SSL 证书暴露Tor 站点的公共 IP 地址

聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

安全研究员找到一种轻易是被配置错误的暗网服务器的公共IP地址。虽然有些人可能认为他是通过攻击Tor或其它类似网络实现目的的,但实际上他暴露的是不懂如何正确配置某隐藏服务的后果。

在Tor网络设置暗网网站的一个主要目的是使站点所有人难以被识别。为了正确地将暗网站点匿名化,管理员必须正确配置web服务器,使其仅监听本地主机(127.0.0.1)而非被公开暴露在互联网上的IP地址。

RiskIQ公司的威胁研究员Yonathan Klijnsma发现有很多使用SSL证书的Tor站点,加上配置不当,导致站点易遭访问。RiskIQ爬虫后将所发现的任何SSL证书和托管的IP地址关联起来,因此Klijnsma很容易地通过相对应的公共IP地址映射了配置不当的Tor服务。

Klijnsma表示,“这些人让本地Apache或Nginx服务器在任何(*或0.0.0.0) IP地址上监听,这意味着不仅是Tor连接而且外部连接也会起作用。如果没有使用防火墙,那么这种情况更是如此。这些服务器应该仅被配置为监听127.0.0.1。”

当问到因服务器配置不当而导致公共IP地址遭暴露的情况是否常见时,Klijnsma表示非常常见,“这种情况还在继续。我不是在开玩笑。虽然一些站点并不会监听http/https,因此我不知道这些站点是什么,但他们具有洋葱地址而且可从明网和暗网上访问。”

SSL 证书识别出暗网站点的公共 IP 地址

当Tor服务的运营人员将SSL证书添加至站点时,就将.onion域名和证书关联在一起。

如果Tor站点配置不当,那么它就会监听一个公共的IP地址,而这个包含.onion域名的证书也将用于该IP地址。RiskIQ公司爬取互联网并归类所有被站点所用的SSL证书后发现,它将这个.onion证书和公共的IP地址关联在一起。这就使得Klijnsma通过RiskIQ数据库轻易查找到.onion证书并看到了所映射的公共IP地址。

Tor 用户认为 Klijnsma 正在攻击 Tor

某些用户认为Klijnsma的研究实际上是在攻击Tor,但Klijnsma表示他做的正好相反。他并没有攻击Tor,而是试图暴露Tor隐藏服务配置不当后引发的内在问题。

Klijnsma表示要防范此类攻击特别简单,“应该仅监听127.0.0.1”。

https://www.bleepingcomputer.com/news/security/public-ip-addresses-of-tor-sites-exposed-via-ssl-certificates/

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180905B0OPEY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券