Tor offre un alto livello di anonimato e resistenza all’identificazione e al tracciamento. Tuttavia, è stato recentemente scoperto un nuovo metodo per ottenere il vero indirizzo IP di un servizio utilizzando un’informazione chiamata Etag presente nell’intestazione del protocollo HTTP.
L’Etag è un identificatore univoco generato dal server quando un client richiede una risorsa. Viene utilizzato per determinare se la versione della risorsa è aggiornata, consentendo al client di recuperare la versione dalla cache e risparmiare traffico e tempo di download.
Tuttavia, l’Etag può essere utilizzato anche come strumento di tracciamento. Può contenere informazioni sul server, come l’indirizzo IP, l’ora o un hash. Ciò significa che se si richiede la stessa risorsa da diversi servizi Tor nascosti appartenenti allo stesso server, il client può ricevere lo stesso Etag, rivelando così il vero indirizzo IP del server.
Un articolo su Medium ha dimostrato come sia stato possibile rivelare l’indirizzo IP del servizio Tor utilizzato dal ransomware RagnarLocker. Utilizzando strumenti come curl e torsocks per confrontare gli Etag, è stato possibile identificare l’indirizzo IP del server. Tutti gli Etag risultavano identici e contenevano un hash dell’indirizzo IP del server, che ha permesso di determinarne l’indirizzo e la posizione reale.
Secondo lo studio, il gruppo di ransomware RagnarLocker aveva attaccato la società di videogiochi Capcom, affermando di aver rubato un terabyte di dati. Non avendo pagato il riscatto, Capcom ha visto 67 GB di dati rilasciati nel Dark Web.
Il sito contenente i dati trapelati forniva solo un collegamento e non i file stessi. Invece, è stato fornito un indirizzo Onion speciale per l’archiviazione dei file. I file sono stati divisi in più parti e inseriti in un indirizzo Onion che iniziava con “t2w…”.
Di solito, nella ricerca dell’indirizzo IP di origine di un sito nel Dark Web, vengono controllati il codice sorgente del sito, il certificato SSL, le intestazioni di risposta, ecc., al fine di ottenere informazioni univoche e servirsi di strumenti di scansione come Shodan, Censys e altri. Nel caso in questione, le intestazioni di risposta sono state controllate e analizzate nello studio, il quale ha identificato l’indirizzo IP di origine: 5.45.65.52.
Successivamente, l’indirizzo IP 5.45.65.52 è stato menzionato in un rapporto dell’intelligence dell’FBI, che affermava che tale indirizzo era stato utilizzato come server per ospitare i dati compromessi di Capcom.
Questo metodo può essere utilizzato sia dagli aggressori per deanonimizzare utenti e fornitori di servizi nascosti Tor, sia dalle forze dell’ordine nella lotta contro le attività illegali.
Tuttavia, ci sono modi per proteggersi da questa vulnerabilità, come disabilitare l’Etag sul server
