Yonathan Klijnsma, investigador Threat Hunting da RiskIQ, descobriu que muitos websites TOR mal configurados podem expor os endereços de IP públicos de servidores adjacentes através dos seus certificados SSL.
Servidores de hosting bem configurados apenas precisam de ouvir (listen) o localhost (127.0.0.1) ao invés de outros endereços de IP públicos.
“The way these guys are messing up is that they have their local Apache or Nginx server listening on any (* or 0.0.0.0) IP address, which means Tor connections will work obviously, but also external connections will as well,”
Klijnsma explained to BleepingComputer. “This is especially true if they don’t use a firewall. These servers should be configured to only listen on 127.0.0.1.”
O especialista destacou que é muito fácil encontrar servidores mal configurados e que exponham o seu endereço IP público.
Toda vez que um administrador de um serviço hidden (da TOR) adiciona um certificado SSL a um website, ele associa o domínio .onion ao certificado. O campo Nome Comum (CN) do certificado apresenta o endereço .onion do serviço hidden.
Quando os administradores configuram incorretamente um servidor para que ele ouça um endereço IP público, o certificado SSL associado ao website será usado para o endereço IP público.
Klijnsma descobriu os servidores mal configurados, apenas efetuando um varrimento na Internet e associando os certificados SSL aos endereços IP. Dessa maneira, o especialista descobriu os serviços ocultos e mal configurados do Tor e o IP público correspondente.
Another #Tor hidden service exposed through an incorrect configuration of the listening server. Hiding your private forum on the deep dark (and still very public) web. Certificate can be found here (host is still live!): https://t.co/KEqN6hfyFb pic.twitter.com/cwHOuUdwmk
— Yonathan Klijnsma (@ydklijnsma) August 4, 2018
O especialista concluiu que, para evitar a exposição do endereço IP público para um serviço oculto do TOR, ele deve apenas ouvir (LISTEN) o IP 127.0.0.1.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.