Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Como criar seu site na deepweb

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Matéria Como criar seu site na deepweb

    Um site na deep web, mais precisamente na rede onion, nada mais é do que um site convencional hospedado em um servidor conectado à rede via Tor. Seus domínios usam o pseudo-TLD ".onion", que só funcionam na rede do Tor.

    Você já deve ter percebido, se já navegou na deep web, que os domínios consistem em caracteres aleatórios. Isso ocorre porque domínios da rede onion nada mais são do que chaves públicas. Como não há servidores DNS centralizados como na internet "surface" (internet padrão), e os IPs dos servidores pode mudar a qualquer momento, não há nenhum órgão ou companhia responsável pelo registro de domínios, capaz de relacionar um domínio a um IP específico (até porque isso quebraria toda a segurança da rede).

    Assim, a "prova" de que você é dono de um domínio é a posse de sua chave privada, armazenada em um arquivo específico de configuração do Tor que veremos a seguir. Isto ocorre de forma similar ao funcionamento do bitcoin: a prova que você é o proprietário de uma carteira específica (cujo endereço é sua chave pública) é a posse de sua chave privada.

    Outro ponto interessante para se lembrar é que não só os visitantes dos serviços da darknet estão sob anonimato, mas também os próprios sites. Isso acontece porque a conexão entre um visitante e um site na internet "surface" ocorre da seguinte forma:
    usuário -> servidor

    Caso o site faça uso de algum serviço de proteção, como o Cloudflare, então os servidores DNS responsáveis por resolver o domínio referente ao site não respondem ao usuário com os verdadeiros endereços IPs dos servidores dos sites, mas sim com os IPs dos servidores do Cloudflare, que são os responsáveis por receber e repassar os dados do usuário, sem que o usuário saiba o verdadeiro IP do servidor:
    usuário -> Cloudflare -> servidor

    Ora, se o usuário conhece o verdadeiro IP de um servidor protegido pelo Cloudflare, de nada servirá a proteção oferecida pelo Cloudflare, já que um atacante pode mirar seus ataques DoS/DDoS contra o IP, que não é protegido pelo Cloudflare (já que este só é capaz de proteger nomes de domínios), não é?

    Na rede Tor, isto ocorre de forma semelhante. De fato, há um servidor, ou uma rede de servidores, que recebem as requisições dos visitantes em nome do servidor destinatário, repassando todos os dados a este, de forma que o cliente jamais saiba qual o verdadeiro endereço IP do website onion que está acessando. Isso porque as conexões entre um usuário e um site do Onion ocorre da seguinte forma:
    usuário -> rede Tor <- servidor

    Percebeu a flecha invertida entre a rede Tor e o servidor?

    Se você já trabalhou com RATs, sabe a diferença entre conexão direta e conexão reversa. E se você já mexeu com ferramentas de desktop remoto, já deve ter reparado que ferramentas que não dependem de um serviço as mantendo, como o VNC, requer que uma porta esteja aberta na máquina remota e, na maioria dos casos, requer que o roteador no qual a máquina está conectado esteja com determinada porta aberta e redirecionando o tráfego desta porta para a máquina desejada. Softwares como o Teamviewer não possuem essa necessidade, pois não há conexão direta entre o controlador e o controlado: ambos conectam-se a um servidor central, responsável por repassar comandos e capturas de tela de um para o outro.

    Isto quer dizer que caso você fosse hospedar, em sua máquina, um website na "surface" web, você precisaria abrir em sua máquina, firewall e roteador, uma porta (normalmente a porta 80 ou 443) por onde chegarão as conexões. No entanto, na rede Tor, nenhuma conexão é feita diretamente à sua máquina (até porque seu endereço IP permanece oculto). Tanto a sua máquina quanto a máquina do cliente se conectam à rede Tor e por lá se comunicam. A rede Tor age de forma semelhante ao servidor central do Teamviewer, como se fosse um "hub". Desta forma, você não precisa se preocupar em abrir portas em sua máquina ou em seu roteador, tornando o processo de servir à rede onion mais facilitado do que servir à surface (não custa lembrar que as grandes operadoras brasileiras só permitem a abertura de portas para clientes empresariais).

    Certo, então quais as ferramentas necessárias?

    Bem, isso depende do site que você está montando. Para a maioria dos serviços, um Apache, PHP e MySQL já resolvem. Se você pretende hospedar algo em ASP/ASP.Net, um Internet Information Services resolve. Se você pretende hospedar algo desenvolvido em Go, NodeJS, ou Python, normalmente esses projetos já trazem consigo informações sobre como executar a aplicação. Enfim, abra um servidor web de sua escolha em sua máquina, como se fosse hospedar para a surface. Evite, porém, pacotes como Wampserver, Xampp, Lamp, Mamp etc., pois esses pacotes por vezes trazem servidores desatualizados e vulneráveis. Minha sugestão é um bom e velho Ubuntu ou Debian com todas as ferramentas instaladas separadamente, na "unha". Ah, evite Windows, pois os próprios criadores do Tor não recomendam utilizar o Tor no Windows nem como usuário padrão. Obviamente, dependendo do caso, não será possível seguir meus conselhos...

    Se você de fato se preocupa com anonimidade, uma sugestão é manter seu servidor/aplicativo web em uma máquina virtual (você pode mantê-la usando VirtualBox).

    Ah, e obviamente, se você está hospedando o site em seu próprio computador, deve saber que se o seu computador estiver desligado ou desconectado, o site sairá do ar. Além disso, a velocidade de navegação é diretamente proporcional à velocidade de sua conexão. Por fim, desenvolvedores do Tor afirmam que, baseado na regra de que "todo software é vulnerável", quanto maior o tempo que seu serviço se mantiver em funcionamento, maiores as chances de seu verdadeiro IP ser desmascarado, quer por meio de possíveis falhas de segurança no Tor, quer por meio de testes externos (por exemplo, se há uma investigação em curso e uma suspeita de que você esteja em determinada região, agentes podem interromper o fornecimento de energia da região e, caso seu site saia do ar, são altas as chances de encontrarem você por lá).

    Uma sugestão contra isso são servidores "bullet proof". Entretanto, apesar de serem simples de encontrar com outros usuários, geralmente são instalações domésticas e não há garantias de que se mantenham no ar sempre, tampouco que haverá suporte quando necessário. Mas existem serviços de VPS (virtual private server, uma espécie de servidor dedicado hospedado em um software específico máquina virtual a nível de hardware, com softwares como KVM e OpenVZ). Dois deles, onde é possível encontrar servidores VPS completos Linux ou Windows, com acesso de desktop remoto e SSH, a partir de míseros 4 dólares por mês (já que os domínios onion não têm custo, é sua única despesa), podendo ser pago em bitcoin, são:

    Note que os VPS vêm como servidores vazios, sendo necessário instalar sua aplicação ou servidores web da mesma forma como faria em sua máquina. E como é necessário instalar e configurar o Tor nestes servidores, não é possível utilizar hospedagem compartilhada. Por fim, é interessante pagar em Bitcoin, para aumentar a anonimidade.

    Uma vez que estiver com o servidor em mãos, siga os passos padrões para a instalação do Tor. Se estiver no Windows, baixe o Tor no site torproject.org e se estiver em uma distribuição baseada no Debian/Ubuntu, utilize apt-get install tor.

    Vamos supor que você já enviou os arquivos do seu site para seu servidor, cujo IP é 1.1.1.1 e o servidor web encontra-se na porta HTTP padrão, isto é, 80.

    Com o Tor instalado, busque o arquivo "torrc". No Ubuntu, costuma estar em /etc/tor/torrc ou /etc/torrc. No Windows, costuma estar em <pasta do Tor>/Browser/TorBrowser/Data/Tor/torrc (caso não encontre, Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...). Abra o arquivo e localize a seguinte linha:

    Código:
    ############### This section is just for location-hidden services ###
    Agora é necessário criar um bloco abaixo desta linha composta por duas linhas, cada uma contendo uma diretriz:
    • HiddenServiceDir: esta é a pasta onde o Tor armazenará os arquivos de configuração do seu domínio. Atenção: esta NÃO é a pasta onde está a raiz do seu aplicativo web, e esta pasta JAMAIS deve estar aberta ao público, pois nela o Tor irá gerar 2 arquivos: hostname, contendo o seu novo domínio, e private_key, contendo a chave privada de seu domínio. Lembre-se: qualquer um que tiver sua chave privada poderá "sequestrar" seu domínio. Jamais a repasse! Você pode escolher qualquer pasta para armazenar essas informações (a pasta precisa estar vazia). No Linux, recomenda-se criar essas pastas em /opt/tor.
    • HiddenServicePort: esta linha informa ao daemon do Tor onde está, na rede interna, o servidor web responsável por armazenar seu serviço. Como hospedamos na própria máquina, colocamos "80 127.0.0.1:80" ("redirecione a porta 80 do meu domínio onion para o IP de loopback, porta 80"). Note que você também pode apontar este IP para uma máquina virtual (basta executar ifconfig ou ipconfig na mesma para obter seu IP interno) ou até mesmo outra máquina na rede.


    Assim, adicione essas linhas:

    Código:
        HiddenServiceDir /opt/tor/meusite
        HiddenServicePort 80 127.0.0.1:80
    Feche e salve o arquivo. Reinicie o Tor (no Ubuntu, rode service tor restart). Se você receber algum aviso pedindo determinada configuração de permissões (chmod), configure conforme o aviso informa.

    Abra a pasta que você configurou como "HiddenServiceDir". Abra o arquivo "hostname". Lá está seu novo domínio onion e seu site já está no ar

    Personalizando seu domínio
    É possível gerar outro domínio simplesmente apagando os arquivos hostname e private_key da HiddenServiceDir e reiniciando o Tor. Também é possível adicionar múltiplos domínios repetindo as 2 linhas inseridas no torrc com diferentes HiddenServiceDirs, sendo uma para cada domínio desejado.

    Mas se você de fato achou confuso seu domínio de letras aleatórias, saiba que é possível personalizar o seu endereço - ou ao menos parte dele.

    Isto ocorre de forma semelhante às carteiras bitcoin "vanity", como utilizada por algumas exchanges brasileiras (quem nunca reparou na carteira "1Foxbit"?). Existem softwares capazes de gerar milhares de endereços onion por segundo, até parar em algum que inicie com as letras desejadas. Logicamente, como é um ataque de força bruta, quanto mais caracteres você deseja, o tempo de geração aumenta exponencialmente. Enquanto 3 letras iniciais podem ser conseguidas em questão de segundos, 7 ou 8 letras pode levar meses ou anos. Escolher todo o domínio é matematicamente impossível (caso contrário, seria possível descobrir a chave privada de qualquer carteira bitcoin).

    Um de meus preferidos é o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... Compilá-lo é bem simples:

    Código:
    cd /path/to/Shallot
    chmod +x configure
    ./configure
    make
    chmod +x shallot
    Para gerar um domínio onion que comece com, digamos, "test", basta executar:

    Código:
    ./shallot ^test
    ----------------------------------------------------------------
    Found matching pattern after 99133 tries: testvztz3tfoiofv.onion
    ----------------------------------------------------------------
    -----BEGIN RSA PRIVATE KEY-----
    MIICXgIBAAKBgQC3R85m6NQaA1ZjaYqvz1hvFIjbL4RtKdJbG8hlC9xEBkvfr/BG
    8Z5vDiUzdbDt8mEBuZUDanx80uGJvbXTgmczX0UlkEOgGiZ8RKpnsbKaf/EJNrIw
    T7MSXQmWNcm22nDeViV7fwy+Usyal2RE5cdVCFsPtEbVZqCumlKkEgCyFwIDBAZ7
    AoGBAJSa2cGuru/XhzJAEAIwHZbgPDnum9T/srOYxUKW6afHZeOu5S4Cclwb+xb/
    pGOtzn71XZfCKMfiVdxB/f3XTcRrYB2VnBoNToTD7WfH6DksdDf4zunqiEjvxi9K
    R+tKhxmF7OedrRt8wIhUmFd1E2Q9nbTHI6icdB4kR4QkYKZzAkEA5M6samK7+495
    6SWpRXiePIs7sHKWuxdCrG7kW5RNJrv2CcGYwK46TPcaXBcRfM4eq9+9PGoKi0IO
    gSpOZ5vRYQJBAM0QAZYTZ6ApD014x372MX1ZNofuYL/+XF8ZPZV6Sh4+9MUBuNPb
    yL7BENDr6pX4Zm6OepvAphhCa4vGno2pHncCQQCQnfhUCHANU4bjtX4EOoI63WDq
    UwBOeIWxu0YvGt7Z25Dg9CNz/aX8UZIoj6VyKxLRbR9+K3mNrNgaopW+ZDKzAkEA
    ttgTK1ALe+3v+5H+Ez1SvFPREDFcHihrfD1Ipc5zicY9ixTArgdyZvk+Pi+AMBVV
    sL2HWvjRLEAgRclvKfkwWwJAFtM+BIGRM5me+fMALuBBEtKnbJ6maflsyucErEb0
    pIIBkovF5oyWO3lSBmtStJIANNkHOg8aXqjcgPKusDN7CQ==
    -----END RSA PRIVATE KEY-----
    Não se esqueça do circunflexo (^) ao início. Trata-se de uma expressão regular e o circunflexo representa o início da string. Se você não incluir este item, correrá o risco de ter sua sequência de caracteres localizada ao meio do domínio, e não ao início. Para mais informações sobre expressões regulares, Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....

    Note que o comando retorna o domínio (que você deve copiar e colar no arquivo "hostname") e a chave privada (que você deve copiar desde o início até o fim e colar no arquivo "private_key", reiniciando o Tor em seguida). Seguindo as instruções, seu novo domínio estará no ar!

    Notas de segurança
    Cuidado com falhas de segurança em sua aplicação, pois podem revelar dados de seu servidor.

    Para manter anonimidade, sempre use Tor e/ou VPN para acessar o seu servidor por SSH ou remote desktop.

    Note que não é possível saber o endereço IP do seu usuário. Como estamos redirecionando o tráfego do domínio onion para um serviço rodando no IP de loopback, todo o tráfego de rede sairá do daemon (serviço) do Tor rodando em sua máquina direto para seu servidor. Desta forma, sua aplicação pensará que o IP do visitante é loopback (127.0.0.1).

    Verifique se algum sistema de segurança de sua aplicação faz validação por IP. IMPORTANTE: Desative o mod_status (no Ubuntu, rode a2dismod status), que por padrão só é acessível pelo usuário do servidor (mas como o Tor faz o servidor pensar que o acesso vem de dentro do servidor, o mod_status fica visível ao público) e exibe detalhes que podem comprometer sua privacidade, como seu próprio endereço de IP.

    Configure sua aplicação ou servidor para bloquear acessos que não sejam pelo endereço onion.

    Lembre-se de manter camadas de privacidade: certifique-se de que, mesmo com seu servidor comprometido, você não seja alcançado. Isso remete à regra anterior de jamais acessar seu servidor (sua conta no host, o CPanel, o SSH, o VNC ou o remote desktop) sem estar ligado no Tor ou em alguma VPN segura. Caso não saiba configurar seu aplicativo para funcionar junto ao Tor, lembre-se que o Tor nada mais é do que um proxy socks5 que roda normalmente na porta 5190 (a porta correta está indicada na configuração do Tor Browser ou em seu arquivo torrc).

    E a mais importante de todas as regras...
    Não seja pego.
    Este material pode ser compartilhado, desde que os devidos créditos sejam dados.



    Notify-list · Twitter · Blog

    Nova lei: Invadir computadores protegidos é crime.
    Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)
    Similar Threads
X
Working...
X