Privacy - Wat niemand over je mag weten

webserver onion domein achterhalen

24-11-2020, 10:57 door Anoniem, 13 reacties
Ik begrijp dat een tor gebruiker (ik bedoel in client-modus) redelijk anoniem is doordat zijn verkeer via verschillende nodes bij de destination terecht komt.

Hoe zit dit echter met een tor gebruiker (in server-modus). M.a.w.: stel ik heb kennis van een onion domein: blablabla.onion, is het dan mogelijk om te achterhalen op welk IP adres deze website gehost is? Als dat niet makkelijk te achterhalen is: hoe kunnen opsporingsdiensten dan toch onion domeinen offline halen?
Reacties (13)
24-11-2020, 13:54 door Anoniem
Inhacken op de http server die achter tor verborgen is.

Tor is ook tracebaar via Quantum-Leap van de NSA.

Daarom moet je een tor-hidden-service op een wegwerp server installeren.
24-11-2020, 16:37 door MathFox
Door Anoniem:Hoe zit dit echter met een tor gebruiker (in server-modus). M.a.w.: stel ik heb kennis van een onion domein: blablabla.onion, is het dan mogelijk om te achterhalen op welk IP adres deze website gehost is? Als dat niet makkelijk te achterhalen is: hoe kunnen opsporingsdiensten dan toch onion domeinen offline halen?
Je kunt op de Tor website lezen hoe onion services werken: https://community.torproject.org/onion-services/ en het is niet simpel om te achterhalen waar een onion service gehost wordt.

Er zijn twee methoden die ik ken om onion sites te ontmaskeren: De eerste is te proberen om de server via het Tor netwerk te hacken en te proberen het "native" IP adres van de server uit te lezen (of via native IP contact met een opsporings-server te leggen). Dit soort aanvallen kan (met een iets andere opzet) ook uitgevoerd worden naar Tor clients.
Een tweede methode is gebaseerd op verkeersanalyse. Als je de onion server van een specifiek patroon van verzoeken voorziet kun je op backbone routers kijken waar dat patroon boven de ruis uitkomt; het doel-IP van al die verzoeken is dan hoogstwaarschijnlijk van de onion server.
24-11-2020, 17:35 door Anoniem
Door MathFox:
Door Anoniem:Hoe zit dit echter met een tor gebruiker (in server-modus). M.a.w.: stel ik heb kennis van een onion domein: blablabla.onion, is het dan mogelijk om te achterhalen op welk IP adres deze website gehost is? Als dat niet makkelijk te achterhalen is: hoe kunnen opsporingsdiensten dan toch onion domeinen offline halen?
Je kunt op de Tor website lezen hoe onion services werken: https://community.torproject.org/onion-services/ en het is niet simpel om te achterhalen waar een onion service gehost wordt.

Er zijn twee methoden die ik ken om onion sites te ontmaskeren: De eerste is te proberen om de server via het Tor netwerk te hacken en te proberen het "native" IP adres van de server uit te lezen (of via native IP contact met een opsporings-server te leggen). Dit soort aanvallen kan (met een iets andere opzet) ook uitgevoerd worden naar Tor clients.
Een tweede methode is gebaseerd op verkeersanalyse. Als je de onion server van een specifiek patroon van verzoeken voorziet kun je op backbone routers kijken waar dat patroon boven de ruis uitkomt; het doel-IP van al die verzoeken is dan hoogstwaarschijnlijk van de onion server.


In nog gemakkelijkere taal: als ik op het ritme van despacito (kliiiiik klik kliklik!) files download van die machine, en ergens tegen een tor-exit node aan zit, of er zelf een host (of 1000) dan zie ik dat ritme vanzelf naar buiten wandelen, tegen de echte server aan.
Vereist wel een dikke infra, maar die heeft Joe Biden wel.
24-11-2020, 20:57 door MathFox
Door Anoniem:In nog gemakkelijkere taal: als ik op het ritme van despacito (kliiiiik klik kliklik!) files download van die machine, en ergens tegen een tor-exit node aan zit, of er zelf een host (of 1000) dan zie ik dat ritme vanzelf naar buiten wandelen, tegen de echte server aan.
Nope, onion verkeer blijft binnen het Tor netwerk en gaat niet via een exit node.
24-11-2020, 21:10 door Anoniem
Door Anoniem:
Vereist wel een dikke infra, maar die heeft Joe Biden wel.
Waar slaat dit nou weer op?
24-11-2020, 22:23 door Anoniem
@MathFox Een derde mogelijkheid is om de onion webserver te fingerprinten (server headers, TLS certificaat, SSH server key) en dan het internet af te speuren op zoek naar dezelfde fingerprint. Het blijkt nog vaak voor te komen dat die onion service via de publieke kant te bereiken is, waardoor je ook via deze manier het 'echte' IP kan achterhalen. Ik meen dat er een project was dat op deze manier een vrij groot deel van de onion service in kaart wist te brengen, iets als OoniShare of OoniScan? Afijn, in ieder geval een derde manier.
24-11-2020, 22:49 door MathFox
Door Anoniem: @MathFox Een derde mogelijkheid is om de onion webserver te fingerprinten (server headers, TLS certificaat, SSH server key) en dan het internet af te speuren op zoek naar dezelfde fingerprint. Het blijkt nog vaak voor te komen dat die onion service via de publieke kant te bereiken is, waardoor je ook via deze manier het 'echte' IP kan achterhalen. Ik meen dat er een project was dat op deze manier een vrij groot deel van de onion service in kaart wist te brengen, iets als OoniShare of OoniScan? Afijn, in ieder geval een derde manier.
Je hebt gelijk en het is altijd goed om weer eens iets nieuws te leren. Ik nam even aan dat de beheerder van de .onion server juist moeite had genomen om niet via het openbare Internet bereikbaar te zijn. Er zijn organisaties die aanbevelen om al het niet-Tor verkeer in en uit de .onion server in de firewall te blokkeren om bij hacks van de server zo min mogelijk informatie te lekken.
Maar als je als organisatie je .onion adres gebruikt als alternatieve methode om bij je webserver te komen dan vind je het waarschijnlijk niet eens erg dat heel de wereld weet dat http://www.nytimes3xbfgragh.onion/ en https://www.nytimes.com/ op dezelfde website uitkomen. Via Tor kun je om overheidscensuur heen routen.
25-11-2020, 01:34 door Anoniem
Als dat niet makkelijk te achterhalen is: hoe kunnen opsporingsdiensten dan toch onion domeinen offline halen?[/quote]
Bijvoorbeeld door een vraag te stellen over tor op stackoverflow (met je normale ip, email enz). Omdat tor niet door iedereen gebruikt wordt, is de "search space" ook beperkt.
25-11-2020, 10:19 door Anoniem
Door Anoniem: Ik meen dat er een project was dat op deze manier een vrij groot deel van de onion service in kaart wist te brengen, iets als OoniShare of OoniScan? Afijn, in ieder geval een derde manier.

OnionScan: Investigating the Dark Web
https://onionscan.org

OnionShare is iets anders. Dat is een statische HTML onionserver, ontwikkeld door Micah Lee bij The Intercept, die obsf4 pluggable transport in een stealth modus kan toepassen. Daar kun je naar zoeken als een speld in een hooiberg.

https://github.com/micahflee/onionshare/wiki/Stealth-Onion-Services
25-11-2020, 11:54 door Anoniem
Lees ook eens na op sysdig dot com. Gebruik tor in een virtuele machine.

Achterhalen kan via het kraken van een entry-guard (Falco). De entry-guard bevat de IP adressen.
Ze roteren wel elke maand en worden willekeurig gekozen, maar er bestaan methodes om ze te kunnen achterhalen.

dDossen is een andere manier om achter de IPs te komen via het voldoende frustreren van tor-relays.
Is ook een niet al te dure manier.

Dan compromitteren via verkeerd gebruikte plug-ins als bijvoorbeeld een captcha-plug-in.
Maar dit kan echter een zg. "parallel-verhaal" van de opsporingsdiensten zijn.
Dit verhaal is speciaal voor de buitenwacht bedoeld en niet waar.

Verder bestaat er bekende Tor-server-malware met oud Firefox-exploits.
Tor moet regelmatig door development hiertegen gehard worden.

Ook ouderwets detectie werk kan worden ingezet (via infiltratie van de (cyber-)criminele structuur).

Daarom, "Don't do the crime, if you cannot do the time, as there are always 6 ways from Friday to get at you".

luntrus
25-11-2020, 12:26 door Anoniem
Door Anoniem:
Door Anoniem:
Vereist wel een dikke infra, maar die heeft Joe Biden wel.
Waar slaat dit nou weer op?

Als alles goed gaat dan is Joe vanaf 20 januari om 12:00 uur, locale tijd in Washington DC, de nieuwe Commander-in-Chief van de Amerikaanse krijgsmachten, en ook de hoogste baas van de grote oren en ogen van de NSA.
25-11-2020, 14:32 door Anoniem
Door Anoniem:
Door Anoniem:
Vereist wel een dikke infra, maar die heeft Joe Biden wel.
Waar slaat dit nou weer op?
Dat slaat op de big infra in land van Joe.
25-11-2020, 17:44 door Anoniem
En maar CAPTCHA's invullen voor de Cloudboys.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.