Опасность использования Web2Tor/Tor2Web сервисов

Что такое Web2Tor/Tor2Web?

Web2Tor и Tor2Web реверсивные прокси-серверы, которые позволяют получать доступ к скрытым сервисам без использования браузера Tor. Например: onion.to, onion.cab, onion.city и другие. Они прослушивают 80 порт (или 443) на сервере, а затем передают запросы в сеть Tor к выбранному сервису.

Почему это плохо для пользователя?

При использовании Tor для подключения к скрытому сервису (например, facebookcorewwwi.onion) ваше соединение защищено шифрованием от конца в конец между клиентом Tor и скрытым сервисом.

При подключении через Tor2Web, экземпляр Tor2Web находится между вами и скрытым сервисом, занимая очень привилегированное положение, которое не только позволяет ему видеть то, что вы делаете, но и модифицировать и добавлять содержимое.

Благодаря тому, как работает Tor2Web, вы также раскрывает скрытый сервис, который вы посещаете для более широкой аудитории. При попытке доступа к 6zdgh5a5e6zpchdz.onion.cab, ваша система посылает запрос DNS, а это означает, что ваш провайдер (и другие) могут увидеть адрес сайта, который вы собираетесь посетить.

Другие на пути между вами и экземпляром Tor2Web также можете увидеть, к каким сайтам вы пытаетесь получить доступ. Даже если экземпляр Tor2Web использует HTTPS.

Таким образом, путем подключения к скрытой службы с помощью шлюза, вы не только даете возможность постороннему вмешиваться в подключением, но и вы также объявляете, какой скрытый сервис вы собираетесь посетить.

Изменение данных

Некоторые Web2Tor/Tor2Web гейты, такие как onion.cab, имеют довольно плохие привычки, в том числе добавлять посторонние данные в трафик.
Например, при доступе к https://facebookcorewwwi.onion.cab/, сервис добавляет код аналитика Piwik на страницу:

var _paq = _paq || [];
_paq.push(["setCookieDomain", "*.onion.cab"]);
_paq.push(["trackPageView"]);
_paq.push(["enableLinkTracking"]);
_paq.push(["setDomains","*.onion.cab"]);

(function() {
var u=(("https:" == document.location.protocol) ? "https" : "http") + "://onion.cab/";
_paq.push(["setTrackerUrl", u+"pwk.php"]);
_paq.push(["setSiteId", "4"]);
var d=document, g=d.createElement("script"), s=d.getElementsByTagName("script")[0]; g.type="text/javascript";
g.defer=true; g.async=true; g.src=u+"pwk.php"; s.parentNode.insertBefore(g,s);
})();

Также высока вероятность, что сервис сохраняет IP, время посещения и адрес сайта.

Это пример кода аналитики:

https://onion.cab/pwk.php?action_name=BenTasker.co.uk%20-%20The%20Home%20of%20Ben%20Tasker%20-%20www.bentasker.co.uk&idsite=4&rec=1&r=031912&h=18&m=3&s=38&url=https%3A%2F%2F6zdgh5a5e6zpchdz.onion.cab%2F&urlref=https%3A%2F%2F6zdgh5a5e6zpchdz.onion.cab%2F&_id=e3b76eefc37a7920&_idts=1481997157&_idvc=3&_idn=0&_refts=1488650352&_viewts=1488650352&_ref=https%3A%2F%2Fwww.google.co.uk%2F&send_image=1&pdf=1&qt=0&realp=0&wma=0&dir=0&fla=0&java=0&gears=0&ag=0&cookie=1&res=1280x1024&gt_ms=1203

В этой длинной строке запроса, среди прочего, имеется:

  • Название просматриваемой страницы
  • Идентификатор для сайта
  • Время, в которое вы сделали запрос
  • Точный URL просматриваемой страницы
  • Реферрер
  • Какие плагины у вас установлены
  • Включены ли куки
  • Ваше разрешение экрана
  • Уникальный идентификатор для вас

Они также устанавливают различные куки (в том числе со странным именем onion_cab_iKnowShit), которые могут быть использованы для отслеживания вас через скрытые сервисы (так долго, как вы обращаетесь через onion.cab). В данном случае, это Piwik, но это может быть Google Analytics.
А на случай если у вас отключен JavaScript, вам будут показывать пустую страничку:

<noscript>
<img src="https://onion.cab/pwk.php?idsite=4&rec=1" style="border:0" alt="" />
</noscript>

Блокирование доступа

Хорошая новость, большинство популярных Tor2Web-шлюзов легко обнаружить. onion.link и onion.to имеют заголовок HTTP_X_TOR2WEB. Мы можем обнаружить этот заголовок на стороне сервера! Например с помощью этого PHP-скрипта.
Пользователи увидят это сообщение:

Использование Tor2Web-шлюза кажется простым решением для доступа к скрытым сервисам, но вы допускаете третью сторону в ваш трафик. Везде, где это возможно, всегда используйте официальную версию Tor. Даже такие гиганты, как Facebook призывают к этому.