Filippo Cavallarin: è questo il nome dell’informatico italiano che ha scoperto un bug, una grave falla di sicurezza nel browser Tor, acronimo di The Onion Router. Tor è infatti il sistema utilizzato per navigare nel deep Web, la faccia più sconosciuta di Internet che dà accesso a una serie di siti nascosti, non direttamente raggiungibili attraverso una ricerca in Google proprio perché non indicizzati dal motore di ricerca.
Il bug identificato da Cavallarin è stato nominato TorMoil e consente a terze parti di risalire all’identità dell’utente che ha navigato con il browser Tor, rendendolo di fatto inadatto alla navigazione del deep Web.
La vulnerabilità colpisce solamente dagli utenti che utilizzano i sistemi operativi macOS e Linux. La società californiana sviluppatrice di Tor ha ammesso ha ammesso l’esistenza del problema e ha dichiarato di aver già chiuso il baco. Come si deduce dallo screen shot qui sotto la vulnerabilità di Tor per i due sistemi operativi è stata risolta da un aggiornamento targato 3 novembre.
Ma come è potuto accadere? E, soprattutto, come è stato possibile risolvere il problema in tempo reale? Per comprenderlo è bene descrivere più a fondo cosa significa navigare con Tor. Si tratta, a tutti gli effetti, del sistema più sicuro al mondo per assicurare agli utenti l’anonimato in rete così da non poter essere rintracciati con il semplice indirizzo IP e di non lasciare continue tracce dei siti visitati.
Così, una volta trovato il bug, i ricercatori si sono posti un problema etico: renderlo noto a tutta la comunità esponendo di fatto sia l’azienda sia i navigatori a un forte pericolo o segnalare la vulnerabilità all’azienda e renderla nota solo dopo che sarebbe stata risolta?
L’azienda veneziana specializata in sicurezza informatica ha scelto la seconda strada che, come ha tenuto a sottolineare, non è obbligata ma in questo caso eticamente dovuta considerando la gravità della situazione.
Nel deep Web, infatti, si trova un po’ di tutto: dai siti normali non indicizzati dal motore di ricerca di Google a quelli più borderline o illeciti (in questo secondo caso si parla di Dark Web) che commerciano docuenti falsi, armi o trafficano nel settore della prostituzione.
Ma questa è solo una faccia del deep Web. Poi c’è quella di chi invece lo utilizza per aggirare le censure dei Governi, mantenere l’anonimato e far arrivare notizie o semplicemente esercitare il proprio diritto di opinione, come ha ricordato Cavallarin. Non sarebbe stato giusto mettere a repentaglio questo tipo di coperture.