Yonathan Klijnsma, investigador Threat Hunting da RiskIQ, descobriu que muitos websites TOR mal configurados podem expor os endereços de IP públicos de servidores adjacentes através dos seus certificados SSL.
Servidores de hosting bem configurados apenas precisam de ouvir (listen) o localhost (127.0.0.1) ao invés de outros endereços de IP públicos.
“The way these guys are messing up is that they have their local Apache or Nginx server listening on any (* or 0.0.0.0) IP address, which means Tor connections will work obviously, but also external connections will as well,”
Klijnsma explained to BleepingComputer. “This is especially true if they don’t use a firewall. These servers should be configured to only listen on 127.0.0.1.”
O especialista destacou que é muito fácil encontrar servidores mal configurados e que exponham o seu endereço IP público.
Toda vez que um administrador de um serviço hidden (da TOR) adiciona um certificado SSL a um website, ele associa o domínio .onion ao certificado. O campo Nome Comum (CN) do certificado apresenta o endereço .onion do serviço hidden.
Quando os administradores configuram incorretamente um servidor para que ele ouça um endereço IP público, o certificado SSL associado ao website será usado para o endereço IP público.
Klijnsma descobriu os servidores mal configurados, apenas efetuando um varrimento na Internet e associando os certificados SSL aos endereços IP. Dessa maneira, o especialista descobriu os serviços ocultos e mal configurados do Tor e o IP público correspondente.
Another #Tor hidden service exposed through an incorrect configuration of the listening server. Hiding your private forum on the deep dark (and still very public) web. Certificate can be found here (host is still live!): https://t.co/KEqN6hfyFb pic.twitter.com/cwHOuUdwmk
— Yonathan Klijnsma (@ydklijnsma) August 4, 2018
O especialista concluiu que, para evitar a exposição do endereço IP público para um serviço oculto do TOR, ele deve apenas ouvir (LISTEN) o IP 127.0.0.1.