Audit di sicurezza per la rete Tor scopre gravi vulnerabilità
Introduzione
Il progetto Tor ha completato un’audizione di sicurezza completa sul suo ecosistema di monitoraggio della salute della rete, identificando sei vulnerabilità e rilasciando undici raccomandazioni di rinforzo aggiuntive. L’audizione, condotta nel ottobre 2025 dalla società di test di penetrazione 7aSecurity, si è concentrata sugli strumenti essenziali per rilevare e mitigare minacce come gli attacchi di relay e il comportamento Sybil sulla rete Tor.
L’audizione
I tecnici di 7aSecurity hanno condotto una revisione di sicurezza whitebox utilizzando l’accesso completo al codice sorgente, ambienti di staging e credenziali di test, permettendo loro di simulare condizioni avversarie realistiche. L’ambito dell’audizione ha coperto numerosi componenti software sviluppati dal team di salute della rete del progetto Tor, tra cui TagTor, DescriptorParser, Margot, Exitmap, Tor_fusion e Simple Bandwidth Scanner. Il progetto Tor è un’organizzazione no-profit che mantiene la rete Tor, un sistema progettato per facilitare la comunicazione anonima online.
Risultati
Tra le sei vulnerabilità identificate, la più grave è un difetto critico nel modulo Sybil Hunter dello strumento Margot. Sono stati scoperti anche due problemi di denial-of-service (DoS) di alta gravità nella piattaforma TagTor, nonché una vulnerabilità di medium-severity CSRF e altri problemi di divulgazione di informazioni e di DoS a bassa gravità. Inoltre, 7aSecurity ha rilasciato undici raccomandazioni di rinforzo relative alla mancanza di gestione delle sessioni e alla dipendenza dall’autenticazione di base senza pinning del certificato. Il progetto Tor ha riconosciuto i problemi e ha affermato che tutte le scoperte sono state esaminate e che gli sforzi di risoluzione sono in corso.
