Де-onion. Как ловят администраторов сайтов в Tor - «Новости»

Как и в обыч­ном интерне­те, сай­ты в Tor могут получать от кли­ента информа­цию о раз­решении экра­на, количес­тве ядер компь­юте­ра и дру­гих парамет­рах, которые в совокуп­ности могут сос­тавлять уни­каль­ный отпе­чаток.

Имен­но поэто­му экспер­ты совету­ют не вклю­чать jаvascript на сай­тах в дар­кне­те или как минимум не исполь­зовать бра­узер в пол­ноэк­ранном режиме, что­бы не выдавать раз­мер экра­на. Циф­ровой отпе­чаток — это, конеч­но, не так страш­но, как нас­тоящие лич­ные дан­ные, но поз­воля­ет выделить уни­каль­ного посети­теля из опре­делен­ного количес­тва.

«Луковый» DNS

Раз­ведка через Whois и сер­висы типа DNSdumpster в сети Tor прос­то невоз­можна, ведь лукович­ная сис­тема доменов работа­ет сов­сем не так, как обыч­ная. Вот ее основные отли­чия:

1. 
   
2. Су­щес­тву­ет толь­ко еди­ная домен­ная зона .onion, домены сос­тоят из сге­нери­рован­ных иден­тифика­торов, из‑за чего в прин­ципе отсутс­тву­ет та самая иерар­хичес­кая струк­тура с TLD, SLD и под­домена­ми.
3. 
   
4. Де­цен­тра­лизо­ван­ное хра­нение — это глав­ная проб­лема собира­юще­го информа­цию, ведь из‑за него невоз­можно пос­лать зап­рос к Whois. В клас­сичес­кой DNS информа­ция о доменах и соот­ветс­тву­ющих им IP-адре­сах хра­нит­ся на цен­тра­лизо­ван­ных DNS-сер­верах. В Tor информа­ция о доменах .onion и их адре­сах хра­нит­ся на рас­пре­делен­ных узлах в сети Tor.
5. 
   
6. От­лича­ются и про­токо­лы. Если в клас­сичес­кой DNS исполь­зуют­ся зап­росы UDP и TCP-зап­росы, то сис­тема DNS в Tor нап­рямую обра­щает­ся к рас­пре­делен­ным узлам хра­нения, что­бы получить нуж­ный адрес.
7. 
   

www

TorWhois — неч­то вро­де сер­виса Whois для Tor. Поз­воля­ет получить информа­цию об откры­тых пор­тах, сер­тифика­тах, клю­чах и информа­цию о robots.txt.

Есть ис­сле­дова­ние, которое показа­ло, что DNS-тра­фик в сети Tor мож­но исполь­зовать для точ­ного опре­деле­ния посеща­емых сай­тов. Иссле­дова­тели раз­ными метода­ми ана­лизи­рова­ли DNS-зап­росы, про­ходя­щие через выход­ные узлы Tor, и выяс­няли кор­реляции этих зап­росов с кон­крет­ными сай­тами.

Мож­но прос­то искать в зап­росах домены. Пос­коль­ку в адре­сах .onion домены сос­тоят из сге­нери­рован­ных иден­тифика­торов, их лег­ко срав­нивать с иден­тифика­тора­ми в DNS-зап­росах и уста­нав­ливать соот­ветс­твия. Это поз­воля­ет опре­делить, какие кон­крет­ные сай­ты поль­зователь посещал через Tor.

В ред­ких слу­чаях адми­нис­тра­торы не уда­ляют метадан­ные у фай­лов, раз­мещен­ных на сай­те, а метадан­ные могут вклю­чать такую информа­цию, как модель фото­аппа­рата, имя, геоло­кация и мно­гое дру­гое. Сей­час даже обыч­ные соц­сети уда­ляют метадан­ные при заг­рузке фай­лов.

Структура сайтов

Сай­ты в Tor исполь­зуют обык­новен­ные CMS, как и сай­ты в «клир­нете». Конеч­но, внут­ри всё те же HTML, CSS и дру­гие при­выч­ные тех­нологии. То есть тут нет ничего уди­витель­ного и нового. На скрин­шоте ты можешь уви­деть, что автор сай­та сде­лал его на Bootstrap. А исполь­зование популяр­ных тех­нологий, конеч­но, откры­вает воз­можность для авто­мати­зации ауди­та в целях раз­ведки. Для это­го есть:

• 
  
• Onionscan (аудит onion-сай­та);
• 
  
• Onion Nmap (Nmap для onion-сай­та);
• 
  
• OWASP ZAP (ска­нер);
• 
  
• Nikto (ска­нер);
• 
  
• WPScan (ска­нер);
• 
  
• Burp Suite (ска­нер);
• 
  
• Wapiti (ска­нер);
• 
  
• 
  спи­сок уяз­вимос­тей на Mitre.org.
• 
  

Теневая экономика

Ча­ще все­го дар­квеб исполь­зуют для тор­говли зап­рещен­ными товара­ми и услу­гами. Выручен­ные день­ги потом нуж­но как‑то выводить, и здесь тор­говцы зап­рещен­ным изоб­рета­ют самые изощ­ренные схе­мы. Обыч­но — с исполь­зовани­ем крип­товалю­ты. Имен­но на эта­пе вывода денег чаще все­го и попада­ются вла­дель­цы мар­кет­плей­сов.