto al punto precedente viene aggiunta una informazione relativa al destinatario da raggiungere ovvero B; ho indicato simbolicamente tale informazione con “next:B”. L'unione del messaggio cifrato e dell'informazione “next:B” vengono ulteriormente cifrati in modo da essere leggibili solo dal server 3. Tale cifratura è rappresentata in figura in verde.
  3. Al messaggio ottenuto al punto precedente viene aggiunta una informazione relativa al server che precede il destinatario, ovvero il server 3; ho indicato simbolicamente tale informazione con “next:3”. L'unione del messaggio e dell'informazione “next:3” vengono ulteriormente cifrati in modo da essere leggibili solo dal server 8. Tale cifratura è rappresentata in figura in azzurro.
  4. Si continua in modo analogo andando a ritroso. Al messaggio ottenuto al punto precedente viene aggiunta una informazione relativa al server precedente, ovvero 8; ho indicato simbolicamente tale informazione con “next:8”. L'unione del messaggio e dell'informazione “next:8” vengono ulteriormente cifrati in modo da essere leggibili solo dal server 1. Tale cifratura è rappresentata in figura in arancione.

A questo punto il messaggio è pronto per essere spedito al server 1 che lo decifrerà ottenendo: l'informazione relativa al prossimo server “next:8”, più un messaggio cifrato di cui ignora il contenuto. Quest'ultimo sarà spedito al server 8 che in modo analogo lo decifrerà ottenendo: l'informazione sul prossimo server “next:3”, più un messaggio cifrato di cui ignora il contenuto. Si prosegue così fino a raggiungere la destinazione B.

Riispondiamo alla domanda di prima: chi sa cosa?

  • A: conosce tutto: mittente, destinatario e contenuto del messaggio
  • i1: conosce il mittente e sa che esso è connesso alla rete Tor tramite il server 1. Non conosce il messaggio né il destinatario.
  • 1: conosce il mittente. Sa che dovrà inoltrare il messaggio al server 8. Non conosce il messaggio, né il destinatario.
  • i2: sa che due server della rete Tor stanno comunicando; non conosce mittente, né destinatario né messaggio.
  • 8: sa che ha ricevuto un messaggio dal server 1 e che dovrà inoltrarlo al server 3; non conosce mittente, né destinatario né messaggio.
  • i3: sa che due server della rete Tor stanno comunicando; non conosce mittente, né destinatario né messaggio.
  • 3: conosce il destinatario, non conosce il mittente né il messaggio*.
  • i4: Conosce il destinatario e sa che sta ricevendo un messaggio dalla rete Tor; non conosce il mittente né il messaggio*.
  • B: Conosce il messaggio e sa che proviene dal server 3 della rete Tor. Non conosce il mittente

* Nota: nel caso in cui la connessione sia in chiaro (cosa che accade ad esempio quando si visita una pagina web il cui URL non inizia con https) sia i4 che il server 3 conoscono anche il messaggio.

I limiti dell'utilizzo di Tor

Alla luce di quanto visto nel paragrafo precedente risulta chiaro che l'anonimato offerto della rete Tor ha dei limiti e necessita quindi di alcune precauzioni:

  •  L'ISP che vi fornisce l'accesso ad internet sa che state utilizzando una rete Tor, anche se non è a conoscenza del messaggio né del destinatario. Ciò non costituisce in genere un problema ma è giusto che ne siate consapevoli.
  • I dati che viaggiano dall'ultimo nodo della rete Tor al destinatario non subiranno un processo di crittografia aggiuntivo e saranno trasmessi così come voi li avete spediti. Ciò significa che se state visitando una pagina web il cui URL inizia con https:// i dati saranno crittografati, ma se l'URL inizia con http:// i dati saranno trasmessi in chiaro. In questo secondo caso, quindi, sia l'ultimo nodo della rete Tor che gli eventuali server esterni alla rete coinvolti nell'ultimo tratto di comunicazione conosceranno il messaggio, non sapranno comunque che proviene da voi. Precauzioni: Le precauzioni da prendere sono le stesse da usare quando navigate su internet senza rete Tor: Se state trasmettendo dati importanti come password o carte di credito, accertatevi che l'URL della pagina inizi con https://. Tor non è in grado di proteggere le vostre informazioni personali una volta uscite dalla sua rete e l'unico modo per proteggerle è collegarsi a siti che usano connessioni crittografate.
  • Il sito a cui vi state collegando è sempre in grado di leggere il messaggio che gli avete inviato. Ovvio, no? Se così non fosse non sarebbe neppure in grado di rispondervi con le informazioni che gli avete chiesto. Tuttavia, grazie alla rete Tor, non sa chi gli ha inviato il messaggio ma sa solo che proviene dalla rete Tor. Precauzioni: se il motivo per cui utilizzate Tor è non far conoscere la vostra identità al sito che state visitando, non effettuate nessun login con le vostre credenziali d'accesso. Inserire user-name e password vuol dire fornire le vostre generalità al sito che vi identificherà nonostante la rete Tor.
  • Bisogna fare attenzione ai contenuti attivi, come Javascript, Adobe Flash, Adobe Shockwave, QuickTime ed altri. Essi vengono eseguiti sul vostro dispositivo in modo autonomo con gli stessi privilegi del vostro utente e potrebbero in alcuni casi non utilizzare la rete Tor vanificando il vostro tentativo di rimanere anonimi. Per tale motivo, pur se Tor vi consentirebbe di utilizzare un web browser qualunque – a patto che esso sia configurato correttamente – è sempre buona norma utilizzare web browser appositamente sviluppati per Tor che per Android sono Orweb e OrFox. Questi browser gestiscono con particolare attenzione l'esecuzione dei contenuti attivi e vi avviseranno, chiedendovi conferma, prima di eseguire qualunque operazione che possa mettere a rischio il vostro anonimato. 

Altri post che potrebbero interessarti

Sicurezza
Giuseppe Anzalone
Ciao! Sono Giuseppe, ingegnere elettronico e programmatore. Lavoro da molti anni nel settore dell'automazione industriale occupandomi di progettazione elettronica e sviluppo di software per sistemi di controllo real-time. Da qualche anno lavoro anche allo sviluppo-web e mi occupo di sicurezza informatica.
Articoli in Evidenza
2016-01-11
Forse non sapete che la rete Tor è facilmente accessibile anche tramite i dispositivi Android. Continuate a leggere, vi spiegherò come navigare su internet in modo anonimo con il vostro smartphone.
2015-11-05
Sai che puoi usare TorrApk come una qualsiasi altra app? Grazie alle funzionalità di supporto alle Web App di Google Chrome, avviare TorrApk sul tuo cellulare richiede adesso solo un tocco.
2015-09-19
Sapevi che con Telegram puoi creare degli sticker personalizzati con le tue foto? Leggi e scopri come fare.
Articoli recenti
2016-11-19
In molti mi chiedono con che applicazione ottenere i diritti di root sul proprio dispositivo Android.Personalmente mi fido poco di questo tipo di applicazioni
2016-11-19
Il concetto del "rooted android device" nasce da Linux, da cui Android eredita il kernel ed altre caratteristiche...
2016-04-22
Promuovere una app non è per nulla facile, specialmente se avete poca dimestichezza con la comunicazione ed il marketing e disponete di risorse economiche limitate. Per questo ho deciso di darvi alcuni consigli utili attuabili spendendo poco.
2016-04-14
A differenza delle app installate manualmente dall'utente, quelle di sistema non sono facilmente disisntallabili. L'unico modo per rimuoverle è quello di ottenere i permessi di root sul duo dispositivo, per farlo in modo semplice puoi usare MobileGO.
2016-04-13
Se avete sviluppato la vostra prima applicazione per Android vi starete di sicuro chiedendo come fare per promuoverla e farla conoscere. Ci sono tanti metodi per farlo, in questo articolo vedremo come utilizzare al meglio i forum.
Seguici sui social network
Le più recenti