Cos'è Tor browser e come funziona
Se siete sensibili al tema della privacy e della sicurezza online, dovreste considerare attentamente la scelta di un browser con determinate caratteristiche, e Tor browser è la soluzione migliore.
Ma cos'è Tor browser e come funziona? Andiamo a scoprirlo, oltre a vedere come effettuare il download su PC, dispositivi Android o iPhone, e come fare se non funziona.
Prima di approfondire questo argomento, se siete interessati al tema sicurezza e privacy, vi ricordiamo il nostro articolo su come funzionano le VPN.
Indice
Cos'è Tor browser
Probabilmente avrete sentito nominare Tor in associazione con il dark web, ovvero quella parte di Internet accessibile solo per mezzo di software speciali, che consentono agli utenti e agli operatori di siti web di rimanere anonimi o non rintracciabili. Queste caratteristiche lo rendono una soluzione ideale per chi opera illegalmente nel Web, ma sono tantissimi gli utenti che lo utilizzano, tra cui forze dell'ordine, giornalisti, attivisti, informatori, o anche gente comune attenta alla privacy e alla sicurezza.
Tor (the onion routing) Browser non è un browser qualsiasi, ma un progetto open source che utilizza una rete per proteggere privacy e anonimato grazie a due proprietà principali.
La prima è la capacità di nascondere la vostra attività di navigazione dal provider di servizi Internet e da chiunque guardi la vostra connessione localmente, inclusi i nomi e gli indirizzi dei siti che visitate. La seconda è quella di precludere a operatori di siti e servizi di vedere il vostro indirizzo IP, e ce n'è una terza che impedisce ai siti di identificarvi in base alla configurazione del vostro browser.
Inoltre Tor browser non tiene traccia della vostra cronologia di navigazione, e i cookie sono validi solo per una singola sessione (fino all'uscita del browser Tor o alla richiesta di una nuova identità).
L'origine di Tor risale a metà anni '90, quando fu sviluppato per la Marina degli Stati Uniti in modo da proteggere le comunicazioni sensibili del Governo, e nel 2004 è stato rilasciato con licenza libera, dando vita al Tor Project.
Ma come funziona Tor, e cosa significa il termine "onion" (cipolla) ripreso anche nell'icona? Andiamo a scoprirlo.
Come funziona Tor browser
Come abbiamo anticipato nel capitolo precedente, Tor è un acronimo per the onion routing, e probabilmente avrete notato che la cipolla è anche ripresa nell'icona dell'applicazione. Ma perché cipolla?
Il router onion è una rete overlay peer-to-peer (P2P) che consente agli utenti di navigare in Internet in modo anonimo utilizzando più livelli di crittografia per nascondere sia l'origine che la destinazione delle informazioni inviate sulla rete.
Questo sistema funziona inviando il traffico Internet in uscita dal vostro dispositivo (nello specifico dal browser) attraverso tre server casuali (noti anche come relay) nella rete Tor. Ogni volta che i dati vengono inviati, i dati vengono crittografati più volte prima di essere inviati al nodo successivo, e la ripetizione del processo rende difficile rintracciarne l'origine.
Il primo relay, anche detto "guardia", riceve i dati e stacca il primo livello di crittografia, come se fosse lo strato di una cipolla.
Questo strato conosce il vostro indirizzo IP, ma non ha altri indizi sulla vostra identità, e non può nemmeno vedere a quale sito state accedendo, in quanti l'unica informazione a sua disposizione è l'indirizzo del prossimo relay.
I relay successivi non hanno il vostro indirizzo IP o non sanno quale sito state cercando di visitare, e tutto quello che fanno è rimuovere un ulteriore livello di crittografia e passare i dati al relay successivo.
Arrivato al terzo e ultimo relay del circuito (il relay di uscita), viene rimosso l'ultimo strato di crittografia e il traffico raggiunge quindi il web pubblico.
Inoltre il vantaggio è che i relay non sono gestiti da un'unica entità, ma da migliaia di volontari in tutto il mondo.
Il browser Tor inoltre offre tre livelli di sicurezza (Standard, Sicuro e Molto sicuro), ognuno con un diverso grado di protezione e con la massima protezione che si trova nel livello più alto.
Per impostare i livelli bisogna cliccare sull'icona a forma di scudo a destra del campo degli indirizzi, poi cliccare sul pulsante Settings e scegliere un livello diverso.
Il sito web che state consultando vede quindi l'indirizzo IP del nodo di uscita Tor piuttosto che il vostro, quindi non può sapere chi siate: passa la risposta al nodo di uscita, che lo instrada attraverso la rete Tor e di nuovo a voi.
Il secondo livello offre più sicurezza ma è anche più lento, in quanto questa impostazione disabilita JavaScript sui siti senza protocollo HTTPS (Hypertext Transfer Protocol Secure) e richiede il click-to-play per i video in HTML. Il terzo e più alto livello di sicurezza disabilita alcuni font e immagini, oltre a JavaScript, su tutti i siti.
Questo sistema rende molto difficile il riconoscimento, e come valore aggiunto, Tor browser poi non offre solo la crittografia dei dati, ma non tiene neanche traccia della cronologia di navigazione né memorizza i cookie.
Mentre usate Tor un altro tasto che potrebbe interessarvi è quello Nuova identità (New identity), quello a forma di scopa a destra dello scudo del livello di protezione. Cliccandolo, vi connetterete a un nuovo circuito Tor, e potete usarlo se il circuito attuale vi dà problemi di connessione o è troppo lento.
A questo punto vi potreste chiedere se Tor sia una VPN (Virtual Private Network). Anche se il concetto di fondo è lo stesso, in quanto nasconde il vostro indirizzo IP ai siti instradando il traffico attraverso un altro server, ci sono alcune differenze nel modo in cui funziona il processo.
Prima di tutto, mentre le VPN in genere utilizzano un singolo server, Tor instrada i dati attraverso almeno tre. Le VPN inoltre offrono un unico livello di crittografia end-to-end, mentre Tor utilizza più livelli, ma questi vengono staccati mentre si viaggia da un server all'altro.
Inoltre, le VPN richiedono di accedere a un server in grado di vedere ogni sito web che visitate e che, almeno teoricamente, potrebbe anche registrare i vostri dati (ed è per questo che le VPN si sottopongono ad audit esterni che ne garantiscono l'affidabilità), mentre Tor separa i riferimenti alla vostra identità (il vostro indirizzo IP in arrivo) e il sito web che state visitando, il che rende molto più difficile registrare l'attività.
Ovviamente non è tutto oro quello che luccica e come vedremo nel capitolo dedicato Tor ha alcune gravi debolezze che non vi permettono di essere completamente certi di essere anonimi online (ed è per questo che si consiglia di utilizzare Tor browser insieme a una VPN). Senza considerare che, a differenza di una VPN, Tor browser protegge solo il proprio traffico, mentre altre app e il vostro sistema utilizzeranno comunque la vostra connessione Internet standard.
Probabilmente vi starete domandando se sarà difficile utilizzare uno strumento così complesso, ma la realtà è che non dovrete far altro che installarlo su un dispositivo e avviare una navigazione.
Non è necessario imparare a usarlo o gestire complicate impostazioni, perché Tor è una versione modificata di Firefox con il software necessario per farlo funzionare, e include alcune estensioni come NoScript e HTTPS Everywhere per una protezione ancora maggiore.
Quando avvierete Tor browser per la prima volta vi verrà chiesto se volete connettervi alla sua rete.
Cliccate su Connetti e il browser si connetterà a un relay di guardia: poi potrete navigare come fareste come con un qualunque browser.
Tor browser: download
Prima però di avviare Tor e usarlo, dovrete scaricarlo. Come abbiamo detto, Tor browser è una versione modificata del browser Firefox: andiamo a vedere da dove scaricarlo e come installarlo, a seconda del vostro dispositivo, che sia un PC Windows o Mac, oppure un telefono Android o iPhone.
PC
Se volete utilizzare Tor browser da PC, il primo posto da cui partire è la pagina dei download del sito del progetto. Qui selezionate la vostra piattaforma, che sia Windows, Mac o Linux, cliccando sul pulsante Scarica per [nome piattaforma] corrispondente.
Se state usando un computer Windows, premete i tasti Windows + E, poi cliccate a sinistra su Download e cliccate due volte sul file .exe scaricato.
Cliccate su OK se volete utilizzare l'italiano come lingua, poi cliccate su Installa e poi su Chiudi. Da Mac, cliccate sull'icona del Finder (quella con la faccina sorridente nel Dock), poi a sinistra su Download. Ora cliccate due volte sul file .dmg scaricato e trascinate l'icona di Tor browser nella cartella Applicazioni del sistema operativo.
Ora nel Finder cliccate a sinistra su Applicazioni e cliccate con il tasto destro del mouse (o control + clic) sull'app Tor browser. Cliccate su Apri, poi ancora su Apri, per consentire di aprire l'app anche se non è stata installata dall'App Store (dovrete farlo solo la prima volta).
Adesso potete utilizzare Tor browser come se fosse un browser normale, poi la prima volta cliccate su Connetti per permettergli di creare una nuova identità.
A questo punto potete utilizzare Tor browser come un browser qualunque, ma ovviamente con maggiori funzioni legate a privacy e sicurezza. Se volete, potete regolare le impostazioni relative ai proxy e alla censura da parte dell'ISP e potete modificare le impostazioni di sicurezza del navigatore, mentre cliccando a destra sull'icona a forma di scopa potete creare una nuova identità.
Se invece non volete installare Tor browser sul computer, su Chrome e altri browser basati su Chromium potete installare delle estensioni di terze parti, come ProxySwitchy Omega e Kronymous, che instradino la connessione nella rete onion.
ProxySwitchy Omega è un'estensione gratuita per Chrome estremamente popolare (non sviluppata da Tor Project) che deve essere configurata a dovere. Dopo averla installata, cliccateci sopra o cliccate sull'icona a forma di pezzo di puzzle e poi su ProxySwitchy Omega.
Ora cliccate su Options, e dalla pagina che si apre cliccate su proxy a sinistra. Impostate il proxy utilizzando il protocollo su SOCK54, il server su 127.0.0.1 e la porta su 9999. Ora cliccate su Apply Changes in basso a sinistra.
Kronymous è un'altra estensione per Chrome non sviluppata da Tor: installatela nella pagina relativa, e poi cliccate sui pulsanti Aggiungi e Installa estensione nella schermata che viene mostrata.
Avviate l'estensione aprendo una nuova scheda in Chrome, poi selezionate App nella parte in fondo a sinistra della barra degli strumenti e infine sul pulsante Start Tor Proxy nella nuova finestra visualizzata. Attendete che Tor stabilisca la connessione alla rete onion.
Android
Anche su Android Tor è presente con un'app apposita, ma questa volta, oltre che l'APK nel sito ufficiale, avete anche a disposizione la versione su Play Store.
Installatela e avviate l'app, poi cliccate su Apri e nella schermata principale toccate il pulsante Connetti. Come da PC, verrà stabilita una connessione con la rete onion, e poi potrete usare il browser come fareste normalmente.
iPhone
Su iPhone, il Tor Project non ha sviluppato un'app proprietaria, ma consiglia un'app open source chiamata Onion Browser, che si basa su Orbot per connettersi alla rete Tor.
Installate Onion Browser sul vostro dispositivo e avviatelo. Ora toccate Let's Go, poi il pulsante Connect to Tor, e in pochi istanti verrà stabilita la connessione alla rete Tor. Toccate il pulsante Next, selezionate il livello di sicurezza e premete sul pulsante Start Browsing.
Tor è sicuro?
Ma Tor è veramente sicuro? Ni, perché ha alcune criticità. Il vantaggio maggiore di Tor è che è decentralizzato, in quanto la rete non è gestita da una singola entità che può controllare ogni connessione, ma da volontari sparsi per il mondo.
Il problema è che la rete può vedere che state usando Tor, e questo potrebbe limitare la vostra navigazione o in Paesi in cui non piacciono le soluzioni per la privacy. Inoltre, anche se il primo relay non ha bisogno di credenziali di accesso, ha alcune informazioni su di voi sotto forma del tuo indirizzo IP.
Ma la vulnerabilità maggiore è nel nodo di uscita Tor. Questo è il server che rimuove sia il livello finale di crittografia che consente di vedere l'URL che state cercando di visitare. Se state usando un HTTP non crittografato, piuttosto che una connessione HTTPS, il nodo potrebbe essere in grado di registrare informazioni sensibili sulle vostre attività.
I nodi di uscita possono anche utilizzare un exploit chiamato stripping SSL per accedere alle comunicazioni HTTP non crittografate su quello che si pensa sia un sito crittografato. Tre anni fa è stato pubblicato come fino al 23% di tutti i nodi di uscita Tor erano impegnati in una campagna dannosa mirata agli accessi ai siti di criptovaluta, alterando il traffico e reindirizzando le transazioni nei propri portafogli virtuali.
Le forze dell'ordine sono inoltre in grado di utilizzare varie tecniche e strumenti per rintracciare gli utenti di Tor, specialmente se i siti che visitano non utilizzano la crittografia end-to-end (E2EE). Il browser utilizza infatti relay di uscita e tunnel crittografati per nascondere il traffico utente all'interno di una rete, ma lascia i punti di uscita più facilmente osservabili e non ha alcun effetto oltre i confini della rete.
Per questo motivo, il modo più sicuro per utilizzare Tor è combinarlo con una VPN, ma ci sono alcune differenze. Per alcuni utenti, è preferibile connettersi prima alla VPN, e poi usare Tor, una tecnica chiamata Onion over VPN. La rete domestica vedrà solo il vostro IP VPN, quindi non sa che state accedendo a Tor, e lo stesso il primo relay Tor, che non avrà alcuna informazione su di voi. Senza considerare che il vostro provider di servizi VPN non potrà vedere quali siti state visitando in quanto sono gestiti da Tor.
Utilizzare una Onion over VPN non potrà ancora proteggervi dai nodi di uscita dannosi, e per questo alcuni utenti preferiscono connettersi prima a Tor e poi alla VPN (VPN Over Onion), che però offre lo svantaggio inverso.
Inoltre alcune VPN offrono un supporto a or migliore di altre.
Tor browser non funziona
Tor in genere funziona senza problemi, e basta cliccare sul pulsante Connetti la prima volta per creare la vostra identità. L'app vi mostrerà lo stato della connessione e in caso di problemi verrete avvisati del fatto che non siete connessi e quindi la vostra navigazione non è protetta.
In generale, Tor ha uno svantaggio piuttosto evidente: la lentezza. Visto che il traffico è crittografato e instradato su più server, verrà rallentato notevolmente, anche di 20-30 volte. Inoltre il browser è utilizzato da molti hacker, quindi visto che quando utilizzate Tor i siti lo sanno, alcuni bloccano l'accesso ai loro servizi. In questo caso, visualizzerete un messaggio:
403 Error: Forbidden. Your client does not have permission to get a URL from this server.
In questo caso, cliccate sull'icona del lucchetto a sinistra del campo degli indirizzi e, dalla finestra popup, cliccate su Nuovo circuito per questo sito.
Una volta creato il nuovo circuito, il sito dovrebbe caricarsi come previsto.
In caso non riusciate invece a far connettere Tor Browser, effettuate alcuni controlli. Il più semplice da controllare è l'ora del computer, che deve essere impostata correttamente altrimenti Tor non potrà connettersi.
In secondo luogo, assicuratevi che un altro browser Tor o un'istanza di Tor non sia già in esecuzione sul sistema, e se non siete sicuri, riavviate il computer.
Assicuratevi che eventuali antivirus in esecuzione non impediscano l'esecuzione di Tor, e in caso di problemi è consigliato disabilitare temporaneamente il firewall.
Se Tor Browser ha smesso di funzionare, potrebbe essere che il sistema è andato in sleep per qualche motivo. Per risolvere la questione, riavviate il computer, e in caso non riusciate a venire a capo della situazione, è consigliato disinstallare e reinstallare Tor browser.
In caso di aggiornamento, non sovrascrivete semplicemente i file del browser Tor precedenti, ma assicuratevi che siano eliminati completamente prima di aggiornare il browser.
In caso non riusciate a venire a capo del problema, è consigliato controllare i registri. Per esempio, se avete problemi di connessione potrebbe apparire un messaggio di errore e potete selezionare l'opzione Copia il registro Tor negli appunti, per poi incollare il testo in un forum di assistenza.
Se non vedete questa opzione, con Tor aperto cliccate sul menu con tre linee orizzontali, cliccate su Impostazioni e poi su Connessione nella barra laterale. In fondo alla pagina, accanto al testo Visualizza i registri Tor, cliccate sul pulsante Visualizza registri....