Твитнуть
Сервера сети Tor позволяют анонимно использовать разные веб-сервисы. Считается, что их невозможно отследить, как и определить адреса пользователей, однако недавно появился способ узнать настоящие IP-адреса таких сервисов при помощи http-заголовка (Etag).
Etag представляет собой уникальный идентификатор, который создается сервером, когда Tor-клиент пытается получить доступ к какому-либо ресурсу. Через него клиент определяет актуальна ли версия сайта. Если Etag не меняется, клиент перенаправляется к кэшированной версии, что экономит трафик и снижает время загрузки.
В некоторых случаях Etag используется в качестве инструмента отслеживания. В нем можно найти данные о сервере, в том числе IP-адрес, время и хэш. Это значит, что при отправке запроса к одному ресурсу с нескольких скрытых Tor-сервисов, находящихся на одном сервере, клиент увидит один и тот же Etag, который и раскроет IP сервера.
Было проведено исследование, в котором автор показал, что при помощи инструментов curl и torsocks и сравнения Etag получилось узнать IP-адрес скрытого сервиса Tor, которым пользовались вымогатели из группы RagnarLocker. Все Etag были одинаковыми и содержали хэш IP-адреса сервера, благодаря чему и удалось установить его настоящий адрес и даже местонахождение.
В исследовании сказано, что хакеры Ragnar Locker постоянно проводили атаки на компанию Capcom (разрабатывающую видеоигры). Сначала злоумышленники заявили, что похитили 1 Тб данных компании, а когда Capcom не стала выполнять требования Ragnar Locker, хакеры опубликовали 67 Гб ее данных в Dark Web.
На сайте утечки, где злоумышленники разместили украденные данные, удалось найти лишь ссылку, но самих файлов там не было. На ресурсе находился только Onion-адрес (начинающийся с t2w), на котором хранились файлы, разбитые на части. Других зацепок не было.
Чтобы найти IP-адрес сайта в Dark Web, нужно проверить его исходный код, SSL-сертификат, заголовки ответа и прочие параметры. При этом в коде требуется найти уникальные строки и информацию об отпечатках пальцев, после чего нужно воспользоваться сканирующими сервисами, например Shodan, Censys или др, с помощью которых можно найти IP-адрес сайта. В указанном исследовании проверялись именно заголовки ответа. В результате было установлено, что IP-адрес onion-сервера 5.45.65.52. Позже он всплыл и в отчете ФБР, где говорилось о том, что с адреса публикуются похищенные у Capcom файлы.
Данный метод определения IP-адресов могут использовать и преступники – для раскрытия пользователей и поставщиков анонимных Tor-сервисов, и правоохранители – при борьбе с нелегальной онлайн-активностью. Несмотря на это, защититься от определения IP-адреса ресурса можно, отключив Etag на сервере или используя прокси для его замены при обмене данными с входящими соединениями.
Etag представляет собой уникальный идентификатор, который создается сервером, когда Tor-клиент пытается получить доступ к какому-либо ресурсу. Через него клиент определяет актуальна ли версия сайта. Если Etag не меняется, клиент перенаправляется к кэшированной версии, что экономит трафик и снижает время загрузки.
В некоторых случаях Etag используется в качестве инструмента отслеживания. В нем можно найти данные о сервере, в том числе IP-адрес, время и хэш. Это значит, что при отправке запроса к одному ресурсу с нескольких скрытых Tor-сервисов, находящихся на одном сервере, клиент увидит один и тот же Etag, который и раскроет IP сервера.
Было проведено исследование, в котором автор показал, что при помощи инструментов curl и torsocks и сравнения Etag получилось узнать IP-адрес скрытого сервиса Tor, которым пользовались вымогатели из группы RagnarLocker. Все Etag были одинаковыми и содержали хэш IP-адреса сервера, благодаря чему и удалось установить его настоящий адрес и даже местонахождение.
В исследовании сказано, что хакеры Ragnar Locker постоянно проводили атаки на компанию Capcom (разрабатывающую видеоигры). Сначала злоумышленники заявили, что похитили 1 Тб данных компании, а когда Capcom не стала выполнять требования Ragnar Locker, хакеры опубликовали 67 Гб ее данных в Dark Web.
На сайте утечки, где злоумышленники разместили украденные данные, удалось найти лишь ссылку, но самих файлов там не было. На ресурсе находился только Onion-адрес (начинающийся с t2w), на котором хранились файлы, разбитые на части. Других зацепок не было.
Чтобы найти IP-адрес сайта в Dark Web, нужно проверить его исходный код, SSL-сертификат, заголовки ответа и прочие параметры. При этом в коде требуется найти уникальные строки и информацию об отпечатках пальцев, после чего нужно воспользоваться сканирующими сервисами, например Shodan, Censys или др, с помощью которых можно найти IP-адрес сайта. В указанном исследовании проверялись именно заголовки ответа. В результате было установлено, что IP-адрес onion-сервера 5.45.65.52. Позже он всплыл и в отчете ФБР, где говорилось о том, что с адреса публикуются похищенные у Capcom файлы.
Данный метод определения IP-адресов могут использовать и преступники – для раскрытия пользователей и поставщиков анонимных Tor-сервисов, и правоохранители – при борьбе с нелегальной онлайн-активностью. Несмотря на это, защититься от определения IP-адреса ресурса можно, отключив Etag на сервере или используя прокси для его замены при обмене данными с входящими соединениями.
Комментарий