Visualizzare i siti con dominio .onion senza TOR browser

I siti su dominio .onion appartengono alla rete Tor e per visualizzarli, mantenendo l'anonimato, si utilizza TOR Browser (per maggiori dettagli rimando all'articolo Tor Browser: Verificare la sicurezza tramite TorCheck ).

In realtà tali siti possono essere aperti anche dai normali browser installando l'estensione Onion Search Engine disponibile nel Chrome Web Store oppure passando per il gateway Tor2web (una rete di server proxy HTTP utilizzata per l'accesso ai contenuti dei Tor Hidden Services) aggiungendo semplicemente il suffisso .ws all'indirizzo .onion. Il sito verrà visualizzato all'interno del proprio browser ma, ovviamente, senza la garanzia della privacy offerta da TOR Browser.

Tor Browser: Verificare la sicurezza tramite TorCheck

TOR (The Onion Router) è un sistema di comunicazione anonima per Internet basato sul protocollo di rete onion routing. Fu sviluppato a metà degli anni 90 per la US Naval Research Laboratory da Paul Syverson e da Micheal Reed al fine di proteggere le comunicazioni dei servizi segreti statunitensi. Nel 2004 il codice sorgente del progetto fu rilasciato con una licenza libera e nel 2006 alcuni collaboratori che lavoravano al progetto iniziale fondarono The Tor Project, un'associazione senza scopo di lucro che si occupa tuttora dello sviluppo di TOR e di altri progetti correlati.
Tra i progetti più noti del Tor Project c'è Tor Browser: un browser basato su Firefox ESR che consente una navigazione anonima collegandosi al proxy server SOCKS interno di TOR (127.0.0.1:9150). Tor Browser è disponibile sia in versione con installer sia nella versione portable per tutti i sistemi operativi e include, oltre al browser Firefox ESR, anche il plugin HTTPS Everywhere (per forzare l'utilizzo del protocollo HTTPS), il plugin NoScript (che previene l'esecuzione di codice Javascript che può minare l'anonimato), TorButton (che gestisce la sicurezza e la privacy all'interno del browser disabilitando gran parte dei contenuti attivi) e l'addon TorLauncher (che permette la gestione e la configurazione di Tor Browser).

FIG 1 - Tor Browser

Tor Browser (scaricabile da https://www.torproject.org/projects/torbrowser.html.en) forza l'utilizzo del protocollo HTTPS tramite HTTPS EveryWhere garantendo una connessione cifrata tra il proprio PC e il primo nodo della rete TOR. Sulla rete TOR il traffico cifrato rende estremamente difficile risalire alla sorgente, tuttavia non sempre è garantito l'anonimato nell'ultimo tratto della comunicazione quello, cioè, tra l'Exit Node e il sito destinatario presente su Internet. Tale connessione potrebbe non essere cifrata e se la comunicazione contiene dati/informazioni sul mittente è possibile risalire alla sorgente.

Proprio per questo motivo TOR Browser non va considerato come la panacea di  tutti i mali ma è necessario sempre il buon senso da parte dell'utente. Ad esempio, i file scaricati come documenti di Office o di altre applicazioni, PDF, file eseguibili, ecc. vanno aperti quando non connessi ad Internet in quanto possono contenere componenti attivi (come macro) o collegamenti a siti esterni e rilevare informazioni personali. Quando si è connessi a TOR inoltre è sconsigliabile utilizzare client torrent o altri software che possono collegarsi all'esterno fornendo informazioni sulla propria identità.

Verificare la configurazione e la sicurezza di Tor Browser tramite TorCheck

Per testare la configurazione di Tor Browser è possibile utilizzare TorCheck di Xenobite: basta accedere alla pagina https://torcheck.xenobite.eu/index.php utilizzando Tor Browser per avere, in pochi istanti, un report dettagliato come quello mostrato in FIG 2. 

FIG 2 - TorCheck di Xenobite

I campi evidenziati in verde chiaro indicano una buona protezione/configurazione mentre in rosso vengono riportati i campi potenzialmente problematici e che richiedono l'attenzione dell'utente. 
Le voci visualizzate dal report sono:

• Your real IP
  Rappresenta l'indirizzo IP reale. Se visualizzato vuol dire che non si sta navigando in maniera anonima;
• Your current IP
  Si tratta dell'indirizzo IP rilevato dai siti che si visita. Se Tor Browser è configurato correttamente verrà visualizzato un indirizzo diverso dall'IP reale (indirizzo dell'Exit Node);
• Your current FQDN 
  FQDN (Fully Qualified Domain Name) è un nome di dominio non ambiguo che specifica la posizione assoluta di un nodo all'interno della gerarchia dell'albero DNS. Se il campo è valorizzato allora il nostro indirizzo IP viene ancora loggato dall'ISP tramite i DNS;
• Your Geolocation
  Indica la posizione geografica in base all'IP rilevato;
• TorDNSEL
  Questo campo indica se l'indirizzo IP di uscita fa parte della lista degli Exit Node;
• Local Tor Consensus
  Indica se e quando l'indirizzo IP è stato trovato nel consenso locale di Tor;
• Your HTTP-Referer 
  L'HTTP Referer è un campo all'interno del header HTTP che identifica l'indirizzo della pagina web di origine che richiama la risorsa richiesta. Tramite tale campo un sito web può verificare da quale pagina arriva un visitatore (ad es. da una ricerca su Google, da una mail, da un particolare sito, ecc);
• Your HTTP-Via
  Il valore indica al server il tipo di richiesta che viene effettuata tramite il proxy di Tor;
• Your HTTP-User-Agent
  Il campo indica l'User-Agent del browser e il sistema operativo. L'User-Agent del browser può essere modificato;
• Your HTTP-ACCEPT
  Il campo mostra i valori accettati dal browser come la lingua, la codifica, il tipo di caratteri, cookies ecc.;
• Your HTTP-CONNECTION
  Valore della HTTP-CONNECTION. Generalmente il valore è keep-alive;

Ransomware CryptXXX: Decriptare i file con estensione .Crypz e .Cryp1 (UltraDeCrypter)

Da qualche giorno chi ha i file cifrati dal ransomware CryptXXX con estensione .Crypz e Cryp1 può ricevere gratuitamente la chiave per recuperare i propri dati. Per farlo è necessario eseguire i seguenti passaggi:

• Procurarsi un browser Tor. É possibile scaricare una versione portable da QUI oppure è possibile installare la versione ufficiale scaricandola da QUI.
• All'interno del messaggio del riscatto sono presenti un indirizzo e il proprio ID. Con il browser Tor, collegarsi all'indirizzo indicato nel messaggio e inserire, nell'apposita casella, il proprio ID quindi cliccare su Sign In.
  
  

  

  FIG 1 - TOR Browser, pagina del riscatto

• Verrà visualizzata la propria chiave di decodifica (certificato), selezionarla, comprese le righe contenenti BEGIN CERTIFICATE e END CERTIFICATE, e copiarla.
  
  

  

  FIG 2 - CryptXXX, chiave

• Ora cliccare su Instructions (o Il manuale nel caso sia stata selezionata la lingua italiana) per visualizzare la pagina contenente le istruzioni e il link per scaricare UltraDeCrypter necessario per decifrare i dati.
  
  

  

  FIG 3 - CryptXXX, istruzioni sull'utilizzo di UltraDeCrypter

• Eseguire il download di UltraDeCrypter cliccando sul relativo link.
• Avviare UltraDeCrypter e nella casella Key Code incollare la propria chiave.
• Dal menu Action di UltraDeCrypter  selezionare Scan quindi cliccare su Crypt files. Tale scansione provvederà ad individuare i file cifrati sulla postazione.
  

  

  FIG 4 - UltraDeCrypter, scansione dei file cifrati

• Terminata la scansione, dal menu Action selezionare Decrypt quindi cliccare sul All files. Il processo di recupero dei dati verrà avviato e non resta che attendere il completamento dell'operazione.
  

  

  FIG 5 - UltraDeCrypter, decriptare tutti i file cifrati

Il motivo per cui la chiave di queste 2 varianti del ransomware venga fornita gratuitamente non è ancora noto. C'è chi pensa che si tratti di un problema sui server chi, invece, pensa che si tratti di un contentino fornito ad alcune vittime per mostrare a tutti che il recupero dei dati è possibile e incentivare, in questo modo, il pagamento del riscatto da parte di chi è stato infettato da altre varianti.