Tor fornece anonimato e é resistente à identificação e rastreamento. Mas uma descoberta recente revelou uma nova maneira de entender o verdadeiro endereço IP de um serviço usando um cabeçalho HTTP conhecido como Etag.
Etag é um identificador exclusivo gerado pelo servidor quando um cliente solicita um recurso. Este último o utiliza para determinar se a versão do recurso está atualizada. Se o Etag não mudar, o cliente muda para a versão em cache, economizando tráfego e acelerando os downloads.
Mas o Etag também pode atuar como uma ferramenta de rastreamento. Pode conter informações do servidor, incluindo endereço IP, hora ou hash. Isso significa que, ao solicitar o mesmo recurso de diferentes serviços ocultos do Tor pertencentes ao mesmo servidor, o cliente pode receber o mesmo Etag, revelando o verdadeiro endereço IP do servidor.
O artigo do Medium mostrou como, usando as ferramentas curl e torsocks e comparando Etags, foi possível revelar o endereço IP do serviço Tor de propriedade do ransomware RagnarLocker . Todos os Etags eram iguais e continham um hash do endereço IP do servidor, o que permitia determinar seu endereço e localização reais.
De acordo com o estudo, o notório grupo de ransomware Ragnar Locker atacou a empresa de videogames Capcom, alegando que havia roubado um terabyte de dados. A Capcom não pagou o resgate e, portanto, 67 GB na posse de Ragnar Locker foram liberados na Dark Web .
O site de vazamento continha apenas um link, não os próprios arquivos. Em vez disso, um endereço Onion especial foi fornecido para armazenar arquivos com os dados vazados. Os arquivos foram divididos em várias partes e colocados em um endereço Onion começando com t2w….
Normalmente, ao pesquisar o endereço IP de origem de um site na Dark Web, o código-fonte do site, certificado SSL , cabeçalhos de resposta, etc. são verificados quanto a cadeias de caracteres exclusivas e informações sobre serviços de digitalização, como Shodan , Censys e outros. Os cabeçalhos de resposta foram verificados e analisados neste estudo que identificou um endereço IP de origem: 5.45.65.52.
Posteriormente, o endereço IP 5.45.65.52 foi mencionado em um relatório de inteligência do FBI . O relatório afirma que o endereço foi usado como um servidor para hospedar dados comprometidos da Capcom.
Esse método pode ser usado tanto por invasores para remover o anonimato de usuários e provedores de serviços ocultos do Tor quanto por agências de aplicação da lei na luta contra atividades ilegais.
No entanto, existem maneiras de protegê-lo, como desabilitar o Etag no servidor ou usar um proxy para alterar o Etag em trânsito.
