Per molti anni Tor è stato un incubo per le forze di polizia, in quanto impediva di scoprire le identità delle persone, ostacolando le indagini su diverse attività criminali. Dal 2012, però, gli esperti dell’FBI riescono a tracciare gli utenti e ad individuare i veri indirizzi IP dei nodi, utilizzando una NIT (Network Investigative Technique) che gli esperti di sicurezza chiamano “drive-by-download“. La tecnica è stata sfruttata per la prima durante la cosiddetta Operation Torpedo.
Da oltre 10 anni, l’FBI usa backdoor per guadagnare l’accesso ai computer delle persone sospettate di terrorismo, pedopornografia ed estorsione. Ma questo tipo di malware è stato ora aggiornato per scardinare le difese di Tor, il network che consente di navigare sul web in totale anonimato (o quasi). Gli “hidden services” di Tor sono utilizzati principalmente da organizzazioni, attivisti e giornalisti che vogliono eludere la sorveglianza dei governi e proteggere la privacy degli utenti. In alcuni casi, però, i servizi nascosti coprono le attività criminali più disparate, per le quali è stato coniato il termine Darknet.
La nuova versione della NIT ha debuttato nel 2012 con la Operation Torpedo, un’indagine investigativa effettuata in collaborazione con le forze di polizia olandesi. Grazie ad un web crawler, l’FBI ha collezionato tutti gli indirizzi .onion di Tor alla ricerca di siti pedopornografici. Ciò ha permesso di individuare la posizione di tre hidden services e i loro veri indirizzi IP, arrestando il proprietario Aaron McGrath.
Dopo aver ottenuto un mandato di perquisizione, gli agenti hanno quindi modificato il codice sui server per identificare i computer che accedono ai tre siti. In due settimane sono stati scoperti gli indirizzi IP, gli indirizzi MAC, gli hostname Windows e, con l’aiuto degli ISP, i nomi e gli indirizzi fisici di almeno 25 persone. Gli avvocati difensori sostengono che i loro clienti hanno ricevuto la notifica del mandato solo dopo un anno. L’intervallo massimo concesso dalla legge è di 30 giorni, per cui si tratterebbe di una violazione del Quarto Emendamento. Il giudice ha però rigettato la mozione della difesa.
Secondo le organizzazioni che difendono i diritti civili dei cittadini negli Stati Uniti, la tecnica “drive-by-download” usata dall’FBI è il modo migliore per scoprire attività illegali, ma potrebbe anche essere utilizzata come “scusa” per sorvegliare gli utenti di siti legittimi. Tra l’altro, i giudici non sempre comprendono che il mandato di perquisizione viene chiesto per accedere ai computer, sfruttando le vulnerabilità dei software. Nella Operation Torpedo non sono stati usati termini come “malware”, “hack” o “exploit”, ma viene solo specificato che il NIT “aggiunge al contenuto del sito web alcune istruzioni per computer”. Il NIT, invece, è un vero e proprio malware.