Per chi ancora non lo conoscesse, Tor è un network gratuito basato su server offerti spesso da privati che maschera il vostro IP, permettendovi di navigare in modo anonimo su internet. Quando si fa uso del software per Tor, il vostro IP risulterà "uscire" da quello dell'ultimo server di uscita dal network Tor, che può essere ovunque nel mondo; non solo, ma le connessioni della rete privata sono anche criptate.
Fino a qualche settimana fa, tutti i nostri dati erano a rischio: rassegnamoci...
Il problema è che molti di questi snodi di uscita erano afflitti dal bug per OpenSSL e questo fatto ha esposto chi usava il network "sicuro per antonomasia" a un rischio di intercettazione relativamente ai dati personali o di navigazione. Un eventuale attaccante potrebbe quindi scovare le informazioni nascoste dal network Tor, di fatto togliendogli la capacità di rendere anonime le connessioni ed il relativo traffico ad esse correlato, compromettendo la sicurezza e la privacy dell'intero network!
Bisogna precisare che gli attacchi heartbleed non sono semplici poi così semplici da portare a segno, nel senso che è facile recuperare dei dati ma non così semplice recuperare dati "utili". Roger Dingledine, leader del progetto e co-sviluppatore di Tor, per questo motivo ha ripudiato qualcosa come 380 snodi di uscita, informando la sua utenza in una mailing list per far si che questi server siano messi in una blacklist, in modo che non vengano più utilizzati dal suo network.
Ma Dingledine non si è fermato qui e ha anche dichiarato di non voler più avere a che fare con i server segnalati: "ho pensato per un po'" - ha detto - "di provare a mantenerli nella lista, riammettendoli una volta che avessero upgradato il loro Openssl; tuttavia, siccome sono rimasti vulnerabili per troppi giorni, non voglio più queste identity key sul Tor network nemmeno dopo che abbiano aggiornato il loro OpenSSL".
Ben sapendo che la NSA già in passato si è interessata alla rete TOR, il fondatore si è giustamente preoccupato che le autorità (o hacker malintenzionati) siano in grado di sfruttare la falla di OpenSSL per ottenere accesso al suo network. Le ultime voci che indicano come l'agenzia fosse a conoscenza del bug e che l'abbia sfruttato per anni, non aiutano di certo, anche se la NSA ha smentito di averne fatto uso.
Adesso, e già da un po', in realtà, la rete TOR è di nuovo sicura, ma non c'è modo di sapere se dati siano stati trafugati e da chi. Come in tutta la faccenda "Heartbleed", non c'è molto che possiamo fare, ormai. Se solo ci fosse stata un po' di etica in più da parte delle aziende...