La certificación SSL(Secure Socket Layer), permite que cuando entremos a algún sitio web nuestros datos sean respaldados, y es que, este protocolo SSL cifra y encripta todos los datos que enviemos del servidor a la web y viceversa.
Este es uno de los protocolos que mayor seguridad le brindan a los usuarios en la web, sin embargo, una nueva información revela que por medio de este protocolo un investigador pudo encontrar vulnerabilidades en servidores de sitios web ocultos mal configurados.
Tor —The Onion Router-– también conocida como red de anonimato, es uno de estos sitios, cuya finalidad es la de impedir que el propietario del sitio web sea identificado.
No obstante, muchos podrían llevarse una terrible sorpresa si el servidor se encuentra mal configurado.
Ya que una investigación arrojó si el servidor se encuentra mal configurado se puede acceder a las IP públicas de los servidores web oscuros.
Esto pone en alerta a aquellos que prestan estos servicios, y cuidar cada detalle, ya que el investigador está exponiendo las trampas de no saber cómo configurar correctamente un servicio oculto.
Yonathan Klijnsma, quién es líder de RiskIQ, pudo identificar las IP públicas, ya que su investigación dio como resultado que muchos sitios web utilizan certificaciones SSL y también configuran incorrectamente un servicio.
La mayoría de los sitios web anónimos deben de configurar el servidor para que solo escuche por localhost (127.0.0.1).
Según menciona Klijnsma, RiskIQ rastrea la web y asocia cualquier certificado SSL que consiga a una dirección IP, por lo que este descubrimiento fue un poco sencillo.
For those who are telling me to stop attacking #Tor, I'm not attacking Tor.
I'm merely trying to get across the concept that there's a difference between setting up the listening host for your server as 0.0.0.0 or * vs 127.0.0.1. https://t.co/zhY27p8Wrw
— Yonathan Klijnsma (@ydklijnsma) August 4, 2018
Además de ello, Klijnsma añadió que Tor tiene su servidor escuchando a cualquier puerto lo que hace más fácil que conexiones externas encuentren la ubicación.
“La forma en que estos muchachos están estropeando es que tienen su servidor local Apache o Nginx escuchando en cualquier dirección IP (* o 0.0.0.0), lo que significa que las conexiones Tor funcionarán obviamente, pero también las conexiones externas lo harán”.
Klijnsma mostró por medio de Twitter lo vulnerable que pueden ser estos sitios web. Y menciona que este error de no configurar los servidores para que escuchen solo localhost es muy común rompiendo su principal funcionalidad que es el estar ocultos.
“Continuamente. Ni siquiera estoy bromeando. Algunos no escuchan en http / https, así que no sé qué son, pero tienen direcciones de cebolla y viven en una web clara y oscura. Estos servidores deben configurarse para que solo escuchen en 127.0.0.1”.
Para algunas personas la investigación de Klijnsma, representa un ataque a Tor, sin embargo, para el investigador esta es una manera de mostrarle a los administradores este fallo en la configuración del servidor al no utilizar una configuración de localhost.
For those who are telling me to stop attacking #Tor, I'm not attacking Tor.
I'm merely trying to get across the concept that there's a difference between setting up the listening host for your server as 0.0.0.0 or * vs 127.0.0.1. https://t.co/zhY27p8Wrw
— Yonathan Klijnsma (@ydklijnsma) August 4, 2018
Cuando los operadores de servicios ocultos Tor, agregan un certificado SSL a su sitio, asocian el dominio .onion con el certificado.
Si el sitio Tor, está configurado incorrectamente y escuche en una dirección IP pública, este mismo certificado que contiene el dominio .onion también se utilizará para esa dirección IP.