Connessioni TCP anonime con la rete Tor: il Port scanning

Attenzione: post a scopo didattico. Non mi assumo alcuna responsabilità riguardo all'uso che ne farete.

L’anonimato è uno dei requisiti fondamentali quando si effettua un penetration test su una macchina remota. Ogni volta che usiamo strumenti di hacking, stabiliamo una connessione con il bersaglio inviando pacchetti contenenti il nostro indirizzo ip. Qualora esso venga rilevato da un sysadmin o da un dispositivo software/hardware per la sicurezza, il minimo che può succedere è che il nostro fornitore di servizi ci chieda conto del traffico anomalo. 

Nel post precedente ho accennato alla rete Tor e al modo in cui, tramite il sistema “onion routing”, riesce a camuffare la provenienza geografica dei pacchetti. Oggi vedremo come lanciare un Port scanning totalmente anonimo per conoscere i servizi in esecuzione sull’host e individuare eventuali vulnerabilità. Per chi non lo sapesse, il Port scanning è una delle fasi più importanti in un attacco informatico. Prima di capire come si svolge, chiariamo velocemente il concetto di “porta”. 

Internet può essere paragonato a una grande città fatta di strade (gli indirizzi ip) e numeri civici (le porte). Quando ci si connette a www.ebay.com, il nostro client invia una richiesta al server 66.135.209.52 in ascolto sulla porta 80, che è quella utilizzata dai siti web. In tutto esistono più di 65000 porte, di cui le prime 1024 “standard”, cioè riservate a servizi specifici (ad esempio, la porta 20 gestisce il trasferimento dati, la porta 443 le connessioni https e così via). Il Port scanning consente di determinare quali sono (se ci sono) le porte aperte bussando a ognuna di esse. 

Poiché si tratta di una tecnica molto rumorosa, al fine di non lasciare tracce nei log di sistema, faremo passare tutto il traffico all’interno del circuito Tor. Per il nostro esperimento userò una macchina virtuale Kali Linux con i seguenti tools:

• Tor
• Proxychains
• Nmap

Come prima cosa, andremo a installare Tor dai repository di Kali:

 apt-get update  
 apt-get install tor  

Una volta terminata l’installazione, lanciamo il daemon e controlliamo lo stato:

 service tor start  
 service tor status  

Se tutto è andato a buon fine dovrebbe apparirvi questa schermata:

PROXYCHAINS

Per poter utilizzare Tor in combinazione con un Port scanner (e non solo), avremo bisogno di reindirizzare le richieste dell’applicazione sulla porta 9050. A tal proposito, ci viene in aiuto Proxychains, un programmino open source che impone al flusso TCP generato da un qualsiasi client di seguire una catena di proxy definita dall’utente. Dal momento che Proxychains è impostato per lavorare con Tor, faremo in modo che sia quest’ultimo a ricevere le connessioni. Per cominciare, aggiorniamo i pacchetti e installiamo il tool:

 apt-get update  
 apt-get install proxychains  

In seguito, possiamo apportare alcune modifiche al file di configurazione che si trova in /etc/proxychains.conf. Di default, il programma sfrutta un concatenamento rigoroso, ma ciò comporta che tutti i proxy da noi elencati dovranno essere attivi. Se stiamo usando Tor, lasciamo così com’è, altrimenti commentiamo il valore strict_chain e de-commentiamo dynamic_chain:

Ora portiamoci in fondo allo script e sostituiamo il protocollo SOCKS4 con il più sicuro e moderno SOCKS5:

 socks5 127.0.0.1 9050  

È probabile che incontreremo una situazione in cui il Port scanning fallisce poiché l’endpoint di Tor rileva la nostra attività e ci blocca. In tal caso, basterà semplicemente aggiungere uno o più server proxy pubblici (meglio se di tipo SOCKS5) alla fine della lista. Il traffico attraverserà la rete Tor fino ad essere inoltrato ai proxy che abbiamo scelto, secondo quest’ordine:

 client<-->tor<-->proxy1<-->proxy2<-->server  

DNS LEAK

Il problema più grande con le applicazioni che usano Tor è la cosiddetta perdita di dati DNS (o DNS leak). La maggior parte degli utenti crede che basti nascondere l’indirizzo ip per navigare in incognito. In realtà, il funzionamento di Internet è assai più complesso e una miriade di fattori può seriamente compromettere il nostro anonimato. Uno di questi è proprio il Domain Name System (DNS), ossia il meccanismo che associa i vari nomi di dominio agli indirizzi ip corrispondenti. Anche se il traffico sarà instradato su Tor, il sistema operativo continuerà a inviare richieste ai server dns del nostro ISP, i quali terranno traccia di ogni singola attività online. 

Per ovviare a questa "falla", Proxychains utilizza uno script che si trova in /usr/lib/proxychains3/proxyresolv, impostato per risolvere gli hostnames tramite il server 4.2.2.2 di Level 3 Communications. È possibile scegliere il proprio DNS modificando il file proxyresolv dopo avergli dato i permessi necessari. 

Portiamoci ora sul sito www.dnsleaktest.com e vediamo se ci sono perdite. Da terminale, lanciamo i comandi:

 service tor start  
 proxychains [my-browser] www.dnsleaktest.com   

L'indirizzo ip che vedremo è quello del nodo di uscita di Tor:

Cliccando su Extended test possiamo sapere quali server DNS stiamo interpellando. Se solo uno di questi appartiene al nostro ISP, vuol dire che c’è una perdita:

Dai risultati del test, sembra che sia tutto ok: nessun DNS rilevato è riconducibile a noi.

Nmap

Arrivati a questo punto, non ci resta che introdurre il nostro Port scanner, preinstallato su tutte le principali distro Linux dedicate al pentesting. Nmap offre un’infinita di tecniche per eseguire una scansione utile e personalizzata, ma anche qui c’è da stare attenti, poiché alcune di esse usano pacchetti raw (grezzi) che bypassano la rete Tor stabilendo una connessione diretta con il bersaglio. È il caso, per esempio, del SynScan, attivo di default per velocizzare la scansione, oppure del PingScan, che inviando pacchetti raw ICMP di tipo “echo”, serve a determinare se un host è disponibile. 

Per le vostre scansioni consiglio di usare il seguente comando:

 proxychains nmap -sT -Pn -sV -p [porte da scansionare]   

-sT: esegue una scansione TCP completa in modo che i pacchetti possano attraversare la rete Tor

-Pn: disabilita il rilevamento dell’host (ping)

-sV: fornisce maggiori informazioni sui servizi attivi 

-p : indica le porte da scansionare

In ogni caso, possiamo aggiungere un’eccezione al firewall per “droppare” i pacchetti in uscita che arriveranno a destinazione rivelando il nostro indirizzo ip:

 iptables –A OUTPUT --dest [ip-target] –j DROP  

Nel prossimo articolo spiegherò come configurare un proxy trasparente per avere tutto il sistema sotto la rete Tor.

Anonimato in rete: il protocollo onion routing

I governi corrotti e le big companies ti hanno convinto che se vuoi essere un buon cittadino non devi avere nulla da nascondere, che solo chi sguazza nell’illegalità reclama la propria privacy. L’argomento “nothing to hide, nothing to fear” domina il dibattito sullo spionaggio elettronico, e sempre più spesso le persone ripetono questo mantra ignare della pericolosità che si cela dietro. Affermare che la riservatezza non è un diritto equivale infatti ad affermare che ogni singolo aspetto della tua vita può essere manipolato e soggiogato dal potere. La maggior parte di noi è convinta che i programmi di sorveglianza riguardino esclusivamente i delinquenti, in particolare quelli che commettono reati di una certa gravità. Tuttavia, stando alle rivelazioni dell’ex analista della NSA Edward Snowden, non solo emerge un ruolo attivo dei servizi d’intelligence nelle indagini per crimini comuni (indagini che, a quanto pare, sarebbero condotte in modo non proprio trasparente), ma ben il 90% delle informazioni che vengono archiviate appartengono a persone mai sospettate di illeciti. Tra i file raccolti, oltre alle migliaia di mail e sms, anche cartelle cliniche, scatti osè, video conversazioni, curricula e persino certificati scolastici. Materiale che, a detta della stessa NSA, non ha alcuna rilevanza ai fini della sicurezza interna, ma che rimane memorizzato sui suoi server come una sorta di enorme database globale.

Tor ti salva dagli spioni

Di fronte alle continue ingerenze dei governi e delle agenzie di spionaggio, la tutela della propria identità digitale è un dovere di ogni libero cittadino. Muoversi online senza lasciare tracce non è cosa facile, ma esiste uno strumento che, se usato correttamente, è in grado di fornire un alto livello di anonimato, rendendo quasi impossibile l’analisi del traffico. Si tratta di una rete (o meglio: di una sottorete) nota con il nome Tor, gestita da un cospicuo numero di volontari e attivisti sparsi per il globo,  i quali condividono la propria connessione in modo da creare percorsi random tra sorgente e destinatario. Ciascun computer nella rete viene detto nodo o relay, e a seconda della posizione assume un nome ben preciso (ad esempio, l’host che comunica direttamente con il web server si chiama “exit node”). Caratteristica fondamentale di Tor è che il traffico, oltre ad essere anonimo, è anche protetto da un sistema di crittografia a strati: il famoso “onion routing” o “instradamento a cipolla”. E proprio come una cipolla, l’informazione viene decifrata step by step fino a raggiungere il nodo d’uscita, che la trasmetterà in chiaro alla pagina di destinazione. Naturalmente, anche qualora il flusso fosse intercettato, sarebbe comunque impossibile risalire al client d’origine, poiché né l’exit node né i middle relays conoscono il percorso completo.

(Struttura della rete Tor. Come si evince dall'immagine, l'ultimo nodo comunica in chiaro con il server (freccia nera). Teoricamente, controllando l'exit node, è possibile sniffare il traffico dati ma non risalire all'ip del richiedente)

Da strumento di democrazia a target della NSA

A causa della sua struttura decentralizzata, la rete Tor è finita nel mirino dei servizi d’intelligence, subendo negli anni ripetuti tentativi di attacco e deanonimizzazione. In un rapporto “top secret” trapelato da Snowden, la NSA classifica Tor come “the king of internet anonymity” e ammette che non è in grado di ricostruire l’identità degli utenti se non attraverso lo sfruttamento di vulnerabilità insite nei loro browser. Tradotto in parole povere: il sistema onion routing gode di buona salute e non è stato compromesso nel suo funzionamento. Una bella notizia per tutti quei giornalisti e attivisti che operano in paesi come la Cina, dove  l’uso di Tor si rivela fondamentale non solo per aggirare la censura, ma anche per mantenere l’anonimato. Lo stesso Snowden ha fornito informazioni sulle attività di controllo della NSA via Tor, e sempre grazie a questo strumento sono stati diffusi i file di Wikileaks sulle guerre in Iraq e Afghanistan. Nonostante i nobili intenti e gl’indubbi meriti, la rete più anonima di Internet si è però guadagnata una pessima reputazione sulla stampa mainstream. Se da un lato infatti c’è chi ricorre a Tor per accedere a siti oscurati, dall’altro c’è chi lo utilizza per commettere ogni sorta di crimine. Come tutte le cose, anche l’anonimato ha il suo rovescio della medaglia, un aspetto inquietante che spesso genera diffidenza, ma che paradossalmente conferma l’intrinseca neutralità di un diritto.