Loading
0

你访问的暗网安全吗?这个软件或许可以知道

darkriversystem105.jpg

近年来,暗网的安全性越来越受到考验和质疑。近期,加拿大匿名与隐私研究者Sarah Jamie Lewis发布了专门检测暗网安全性的工具OnionScan

1. 暗网安全事件

2013年,“丝绸之路”创始人RossUlbricht被捕,以非法交易违禁品被判终身监禁;

2014年底,澳洲警方臥底暗网,接管恋童网站,逮捕英国最邪恶恋童犯;

2014年10月,巴西警方破解了一个儿童色情暗网,逮捕了网站管理员;

2015年6月,英国Tor服务开发者 Thomas White公布了两个暗网真实IP地址;

2015年8月,麻省理工学院教授发现了一种通过追踪数据包跟踪Tor网络IP地址的方法,准确率高达88%;

2015年8月,暗网最大交易市场Agora因害怕安全问题临时关闭;

2016年3月,欧洲多国执法部门逮捕了五家暗网的嫌疑运营商和管理员;

2016年4月,匿名隐私研究者Sarah Jamie Lewis针对8000多个在线暗网进行安全分析后发现,这些暗网网站近一半配置有Apache服务,在这一半的网站中,有12%存在配置信息泄露,7%存在EXIF信息泄露,其它部分暗网安装有FTP、SSH等应用,大多数暗网本身具备的安全性和隐匿性不容乐观。

image1.png

 :某暗网配置的APACHE服务信息泄露


典型例子:暗网“丝绸之路”是如何被FBI发现的–错误配置的验证码

前FBI特工 Christopher Tarbell 描述了他和同事如何发现丝绸之路服务器IP地址:他们在丝绸之路登录页面的输入框输入各种字符串,发现网站返回的数据中的一个IP地址没有匹配任何已知的Tor节点。他们在浏览器上直接输入这个IP地址,结果弹出了丝绸之路的CAPTCHA提示,显示这个IP地址就是丝绸之路服务器的真实地址。

对执法部门而言,暗网相关信息一旦被曝露,这就是办理非法交易案件的蛛丝马迹或进一步入侵取证的关键;对暗网管理者和暗网使用者而言,个人信息的隐匿性和安全性将面临威胁。

2. 使用OnionScan

Sarah Jamie Lewis发布了暗网安全性扫描工具OnionScan,该工具可以扫描暗网网站存在的某些安全问题,如:配置信息泄露、上传文件元数据信息、真实IP信息泄露、上传图片GPS信息等,在最近更新的版本中,OnionScan还支持SSH、FTP、SMTP、XMPP、VNC、TLS、IRC和Bitcoin的识别扫描。Sarah Jamie Lewis 希望OnionScan是暗网安全性的一种促进或推动。

OnionScan安装前提

1. 一台全天候服务器,当然最好是Linux服务器;

2. 在服务器上安装TOR;

3. 下载OnionScan程序

4. 必要的Python数据处理脚本。

安装条件准备

screen

apt-get update

apt-get install tor git bison libexif-dev

apt-get install python-pip

pip install stem

安装Go语言环境(OnionScan是Go语言编写的)

bash <<(curl -s -S -L https://raw.githubusercontent.com/moovweb/gvm/master/binscripts/gvm-installer)

[[ -s "$HOME/.gvm/scripts/gvm" ]]&& source "$HOME/.gvm/scripts/gvm"

source /root/.gvm/scripts/gvm

gvm install go1.4 –binary

gvm use go1.4

安装OnionScan 程序

go get github.com/s-rah/onionscan

go install github.com/s-rah/onionscan

执行命令:

onionscan

显示onionscan的使用说明,那么成功安装 OnionScan;如果出现其它问题,请重启终端输入:

gvm use go1.4

现在,为了保证后续扫描过程中不出现错误,我们需要对TOR的配置进行小小改动:

tor --hash-password PythonRocks

这时将会有一个输出,并且底部有以下类似字段:

16:3E73307B3E434914604C25C498FBE5F9B3A3AE2FB97DAF70616591AAF8

复制这条字段,并在终端输入:

nano -w /etc/tor/torrc

此时,将打开一个文档样例编辑器,在文档底部,把刚才复制的内容粘贴到HashedControlPassword后面,像下面这样:

ControlPort 9051 

ControlListenAddress 127.0.0.1

HashedControlPassword 16:3E73307B3E434914604C25C498FBE5F9B3A3AE2FB97DAF70616591AAF8

保存文档并退出;

最后一步,抓取暗网地址(约7182个地址),让扫描脚本可以识别扫描目标:

wget https://raw.githubusercontent.com/automatingosint/osint_public/master/onionrunner/onion_master_list.txt

获取OnionScan扫描脚本:

https://raw.githubusercontent.com/automatingosint/osint_public/master/onionrunner/onionrunner.py

好吧,开始扫描吧:

python onionrunner.py

2016-08-02_100011.jpg

最终扫描结果将会以JSON文件格式存在于onionscan_results文件夹中,如果你没有耐心等待所有扫描结束,在这为你提供了我们的扫描结果-8167个暗网网站扫描结果

分析扫描结果

可以使用jason viewer 对结果进行查看分析:

jason viewer.jpg

在下期,将会对扫描结果进行图形化分析。

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。