aiutocomputerhelp
Sicurezza Informatica

OnionShare 2: Usatelo non solo per condividere cose personali.

Giovanni Popolizio , , , , , ,

OnionShare 2

 

OnionShare è uno strumento open source per inviare e ricevere file in modo sicuro e anonimo utilizzando i servizi Tor Onion. Funziona facendo partire un server web direttamente sul vostro computer e rendendolo accessibile attraverso un inimmaginabile indirizzo web Tor che altri possono caricare in Tor Browser per poter scaricare file da voi, o caricarvi file. Non richiede la configurazione di un server separato, l’utilizzo di un servizio di condivisione di file di terze parti, o anche l’accesso a un account.

OnionShare 2
OnionShare 2

 

A differenza di servizi come la posta elettronica, Google Drive, DropBox, WeTransfer, o quasi tutti gli altri modi con cui  in genere si inviano file tra loro, quando si utilizza OnionShare non si dà a nessuna azienda l’accesso ai file che si sta condividendo. Finché condividi l’inimmaginabile indirizzo web (unguessable web address) in modo sicuro (come incollarlo in un’applicazione di messaggistica criptata), solo tu e la persona con cui condividi possono accedere ai tuoi file.

Ho visto per la prima volta la necessità di questo strumento quando ho saputo di come David Miranda.

Ill partner del mio collega Glenn Greenwald, è stato trattenuto per nove ore in un aeroporto di Londra mentre cercava di tornare a casa in Brasile. Lavorando a un incarico giornalistico per il Guardian, Miranda portava una chiavetta USB con documenti sensibili. Sapevo che avrebbe potuto inviare in modo sicuro i documenti su Internet utilizzando un servizio Tor onion, una delle tecnologie meno apprezzate su Internet, ed evitare il rischio di viaggiare fisicamente con loro. Ho sviluppato OnionShare per rendere questo processo di condivisione dei file sulla rete Tor più accessibile a tutti.

Dopo quasi un anno di lavoro da parte di una comunità crescente di sviluppatori, designer e traduttori, sono entusiasta che OnionShare 2 sia finalmente pronto. È possibile scaricarlo da onionshare.org.

 Micah Lee

Indirizzi pubblici di OnionShare

OnionShare 2 ha una nuova funzione: Modalità pubblica. Ma prima di spiegare cosa fa, spiegherò come funzionano gli indirizzi OnionShare senza di essa.

Per impostazione predefinita, gli indirizzi OnionShare sembrano:

http://[tor-address].onion/[slug]

dove lo slug è costituito da due parole casuali su una lista di 7.776 parole (tecnicamente, questa è una passphrase di 2 parole).

L’idea è che se un aggressore potrebbe capire la parte dell’indirizzo tor-address dell’indirizzo, non può ancora scaricare i file che stai condividendo, o caricare file sul tuo computer senza prima conoscere il slug. Lo slug è, essenzialmente, una password. (Questo è meno importante quando si utilizzano i servizi di v3 onion. I vecchi servizi a “cipolla” v2 hanno un problema noto dove, se la connessione ad Onion viene facilitata da un nodo Tor malevolo, quel nodo potrebbe carpire la parte tor-address. Questo è uno dei motivi per cui la v3 Onions è più sicura).

Ma lo slug è solo due parole. Quindi cosa impedisce all’attaccante di indovinare, ipotizzando ogni possibile slug di due parole?

L’elenco di parole che OnionShare usa è in definitiva pubblico.

Onion V3

OnionShare durante l’installazione  mi dà un indirizzo Tor (impossibile da indovinare) da condividere. Questa caretteristica è nuova anche in OnionShare 2: Per impostazione predefinita, utilizza i servizi Tor onion di nuova generazione, noti anche come indirizzi di onion v3.

Questi indirizzi assomigliano a lldan5gahapx5k7iafb3s4ikijc4ijc4sdsgx5iywdflkba5y2ezyg6sjgyd.onion, al contrario del vecchio tipo v2, che assomigliano a elx57ue5uyfplgva.onion.

Gli indirizzi v3 sono molto più sicuri di quelli v2 per una serie di ragioni, ma possono essere un po’ ingombranti e difficili da digitare (per esempio, se si utilizza OnionShare per spostare file tra due computer che sono entrambi davanti a voi).

Ma è ancora possibile utilizzare gli indirizzi  v2 se si desidera, andando in Impostazioni e scegliendo “Usa indirizzi legacy”.

Inoltre, si potrebbe notare che l’indirizzo OnionShare utilizza HTTP e non HTTPS, ma in realtà va benissimo. HTTPS aggiunge uno strato di crittografia tra un browser web e un server web, ma i servizi Tor onion sono già crittografati end-to-end, quindi HTTPS non è necessario.

A differenza del caricamento di siti web normali in Tor Browser, quando si caricano siti web a cipolla, non c’è un nodo di uscita Tor che potrebbe spiare il traffico – tutto il traffico rimane all’interno della rete Tor.

Ora, bisogna inviare questo indirizzo web alle persone che voglio possano raggiongere il mio server. Il modo più semplice per farlo in modo sicuro è utilizzare un’applicazione di messaggistica criptata come Signal Desktop, Wire, Keybase, o iMessage — o, se sei studente, Jabber/OTR.

Se i file che stai condividendo non sono particolarmente sensibili, puoi anche condividere questo indirizzo web in un modo che è sicuramente spiato ma che potrebbe essere più conveniente, come in un messaggio Facebook, Twitter, Google Hangouts, Slack, Discord, o in un’e-mail.

OnionShare 2

Questa “Cipolla” puo’ essere utilizzata anche quando vi è la necessita di trasferire un file di grosse dimensioni attraverso internet. Lo puoi scaricare ed installare in pochi minuti. Da tenere sicuramente nella cassetta degli attrezzi.