Expondo os IPs públicos dos serviços Tor por meio de certificados SSL

Categoria: Leituras da segurança da correia fotorreceptora - última actualização: Ter, 27 nov 2018 - por Ziyahan Albeniz

O Onion Router, também conhecido como Tor, é um serviço de internet que fornece navegação anônima na Internet para os usuários, fazendo a conexão com vários relés. Ao fazer isso, os usuários do Tor evitam expor seus endereços IP aos servidores que visitam. Em vez disso, esses servidores veem apenas o endereço IP de um dos nós de saída do Tor. Mas a TOR não protege apenas seus usuários quando eles acessam sites como o Google.com ou o Facebook.com.

Outra opção na rede Tor, para usuários que desejam preservar seu anonimato, são os serviços ocultos do Tor. Eles só podem ser alcançados usando a tecnologia Tor e você pode reconhecê-los pelo uso da extensão .onion . Ao contrário da crença popular, esses sites não são usados ​​apenas para atividades obscuras, mas também para fins legítimos. Na verdade, muitos sites que você usa diariamente também podem ser acessados ​​usando um serviço oculto semelhante, a fim de atender aos usuários que valorizam o anonimato. Por exemplo, você pode acessar o The New York Times através de https://www.nytimes3xbfgragh.onion ou Facebook através de https://facebookcorewwwi.onion , contanto que você esteja usando o Tor.

Outra vantagem, para os proprietários de sites, é que seus usuários não podem descobrir o IP real do seu servidor. Esta é uma grande vitória para a privacidade e torna difícil censurar ou derrubar um serviço oculto. Para executar esse serviço, além de ajustar uma série de configurações para o Tor, você também precisa configurar um servidor da Web como Apache ou Nginx na máquina em que hospedará seu site.

A vulnerabilidade que discutimos, que permitirá a qualquer um descobrir o IP real de um serviço oculto, surge devido a um erro de configuração na configuração do Tor.

Erro comum na configuração SSL no Tor

OK, então você está claramente preocupado em manter o anonimato na internet se estiver usando o Tor. Vamos supor que você implemente o TLS / SSL para proteger o serviço do Tor. Para fazer isso, você precisa obter o certificado do seu site com a extensão .onion assinada por uma autoridade de certificação. Vamos supor que sua URL de serviço seja examplewwwi.onion. Quando alguém solicita o site, o servidor envia os dados de criptografia e o certificado na resposta ServerHello dada à solicitação ClientHello. A área Common Name (CN) no certificado indicará seu domínio , examplewwwi.onion.

Digamos que você esteja usando um serviço de servidor da Web, como Apache, Nginx ou algo semelhante, e desconfigure-o para ouvir todas as conexões que atingem as interfaces de rede (0.0.0.0), em vez do endereço de loopback (127.0.0.1) . Isso terá um impacto catastrófico no anonimato do seu servidor web. Vamos ver porque na seção seguinte.

Exposição do IP público do serviço Tor que você está usando

Qualquer um que tentar acessar a porta 443 a partir do endereço IP público do seu servidor, não Tor, verá o certificado e o domínio .onion encontrados no CN, que está na resposta ServerHello dada à mensagem ClientHello.

Você pode se perguntar como as pessoas podem descobrir seu IP público quando você estiver usando o Tor.

E se assumirmos que os invasores seguiram esse método para alcançar seus dados pessoais:

1. Eles enviam uma solicitação de conexão para um intervalo de IP (por exemplo, 75.30.203.1 - 75.30.203.254) através da porta 443.
2. Eles enviam uma mensagem do ClientHello.
3. Eles extraem o CN na mensagem ServerHello.
4. Eles correspondem aos IPs com os domínios .onion.

Fazendo isso repetidamente, eles podem acessar os dados de muitos sites usando a rede Tor.

Conclusão

Garantir sua segurança requer atenção e ficar de olho nos novos métodos de ataque. De acordo com uma pesquisa recente da Rosselyn Barroyeta, uma configuração incorreta pode deixá-lo exposto, mesmo quando se usa o serviço mais seguro. Ela conduziu uma demonstração ao vivo dos impactos que a configuração incorreta pode ter e como isso resulta na exposição do endereço IP.

Para mais informações, consulte as públicas de IP do filho expuestas através dos certificados SSL (espanhol).