近年来,暗网的安全性越来越受到考验和质疑。近期, 加拿大 匿名与隐私研究者Sarah Jamie Lewis发布了专门检测暗网安全性的工具 – OnionScan 。
2013 年,“丝绸之路”创始人RossUlbricht被捕,以非法交易违禁品被判终身监禁;
2014 年底,澳洲警方臥底暗网,接管恋童网站,逮捕英国最邪恶恋童犯;
2014 年10月,巴西警方破解了一个儿童色情暗网,逮捕了网站管理员;
2015 年6月,英国Tor服务开发者 Thomas White 公布了两个暗网真实IP地址;
2015 年8月,麻省理工学院教授发现了一种通过追踪数据包跟踪Tor网络IP地址的方法,准确率高达88%;
2015 年8月,暗网最大交易市场Agora因害怕安全问题临时关闭;
2016 年3月,欧洲多国执法部门逮捕了五家暗网的嫌疑运营商和管理员;
2016 年4月,匿名隐私研究者Sarah Jamie Lewis针对8000多个在线暗网进行安全分析后发现,这些暗网网站近一半配置有Apache服务,在这一半的网站中,有12%存在配置信息泄露,7%存在EXIF信息泄露,其它部分暗网安装有FTP、SSH等应用,大多数暗网本身具备的安全性和隐匿性不容乐观。
图 :某 暗网配置的 APACHE 服务信息泄露
典型例子:暗网“丝绸之路”是如何被FBI发现的–错误配置的 验证码
前FBI特工 Christopher Tarbell 描述了他和同事如何发现丝绸之路服务器IP地址: 他们在丝绸之路登录页面的输入框输入各种字符串,发现网站返回的数据中的一个 IP 地址没有匹配任何已知的 Tor 节点。他们在浏览器上直接输入这个 IP 地址,结果弹出了丝绸之路的 CAPTCHA 提示,显示这个 IP 地址就是丝绸之路服务器的真实地址。
对执法部门而言,暗网相关信息一旦被曝露,这就是办理非法交易案件的蛛丝马迹或进一步入侵取证的关键; 对暗网管理者和暗网使用者而言,个人信息的隐匿性和安全性将面临威胁。
Sarah Jamie Lewis 发布了暗网安全性扫描工具OnionScan,该工具可以扫描暗网网站存在的某些安全问题,如:配置信息泄露、上传文件元数据信息、真实IP信息泄露、上传图片GPS信息等,在最近更新的版本中, OnionScan还支持SSH、FTP、SMTP、XMPP、VNC、TLS、IRC和Bitcoin的识别扫描 。Sarah Jamie Lewis 希望OnionScan是暗网安全性的一种促进或推动。
OnionScan安装前提
1. 一台全天候服务器,当然最好是Linux服务器; 2. 在服务器上安装TOR; 3. 下载OnionScan程序 4. 必要的Python数据处理脚本。
安装条件准备
screen apt-get update apt-get install tor git bison libexif-dev apt-get install python-pip pip install stem
安装Go语言环境(OnionScan是Go语言编写的)
bash <<(curl -s -S -L https://raw.githubusercontent.com/moovweb/gvm/master/binscripts/gvm-installer) [[ -s "$HOME/.gvm/scripts/gvm" ]]&& source "$HOME/.gvm/scripts/gvm" source /root/.gvm/scripts/gvm gvm install go1.4 –binary gvm use go1.4
安装OnionScan 程序
go get github.com/s-rah/onionscan go install github.com/s-rah/onionscan
执行命令:
onionscan
显示onionscan的使用说明,那么成功安装 OnionScan;如果出现其它问题,请重启终端输入:
gvm use go1.4
现在,为了保证后续扫描过程中不出现错误,我们需要对 TOR 的配置进行小小改动:
tor --hash-password PythonRocks
这时将会有一个输出,并且底部有以下类似字段:
16:3E73307B3E434914604C25C498FBE5F9B3A3AE2FB97DAF70616591AAF8
复制这条字段,并在终端输入:
nano -w /etc/tor/torrc
此时,将打开一个文档样例编辑器,在文档底部,把刚才复制的内容粘贴到HashedControlPassword后面,像下面这样:
ControlPort 9051
ControlListenAddress 127.0.0.1
HashedControlPassword 16:3E73307B3E434914604C25C498FBE5F9B3A3AE2FB97DAF70616591AAF8
保存文档并退出;
最后一步,抓取暗网地址(约7182个地址),让扫描脚本可以识别扫描目标:
wget https://raw.githubusercontent.com/automatingosint/osint_public/master/onionrunner/onion_master_list.txt
获取OnionScan扫描脚本:
https://raw.githubusercontent.com/automatingosint/osint_public/master/onionrunner/onionrunner.py
好吧,开始扫描吧:
python onionrunner.py
最终扫描结果将会以JSON文件格式存在于onionscan_results文件夹中,如果你没有耐心等待所有扫描结束,在这为你提供了我们的扫描结果- 8167个暗网网站扫描结果 。
分析扫描结果
可以使用jason viewer 对结果进行查看分析: