OnionScan prueba los sitios de la 'web oscura' para ver si realmente son anónimos
La solución para mantener algo secreto en línea es configurar un servicio oculto de Tor, a menudo llamado la web oscura. Es probable la mayor parte de lo que sucede en la web oscura es ilegal, espantoso o ambos, pero no todo el tiempo. Si se pregunta sobre la seguridad de un servicio oculto, la investigadora de seguridad Sarah Jamie Lewis está a punto de lanzar una herramienta llamada OnionScan que le permite escanearlo automáticamente en busca de vulnerabilidades y errores comunes que pueden anonimizar al propietario o usuarios.
Cuando Lewis estaba jugando por primera vez con la idea de crear una herramienta para verificar el anonimato de los servicios ocultos, comenzó mirando los mercados de la web oscura donde la gente compra y vende drogas, identificaciones falsas y otro contenido ilegal. La idea era que estos sitios tienen un gran interés en mantener una seguridad de primer nivel. Sin embargo, encontró muchos de los mismos problemas en estos sitios que prevalecían en la web oscura. Para comprender los problemas, primero debe saber un poco sobre cómo funciona la web oscura.
La web oscura es accesible solo desde dentro de la red Tor cifrada. Tor era originalmente solo una herramienta de anonimización que lo enrutaba a diferentes partes de la Internet abierta. Cuando te conectas a Tor, tus paquetes rebotan en varios relés encriptados (también llamados nodos). Dado que cada relé solo conoce la dirección IP del último salto y el siguiente, después de algunas capas, su dirección IP real y su ubicación se oscurecen.
Si bien un servicio oculto dentro de Tor no es vulnerable como lo es un sitio web normal, los operadores suelen cometer errores. Lewis cita frecuentes errores de configuración en los servidores que dejan accesibles importantes páginas de administrador. Esto puede revelar las herramientas utilizadas para crear un sitio, así como otros servicios administrados por la misma parte. También es común ver imágenes a las que no se les han quitado los datos EXIF, que pueden incluir el dispositivo con el que se tomaron e incluso la ubicación en la que se tomaron. Eso facilitaría bastante a alguien la identificación del propietario de un servicio tan oculto y podría generar problemas para los usuarios.
OnionScan, que Lewis lanzará este fin de semana, verifica un servicio oculto para todos estos problemas potenciales para que puedan resolverse. Lewis nota que no es exactamente una herramienta sutil: OnionScan hará ping a un servicio repetidamente para descargar varias imágenes y archivos para probar.
No se trata de proteger los oscuros mercados de la web oscura, según Lewis. La privacidad es importante incluso si algunas personas la usan para hacer cosas ilegales. Hay muchos sitios privados y blogs políticos alojados en la web oscura porque los propietarios necesitan esa privacidad y seguridad.