Раскрытие IP-адреса через SSL сертификат

Исследователь безопасности нашел метод, который можно использовать для легкой идентификации публичных IP-адресов неправильно сконфигурированных веб-серверов скрытых сервисов. Хотя некоторые считают, что этот исследователь атакует Tor или другие подобные сети, на самом деле он раскрывает подводные камни в правильной настройке сайта.
Одна из основных целей создания onion-сайта в Tor заключается в том, чтобы затруднить идентификацию владельца сайта. Тем не менее, чтобы правильно анонимизировать onion-сайт, администратор должен правильно настроить веб-сервер так, чтобы он прослушивал только локальный хост (127.0.0.1), а не IP-адрес, открытый для Интернета.

Йонатан Клийнсма (Yonathan Klijnsma), исследователь угроз из RiskIQ, обнаружил, что есть много сайтов Tor, которые используют SSL сертификаты, и также неправильно настраивают свой веб-сервер, так что он доступен через Интернет. Поскольку RiskIQ сканирует сеть и ассоциирует любой SSL-сертификат с IP-адресом. Это легкий путь обнаружить IP-адрес неверно сконфигурированного сайта Tor.

«Эти ребята запутались, у них есть локальный сервер Apache или Nginx, прослушивающий любой (* или 0.0.0.0) IP-адрес. Это означает, что подключение через Tor будет установлено, но оно также будет установлено и через внешний интернет», — сказал Клийнсма. «Это особенно верно, если они не используют брандмауэр. Эти серверы должны быть настроены только для прослушивания 127.0.0.1».

На вопрос, как часто он видит неправильно сконфигурированные серверы, которые раскрывают свой публичный IP-адрес, он сказал, что довольно таки часто.

SSL-сертификаты идентифицируют публичные IP-адреса скрытых сервисов

Когда операторы скрытых сервисов Tor добавляют сертификат SSL на свой сайт, они связывают домен .onion с сертификатом, как показано ниже.

Если сайт Tor неверно сконфигурирован, и он прослушивает публичный IP-адрес, этот же сертификат, содержащий домен .onion, будет использоваться и для этого IP-адреса. Поскольку RiskIQ сканирует Интернет и каталогизирует все SSL-сертификаты, которые, по его мнению, используются сайтом, он свяжет этот сертификат .onion с общедоступным IP-адресом, на котором он находит его.

Это позволяет Клийнсме использовать базу данных RiskIQ, чтобы легко находить сертификаты .onion и видеть, на какой публичный IP-адрес они ссылаются.

Вы можете видеть пример в твиттере исследователя ниже.

Пользователи Tor думают, что Клийнсма атакует Tor

Некоторые пользователи считают, что исследование Клийнсмы — это нападение на Tor, в то время как исследователь говорит, что на самом деле это наоборот. Вместо того, чтобы атаковать Tor, Клийнсма пытается выявить проблемы, связанные с неправильной настройкой сайта Tor.

По словам исследователя, защитить сайт от такого воздействия довольно просто. «Они должны слушать только 127.0.0.1».