- A+
近年来,暗网的安全性越来越受到考验和质疑。近期,加拿大匿名与隐私研究者Sarah Jamie Lewis发布了专门检测暗网安全性的工具–OnionScan。
1. 暗网安全事件
2013年,“丝绸之路”创始人RossUlbricht被捕,以非法交易违禁品被判终身监禁;
2014年底,澳洲警方臥底暗网,接管恋童网站,逮捕英国最邪恶恋童犯;
2014年10月,巴西警方破解了一个儿童色情暗网,逮捕了网站管理员;
2015年6月,英国Tor服务开发者 Thomas White公布了两个暗网真实IP地址;
2015年8月,麻省理工学院教授发现了一种通过追踪数据包跟踪Tor网络IP地址的方法,准确率高达88%;
2015年8月,暗网最大交易市场Agora因害怕安全问题临时关闭;
2016年3月,欧洲多国执法部门逮捕了五家暗网的嫌疑运营商和管理员;
2016年4月,匿名隐私研究者Sarah Jamie Lewis针对8000多个在线暗网进行安全分析后发现,这些暗网网站近一半配置有Apache服务,在这一半的网站中,有12%存在配置信息泄露,7%存在EXIF信息泄露,其它部分暗网安装有FTP、SSH等应用,大多数暗网本身具备的安全性和隐匿性不容乐观。
图 :某暗网配置的APACHE服务信息泄露
典型例子:暗网“丝绸之路”是如何被FBI发现的–错误配置的验证码
前FBI特工 Christopher Tarbell 描述了他和同事如何发现丝绸之路服务器IP地址:他们在丝绸之路登录页面的输入框输入各种字符串,发现网站返回的数据中的一个IP地址没有匹配任何已知的Tor节点。他们在浏览器上直接输入这个IP地址,结果弹出了丝绸之路的CAPTCHA提示,显示这个IP地址就是丝绸之路服务器的真实地址。
对执法部门而言,暗网相关信息一旦被曝露,这就是办理非法交易案件的蛛丝马迹或进一步入侵取证的关键;对暗网管理者和暗网使用者而言,个人信息的隐匿性和安全性将面临威胁。
2. 使用OnionScan
Sarah Jamie Lewis发布了暗网安全性扫描工具OnionScan,该工具可以扫描暗网网站存在的某些安全问题,如:配置信息泄露、上传文件元数据信息、真实IP信息泄露、上传图片GPS信息等,在最近更新的版本中,OnionScan还支持SSH、FTP、SMTP、XMPP、VNC、TLS、IRC和Bitcoin的识别扫描。Sarah Jamie Lewis 希望OnionScan是暗网安全性的一种促进或推动。
OnionScan安装前提
1. 一台全天候服务器,当然最好是Linux服务器;
2. 在服务器上安装TOR;
3. 下载OnionScan程序
4. 必要的Python数据处理脚本。
安装条件准备
screen
apt-get update
apt-get install tor git bison libexif-dev
apt-get install python-pip
pip install stem
安装Go语言环境(OnionScan是Go语言编写的)
bash <<(curl -s -S -L https://raw.githubusercontent.com/moovweb/gvm/master/binscripts/gvm-installer)
[[ -s "$HOME/.gvm/scripts/gvm" ]]&& source "$HOME/.gvm/scripts/gvm"
source /root/.gvm/scripts/gvm
gvm install go1.4 –binary
gvm use go1.4
安装OnionScan 程序
go get github.com/s-rah/onionscan
go install github.com/s-rah/onionscan
执行命令:
onionscan
显示onionscan的使用说明,那么成功安装 OnionScan;如果出现其它问题,请重启终端输入:
gvm use go1.4
现在,为了保证后续扫描过程中不出现错误,我们需要对TOR的配置进行小小改动:
tor --hash-password PythonRocks
这时将会有一个输出,并且底部有以下类似字段:
16:3E73307B3E434914604C25C498FBE5F9B3A3AE2FB97DAF70616591AAF8
复制这条字段,并在终端输入:
nano -w /etc/tor/torrc
此时,将打开一个文档样例编辑器,在文档底部,把刚才复制的内容粘贴到HashedControlPassword后面,像下面这样:
ControlPort 9051
ControlListenAddress 127.0.0.1
HashedControlPassword 16:3E73307B3E434914604C25C498FBE5F9B3A3AE2FB97DAF70616591AAF8
保存文档并退出;
最后一步,抓取暗网地址(约7182个地址),让扫描脚本可以识别扫描目标:
wget https://raw.githubusercontent.com/automatingosint/osint_public/master/onionrunner/onion_master_list.txt
获取OnionScan扫描脚本:
https://raw.githubusercontent.com/automatingosint/osint_public/master/onionrunner/onionrunner.py
好吧,开始扫描吧:
python onionrunner.py
最终扫描结果将会以JSON文件格式存在于onionscan_results文件夹中,如果你没有耐心等待所有扫描结束,在这为你提供了我们的扫描结果-8167个暗网网站扫描结果。
分析扫描结果
可以使用jason viewer 对结果进行查看分析:
在下期,将会对扫描结果进行图形化分析。
*本文译者:clouds,编译来源:automatingosint,转载须注明来自FreeBuf.COM