Де-onion. Как ловят администраторов сайтов в Tor

Ду­маю, ты уже в кур­се, что сай­ты, адрес которых закан­чива­ется на .onion, — не прос­тые и без допол­нитель­ных уси­лий открыть их в обыч­ном бра­узе­ре не вый­дет. Так называ­емый дар­квеб сос­тоит из таких вот сай­тов. Очень час­то они пос­вящены тор­говле незакон­ными товара­ми и услу­гами. Конеч­но, ведь адми­нис­тра­торам этих сай­тов не при­ходит­ся запол­нять свои кон­так­тные дан­ные при регис­тра­ции, никакой цен­зуры нет, а «луковая» мар­шру­тиза­ция через череду прок­си‑сер­веров дол­жна обес­печивать ано­ним­ность.

Сай­ты в Tor Network не индекси­руют­ся обыч­ными поис­ковика­ми, зато сущес­тву­ют спе­циали­зиро­ван­ные поис­ковики, которые ищут толь­ко в Tor. В общем, как ты понял, это целый отдель­ный мир.

Как работает Tor Network

При обыч­ной пря­мой IP-мар­шру­тиза­ции все отно­ситель­но прос­то: один узел дела­ет зап­рос по какому‑то адре­су, дру­гой отве­чает на тот же адрес, с которо­го пос­тупил зап­рос. В луковой же мар­шру­тиза­ции любой зап­рос сна­чала про­ходит через три узла, называ­емых нодами Tor. По умол­чанию вход­ной и выход­ной узлы шиф­руют информа­цию так, что­бы она прош­ла через сле­дующий узел.

Иде­аль­ная защита от слеж­ки? Не сов­сем. Любой в теории может сде­лать свой компь­ютер узлом‑пос­редни­ком и собирать дан­ные о зап­росах. Ты спро­сишь, кому это нуж­но, если информа­ция зашиф­рована? А что, если ата­кующий будет собирать часть информа­ции до шиф­рования, заразив вход­ную ноду? Или наобо­рот — выход­ную, и получать дан­ные о зап­рашива­емых ресур­сах? Имен­но вто­рой вари­ант наибо­лее рас­простра­нен­ный.

К тому же зло­умыш­ленник может модифи­циро­вать или пол­ностью изме­нить информа­цию, переда­ваемую от сер­вера кли­енту. Так мож­но даже заразить устрой­ство кли­ента вре­донос­ным кодом.

В 2020 году была обна­руже­на хакер­ская груп­пиров­ка KAX17, которая управля­ла 900 заражен­ными сер­верами, к которым обра­щалось до 16% поль­зовате­лей Tor.

Вот нес­коль­ко инс­тру­мен­тов, которые помога­ют иссле­довать ноды Tor:

• TOR Node List — спи­сок нод;
• ExoneraTor — про­вер­ка IP на исполь­зование в качес­тве нод Tor;
• Onionite — информа­ция о нодах;
• Tor Metrics — информа­ция о нодах;
• Collector Tor — архив IP и пор­тов узлов.

Как и в обыч­ном интерне­те, сай­ты в Tor могут получать от кли­ента информа­цию о раз­решении экра­на, количес­тве ядер компь­юте­ра и дру­гих парамет­рах, которые в совокуп­ности могут сос­тавлять уни­каль­ный отпе­чаток.

Имен­но поэто­му экспер­ты совету­ют не вклю­чать JavaScript на сай­тах в дар­кне­те или как минимум не исполь­зовать бра­узер в пол­ноэк­ранном режиме, что­бы не выдавать раз­мер экра­на. Циф­ровой отпе­чаток — это, конеч­но, не так страш­но, как нас­тоящие лич­ные дан­ные, но поз­воля­ет выделить уни­каль­ного посети­теля из опре­делен­ного количес­тва.

«Луковая» DNS

Раз­ведка через Whois и сер­висы типа DNSdumpster в сети Tor прос­то невоз­можна, ведь лукович­ная сис­тема доменов работа­ет сов­сем не так, как обыч­ная. Вот ее основные отли­чия:

1. Су­щес­тву­ет толь­ко еди­ная домен­ная зона .onion, домены сос­тоят из сге­нери­рован­ных иден­тифика­торов, из‑за чего в прин­ципе отсутс­тву­ет та самая иерар­хичес­кая струк­тура с TLD, SLD и под­домена­ми.
2. Де­цен­тра­лизо­ван­ное хра­нение — это глав­ная проб­лема собира­юще­го информа­цию, ведь из‑за него невоз­можно пос­лать зап­рос к Whois. В клас­сичес­кой DNS информа­ция о доменах и соот­ветс­тву­ющих им IP-адре­сах хра­нит­ся на цен­тра­лизо­ван­ных DNS-сер­верах. В Tor информа­ция о доменах .onion и их адре­сах хра­нит­ся на рас­пре­делен­ных узлах в сети Tor.
3. От­лича­ются и про­токо­лы. Если в клас­сичес­кой DNS исполь­зуют­ся зап­росы UDP и TCP-зап­росы, то сис­тема DNS в Tor нап­рямую обра­щает­ся к рас­пре­делен­ным узлам хра­нения, что­бы получить нуж­ный адрес.

Есть ис­сле­дова­ние, которое показа­ло, что DNS-тра­фик в сети Tor мож­но исполь­зовать для точ­ного опре­деле­ния посеща­емых сай­тов. Иссле­дова­тели раз­ными метода­ми ана­лизи­рова­ли DNS-зап­росы, про­ходя­щие через выход­ные узлы Tor, и выяс­няли кор­реляции этих зап­росов с кон­крет­ными сай­тами.

Мож­но прос­то искать в зап­росах домены. Пос­коль­ку в адре­сах .onion домены сос­тоят из сге­нери­рован­ных иден­тифика­торов, их лег­ко срав­нивать с иден­тифика­тора­ми в DNS-зап­росах и уста­нав­ливать соот­ветс­твия. Это поз­воля­ет опре­делить, какие кон­крет­ные сай­ты поль­зователь посещал через Tor.

В ред­ких слу­чаях адми­нис­тра­торы не уда­ляют метадан­ные у фай­лов, раз­мещен­ных на сай­те, а метадан­ные могут вклю­чать такую информа­цию, как модель фото­аппа­рата, имя, геоло­кация и мно­гое дру­гое. Сей­час даже обыч­ные соц­сети уда­ляют метадан­ные при заг­рузке фай­лов.

Структура сайтов

Сай­ты в Tor исполь­зуют обык­новен­ные CMS, как и сай­ты в «клир­нете». Конеч­но, внут­ри всё те же HTML, CSS и дру­гие при­выч­ные тех­нологии. То есть тут нет ничего уди­витель­ного и нового. На скрин­шоте ты можешь уви­деть, что автор сай­та сде­лал его на Bootstrap. А исполь­зование популяр­ных тех­нологий, конеч­но, откры­вает воз­можность для авто­мати­зации ауди­та в целях раз­ведки. Для это­го есть:

• Onionscan (аудит onion-сай­та);
• Onion Nmap (Nmap для onion-сай­та);
• OWASP ZAP (ска­нер);
• Nikto (ска­нер);
• WPScan (ска­нер);
• Burp Suite (ска­нер);
• Wapiti (ска­нер);
• спи­сок уяз­вимос­тей на Mitre.org.

Теневая экономика

Ча­ще все­го дар­квеб исполь­зуют для тор­говли зап­рещен­ными товара­ми и услу­гами. Выручен­ные день­ги потом нуж­но как‑то выводить, и здесь тор­говцы зап­рещен­ным изоб­рета­ют самые изощ­ренные схе­мы. Обыч­но — с исполь­зовани­ем крип­товалю­ты. Имен­но на эта­пе вывода денег чаще все­го и попада­ются вла­дель­цы мар­кет­плей­сов.