Wasabi是一个开源、非托管的、专注于隐私的比特币钱包,适用于Windows、Linux和Mac。它包括内置的Tor、CoinJoin和硬币控制功能。
Tor是一个用于匿名服务的隐私网络协议,几个月来一直受到分布式拒绝服务(DDoS)的攻击,Wasabi钱包近期为其用户创建了一个可以“在Tor攻击受到攻击的情况下恢复服务”的解决方案。
比特币生态系统中的许多项目在其基础设施中使用Tor为客户提供匿名性。因此,由于这种持续的攻击使得利用该平台变得困难,这些项目中的许多项目都在努力可靠地交付他们的产品,Wasabi也是与这个问题作斗争的人之一。
也就是说,这不仅仅是Wasabi Wallet面临的问题。比特币领域和其他领域的许多其他不朽的项目都受到Tor攻击的影响——Bisq,闪电网络,甚至比特币全节点在某种程度上都很脆弱。这些项目都非常依赖Tor,当Tor被攻击瘫痪后,这些项目的都没法使用了。
以前,Wasabi连接到Tor的后端洋葱服务器。但现在,Wasabi正在使用出口节点——引导流量的特定设备——将流量路由到coinjoin协调器的明网(cleannet)域。
这样做时,所有流量仍然是匿名的,以保护使用该服务的客户端的IP地址。对这个新程序的测试显示,增加了联合轮次的可靠性和频率,同时还防止了输入被协调器阻止,当输入的签名失败时就会发生这种情况。
Wasabi贡献者兼zkSNACKs的首席执行官Max Hillebrand说:“Tor是一个对比特币和互联网隐私来说都至关重要的项目,全球有数百万人每天都需要它。”
然而,这个解决方案并没有解决Tor受到攻击的问题,它只是提供了一个必要的短期选项来绕过这个问题。因此,Wasabi也在筹集资金来支持Tor网络。
当今世界,全球的目光一直聚焦于俄乌战争、通货膨胀、一些市场动荡,欧洲和美国公众以及世界各地的人们比以往任何时候都更需要通过简单地运行Tor中继来提供匿名。
可悲的是,Tor项目的资金严重不足,只有少数开发人员在维护现在大家都在使用的基于C的Tor客户端。另外还有一个小团队在积极地研究用Rust编写的新客户端,该客户端大幅提高了性能并修复了一些关键的错误。然而,一直没有足够的资金来建立和维护洋葱服务支持,而且建立针对拒绝服务攻击的防护系统也在需要争取有意义的长期资金支持。
Hillebrand说:“Wasabi Wallet很高兴有Tor这样的工具存在,并因此将通过推广和帮助筹款来尽可能支持Tor项目;Tor的可靠性直接影响Wasabi Wallet用户的用户体验,因此我们非常关心这个问题。”
此外,Wasabi添加了一个“隐私进度条”,允许用户通过跟踪桌面应用程序中可见的不同指标来查看他们的coinjoin实现的隐私级别。
含有恶意Tor浏览器下载链接的YouTube视频截图(卡巴斯基) 网络安全研究人员卡巴斯基公司周二表示,一个Tor浏览器的修改版本至少从3月开始收集中国用户的敏感数据,也许早在1月就开始了,其中包括浏览历史、表单数据、计算机名称和位置、用户名和网络适配器的MAC地址。
在一个名为“工具大师i”的中文YouTube频道发布的视频下方简介里,有一个指向恶意版本的Tor浏览器安装程序的链接(蓝奏云链接)。卡巴斯基研究人员Leonid Bezvershenko和Georgy Kucherin在周二公布的研究结果中说,该频道有超过18万名订阅者,该视频已被观看了64000多次。
卡巴斯基称,这个名为“工具大师i”的YouTube帐户于2022年1月上传了该视频,卡巴斯基研究人员在注意到恶意Tor浏览器安装程序下载集群后,于3月开始在他们的数据中看到受害者。
卡巴斯基对“洋葱毒药”的分析 卡巴斯基研究人员将此活动称为“洋葱毒药”(OnionPoison),指的是通过修改“洋葱路由”(The Onion Router)进行投毒。“洋葱路由”是最初由美国海军研究实验室开发的匿名路由,合法的Tor浏览器使用了“洋葱路由”的技术。
研究人员表示,恶意安装程序加载了一个带后门版本的Tor浏览器,其中包括一个间谍软件库,旨在收集个人数据并将其发送到攻击者控制的服务器,还可以让攻击者有能力在受害者的机器上执行shell命令。
非营利组织Tor项目的执行董事Isabela Fernandes告诉CyberScoop,该组织在周二部署了一个补丁。
“基本上,这个‘中毒’的Tor浏览器会修改更新URL,所以它不能正常更新。”她说。“我们所做的是添加一个重定向,以便我们响应修改后的URL,这样人们就会更新。现在他们的URL是一个有效的更新URL。”
研究人员表示,目前尚不清楚该活动的幕后策划者,但它显然针对的是中国用户。他们说,命令和控制服务器检查IP地址,只会向中国的IP发送恶意软件。此外,视频描述中包括一个有效的Tor浏览器链接,但由于Tor网站在中国被封锁,用户更有可能点击下方的蓝奏云链接,将他们定向到托管在第三方“蓝奏云”共享网站上的可下载文件。
研究人员表示,有趣的是,修改后的浏览器不会自动收集用户密码、cookie或钱包,而是专注于浏览历史记录、社交网络帐户ID和Wi-Fi网络。
据卡巴斯基分析,“洋葱毒药”定制的Tor浏览器可以保存浏览历史、启用网页缓存、存储登录凭据以及从访问过的网站收集额外的会话数据。此外,收集到的数据会发送回攻击者。其中包括安装的软件、在Tor浏览器、Chrome和Edge中访问的网站、微信和QQ的用户账号ID,以及受害者已经或曾经连接到的Wi-Fi网络的SSID和MAC地址。
研究人员写道:“攻击者可以搜索泄露的浏览器历史记录,寻找非法活动的痕迹,通过社交网络联系受害者,并威胁要向政府举报。”
历史上Tor浏览器曾出现多个恶意篡改版本 网络犯罪分子和民族国家的黑客过去曾多次部署过修改过的Tor浏览器版本。2019年,斯洛伐克网络安全公司ESET的研究人员报告了一个旨在从讲俄语的人那里窃取加密货币的Tor版本。在另一个例子中,大约10年前,与俄罗斯有关的黑客使用Tor出口节点部署了名为OnionDuke的恶意软件。
联邦调查局(FBI)也曾经被指控与承包商和潜在的大学生合作,修改Tor软件或利用0day,揭露Tor用户身份并调查涉及暗网恋童癖网站(联邦调查局当时含糊地否认了这一说法)。
研究人员表示,避免“洋葱毒药”(OnionPoison)的最佳方法是从官方网站下载Tor浏览器,或者,如果不能这样做,必须从第三方网站下载,则需要检查从第三方来源下载的安装程序的数字签名来验证其真实性。合法的安装程序应具有有效的签名,其证书中指定的公司名称应与软件开发人员的名称相匹配。
使用“洋葱毒药”投毒的Youtube频道“工具大师i” 卡巴斯基称,“洋葱毒药”(OnionPoison)案例中,恶意Tor安装程序的链接被发布在一个流行的中文YouTube频道上,该频道致力于互联网上的匿名性。该频道拥有超过180,000名订阅者,而带有恶意链接的视频的观看次数超过64,000次。
从卡巴斯基的视频截图可以看出,该Youtube恶意频道名为“工具大师i”,地址为:
https://www.youtube.com/c/%E5%B7%A5%E5%85%B7%E5%A4%A7%E5%B8%88i
该视频(https://www.youtube.com/watch?v=qob8gqQ2_3k)名称为“2022年最新暗网进入方法!什么是暗网暗网有什么如何使用科学上网工具访问暗网暗网怎么进2022丨暗网网址丨dark web 2022丨By工具大师i”,已经因违反YouTube规定并YouTube移除(This video has been removed for violating YouTube’s Community Guidelines),已经无法观看,但是从第三方网站NoxInfluencer(https://cn.noxinfluencer.com/youtube/video-analytics/qob8gqQ2_3k)的记录中可以看到,该视频发布时间为2022年1月9日,观看量为6.06万,投放恶意软件的蓝奏云地址为:https://wwi.lanzouo.com/i6iLaym6fsf。
此外,该YouTube频道并不是第一次修改Tor浏览器,“暗网下/AWX”发现了该频道的另一个视频(https://www.youtube.com/watch?v=0nwDOd_xl3Y),名称为“2020年最新 暗网登录 方法教程,哪种方式最快最好用?配合Tor洋葱浏览器,SSR,Vray科学上网!让你网络隐私至极!”,已经于北京时间2022年10月5日中午被设置为私有视频(This video is private),目前同样无法观看,但是从第三方网站(https://cn.noxinfluencer.com/youtube/video-analytics/0nwDOd_xl3Y)的记录中可以看到,该视频发布时间为2020年11月28日,观看量为7.82万,投放恶意软件的蓝奏云地址为:https://www.lanzoui.com/i5cDbix01if。
据统计,YouTube频道“工具大师i”创建于2018年11月18日,发布地点为香港,拥有超过18万粉丝,总计发布视频166个,总观看量超过1100万。
但是,在卡巴斯基曝光之后,目前访问该频道,发现视频仅剩79个,将近90个视频被设置为“私有”,而隐去的视频基本都是其发布的多个VPN工具、加速工具、翻墙工具、挖矿工具等等。若工具为exe文件基本上每个视频均提供了蓝奏云的下载地址链接,如果是安卓应用,均提供了apk的下载地址,如果是苹果应用,提供的是testflight.apple.com的下载地址。根据其“此地无银三百两”的做法判断,但凡是该频道提供的工具,均带有后门,请警惕该频道的分享。
卡巴斯基对恶意Tor浏览器的分析 恶意的Tor浏览器文件名为:torbrowser-install-win64-11.0.3_zh-CN.exe,安装程序的用户界面与原始程序用户界面相同,但是,恶意安装程序没有数字签名。卡巴斯基称,根据其测试,“洋葱毒药”针对的受害者必须位于中国,因为C2服务器会检查受害者机器的外网IP地址是否来自中国。
攻击者降低了恶意的Tor浏览器的私密性,通过修改存储在 browser\omni.ja 存档中的 \defaults\preferences\000-tor-browser.js 配置文件,他们将Tor浏览器配置为:
存储浏览历史;
启用磁盘上的页面缓存;
启用自动表单填写和登录数据的记忆;
为网站存储额外的会话数据。
恶意的Tor浏览器启动后,会伪随机地选择以下C2服务器URL之一并向其发出POST请求:
https://torbrowser.io/metrics/geoip
https://tor-browser.io/metrics/geoip
其针对中国用户加载的恶意Dll文件会检索以下系统信息:
操作系统磁盘卷的GUID;
机器GUID;
计算机名称;
计算机语言环境;
当前用户名;
网络适配器的MAC地址。
且会请求收集以下附加信息:
已安装的软件;
Arti是一个以高安全性语言Rust重新开发的Tor,官方认为这个版本代码更具模块化设计,也对其安全性更有信心。
Tor官方近日发布一个用Rust重新开发的Tor版本Arti 1.0.0,目前这个版本已经可用于生产环境。Arti与C客户端Tor具有类似的隐私度、可用性和稳定性,而嵌入器(Embedder)API也接近完全稳定阶段。
用户现在已经可使用Arti代理连接Tor网络,匿名化网络连接,官方提醒,不建议用户使用传统网络浏览器指向Arti,因为传统浏览器会泄漏许多隐私和可识别信息,最好使用Tor浏览器。
为什么是Arti?以及如何实现? 从2020年Tor官方就已经开始着手以Rust语言开发Tor协议,而之所以要用Rust语言重写Tor,官方解释,在2001年的时候,C语言是一个合理的选择,但他们逐渐发现C语言的限制,比如C语言鼓励对许多编程问题采用不必要的低级方法,解决程序开发问题,而且要安全地使用C语言,需要付出许多精力,也由于这些限制,C语言的开发速度总是比期望更慢。
还有另一个重要原因,C语言发展这么多年,早已成为一个不那么模块化的设计,几乎所有东西都连结在一起,而这使得代码分析和进行安全性改进都变得困难。而转向以Rust开发,是解决这些问题的好方法,在2017年的时候,官方就曾尝试在C Tor代码库中添加Rust,希望有一天能逐步替换代码。
Rust于2010年在Mozilla开始,现在由Rust基金会维护,经过多年的发展,Rust已经成为一种独立维护的编程语言,具有很好的人体工程学和性能,以及强大的安全属性。
因为C语言代码没有足够的模块化,不容易重写,但要获得Rust代码带来的好处,需要一次重写整个模组,而不是一次只重写一个函数。但那些被隔离的、足以替换的代码部分大多是微不足道的,真正需要更换的部分又全部交织在一起,因此要在不破坏代码稳定性的情况下,要逐步替换成Rust开发,官方认为是不可能的工作。
在2020年,Tor共同创办人Nick Mathewson开始着手Rust Tor版本开发,随后更名Arti作为Tor官方版本,并获得Zcash社区补助金(Zcash Community Grants)的资助,使得Tor公司得以雇用更多的开发者加入开发,历经数个测试版本,现在终于达到1.0.0的里程碑。
那么,Rust 怎么样? 从开发语言改变来看,官方提到,在每个可比较的开发阶段,以Rust语言开发碰到的Bug,都比C语言开发阶段少得多,会遇到的错误几乎都是语义/算法上的错误,也就是真正的编程问题,而不是使用Rust语言及其设施上的错误。
Rust以其困难的语言和挑剔的编译器而闻名,而且编译器的挑剔性代表着非常严谨,官方提到,一般而言,只要Rust代码能够编译并通过测试,那么在相同条件下,它比C代码更有可能是正确的。虽然是第二次建构Tor,类似功能开发速度本来就会比较快,但官方强调,速度的提高有一部分是由于Rust的语义更具表现力和更可用的库生态系统,但很大一部分是由于Rust的安全性带来的信心。
不过Rust还是有一些缺点,虽然Rust可移植性比C语言更好,但还是需要处理操作系统之间的差异,另外,因为Rust的标准库并不会默认安装在目标系统上,也因此增加可执行文件的大小,虽然通过使用平台原生TLS开发改进支持,已经足以消除这个问题,但是仍有一些工作要进行。
比起C Tor,官方发现Arti更吸引贡献者,获得的代码贡献量更大且摩擦更小,由于Rust强大的类型系统、优秀的API文档支持和安全性,极大程度帮助新的贡献者入手。这些特性可以帮助他们找到要修改的地方,也可以让他们在修改不熟悉的代码时更有信心。
如何攻击企业基础设施已成为暗网论坛上最受欢迎的话题之一,占暗网论坛技术讨论帖子的12%。这意味着网络犯罪分子渴望获得对企业基础设施的控制权。
卡巴斯基安全服务分析主管尤利娅诺维科娃(Yuliya Novikova)表示,他们的动机纯粹是利益驱动的。
她说:“对于网络犯罪分子来说,最终目的是从获得的初始访问权限中获得尽可能多的利润。他们出售任何东西,从Web面板的有效凭据,用户及管理员的cookie认证信息,到远程命令执行漏洞的详细信息以及对已上传的Webshell后门的访问。”
她说,这些暗网里的恶意犯罪分子通常通过三种方式获得访问权限。
第一、利用漏洞,例如未修补的软件漏洞、错误配置的服务、0day攻击和Web应用程序中的已知漏洞。
第二,网络钓鱼,这是比较常见的,针对企业工作人员,通常是客服。
第三,通过使用数据窃取程序获取直接的访问凭证,如RDP。
诺维科娃解释说:“恶意软件感染用户设备并截取数据,这些数据被收集在日志中,,并在暗网论坛上公布,它们将被出售。恶意用户正在寻找几乎任何类型的数据来窃取。这包括支付和个人数据、域凭据、第三方服务凭据、社交网络帐户和授权令牌。”
她说,在分析了暗网上近200个提供对企业数据的初始访问权限的帖子后,卡巴斯基发现75%的帖子通过远程桌面协议((RDP)提供初始访问权限,每个帖子都具有不同的权限,从域管理员、本地管理员和普通用户权限。
诺维科娃说:“随着远程工作现在对许多公司来说已经成为现实,公司已经引入了RDP以使同一公司网络上的计算机能够连接在一起并远程访问,这一发现是一个值得关注的问题。”
卡巴斯基的研究表明,RDP攻击日益受到关注,突出了该安全公司认为全球范围内此类攻击的高命中率。
黑市对企业数据的需求很大。卡巴斯基的研究表明,对公司数据的大量初始访问基本是通过RDP提供的,这凸显了本地企业需要获得整个暗网的可见性,以丰富其威胁情报,特别是在采用远程或混合工作模式的地区。
诺维科娃说:“而且由于RDP访问的有效凭据是最常见的暗网产品,因此企业必须开始遵循最佳网络安全实践。”
她说,这包括使用可靠的密码,使所有远程管理界面只能通过VPN访问,以及对所有管理界面使用双重身份验证。
Tox是一个免费的点对点即时消息传递和视频电话网络协议,可实现加密数据交换。该项目的目标是创建一个安全且易于使用的通信平台。该协议的参考实现根据GNU GPL-3.0 或更高版本的条款作为免费和开源软件发布。Tox与Tor的结合,可以实现在暗网下完全匿名点对点通信。
Tox始于爱德华·斯诺登 (Edward Snowden) 泄露美国国家安全局 (NSA) 间谍活动之后。这个想法是创建一个无需使用中央服务器即可运行的即时消息应用程序。该系统将是分布式的、点对点的和端到端加密的,无法禁用任何加密功能;同时,没有密码学或分布式系统实践知识的外行也可以轻松使用该应用程序。2013 年夏天,来自世界各地的一小群开发人员组成并开始着手开发一个实现Tox协议的库。该库提供所有消息传递和加密设施,并且与任何用户界面完全解耦;要让最终用户使用Tox,他们需要一个Tox客户端。快进几年到今天,存在多个独立的Tox客户端项目,并且最初的Tox核心库实现不断改进。Tox(核心库和客户端)拥有数千名用户、数百名贡献者,并且该项目没有放缓的迹象。
Tox是一个FOSS(免费和开源)项目。所有的Tox代码都是开源的,所有的开发都是公开的。Tox是由志愿者开发人员开发的,他们将空闲时间花在它上面,相信该项目的想法。Tox不属于任何公司或任何其他合法组织。
Tox对任何人来说都很容易使用。选择任何一款客户端,无需注册,只需打开它并开始添加朋友或给您的朋友您的Tox ID,以便他们添加您。您可以在设置选项卡中找到您的Tox ID。
2013年6月23日,一个名为irungentoo的用户推送了对GitHub的初始提交:https://github.com/irungentoo/toxcore,这也是Tox的核心代码。
Tox协议特点 流量加密
用户被分配了一个公钥和私钥,他们在一个完全分布式的点对点网络中直接相互连接。用户可以向朋友发送消息、与朋友或陌生人加入聊天室、语音/视频聊天以及相互发送文件。Tox上的所有流量都使用NaCl库进行端到端加密,该库提供经过身份验证的加密和完美的前向保密。
向好友透露IP地址
Tox在与好友交流时不会隐藏您的IP 地址,因为点对点网络的全部意义在于将您直接连接到您的朋友。确实存在一种解决方法,即通过Tor建立Tox连接的隧道。但是,非好友用户无法仅使用Tox ID轻松发现您的 IP 地址;只有当您将他们添加到您的联系人列表时,您才会向某人透露您的IP地址。
附加消息功能
Tox客户端旨在为各种安全和匿名通信功能提供支持;虽然每个客户端都支持消息传递,但移动和桌面客户端在不同程度上支持群消息、语音和视频通话、语音和视频会议、打字指示器、消息阅读回执、文件共享、配置文件加密和桌面流媒体等附加功能。只要核心协议支持,任何客户端都可以实现附加功能。与核心网络系统无关的功能由客户端决定。强烈建议客户开发人员遵守Tox客户标准以保持跨客户端兼容性并维护最佳安全实践。
作为即时通讯工具的可用性
尽管一些使用 Tox 协议的应用程序在功能上看起来与常规即时消息应用程序相似,但目前缺少类似于XMPP或Matrix的中央服务器导致聊天双方都需要在线才能发送和接收消息. 启用Tox的信使以不同的方式处理此问题,有些会阻止用户在对方断开连接时发送消息,而另一些会显示消息正在发送,而实际上它存储在发件人的手机中等待接收时发送方重新连接到网络。
常用的基于Tox协议的客户端软件 以下列表是目前仍然在维护的Tox客户端:
名称兼容平台开发语言源码仓库aToxAndroidKotlinhttps://github.com/evilcorpltd/aToxqToxLinux, FreeBSD, OS X, WindowsC++ (Qt)https://github.com/qTox/qToxToxicLinux, FreeBSD, OpenBSD, DragonflyBSD, NetBSD, Solaris, macOS, AndroidC (Ncurses)https://github.com/TokTok/toxicToxygenLinux, WindowsPython (Qt via PySide)https://github.com/toxygen-project/toxygenTRIfAAndroidC, Java Activehttps://github.com/zoff99/ToxAndroidRefImplµToxLinux, FreeBSD, OS X, WindowsChttps://github.com/uTox/uToxyatLinux, Windows, macOSValahttps://gitlab.com/neva_blyad/yat 其中,qTox是使用比较多的客户端,又很多针对性的宣传:
如今,每个政府似乎都对我们在网上所说的话感兴趣。qTox 建立在“隐私至上”的议程之上,我们绝不妥协。您的安全是我们的首要任务,世界上没有任何事情可以改变这一点。
qTox 既免费供您使用,也免费供您更改。您可以完全自由地使用和修改 qTox。此外,qTox 绝不会用广告骚扰您,或要求您为功能付费。
qTox 非常重视您的隐私。借助一流的加密技术,您可以放心,只有您发送邮件的人才能阅读您的邮件。
https://qtox.github.io
大家都知道如何访问暗网,正如“暗网下/AWX”之前介绍:如何通过三个步骤简单的使用Tor浏览器访问暗网。但是,假如不使用Tor浏览器,不使用Brave浏览器,使用日常用的浏览器,如Chrome浏览器、Firefox火狐浏览器,可以访问暗网吗?怎么在Windows系统上设置Tor代理,利用Tor节点访问网络?本文将做简单的介绍,从而可以做到暗网的爬取与监控。
一、下载Windows专家包和Tor浏览器 下载Windows专家包,解压到桌面上。
下载Tor浏览器(版本取决于您的计算机)。使用默认设置运行.exe并安装。
在“文件夹选项”中设置显示隐藏的项目和文件扩展名:在资源管理器窗口的左上角,单击“查看”选项卡。在最右侧的显示/隐藏部分中,选中隐藏项目的复选框;选中文件扩展名的复选框。
二、组合文件并重定位 打开桌面上的Tor文件夹,双击tor.exe。一旦命令提示符显示:[notice] Bootstrapped 100% (done): Done,关闭窗口。这将创建文件夹C:\Users\\AppData\Roaming\tor\(其中您的用户名)。
从桌面上的Tor文件夹中,选择所有.dll和.exe文件,并将它们剪切/粘贴到C:\Users\\AppData\Roaming\tor\文件夹中。
在桌面上的Tor文件夹中,打开Data文件夹。同时选择geoip和geoip6,并将它们剪切/粘贴到C:\Users\\AppData\Roaming\tor\文件夹中。
打开C:\Users\\Desktop\Tor Browser\Browser\TorBrowser\Tor\PluggableTransports文件夹,选择obfs4proxy.exe并将其剪切/粘贴到C:\Users\\AppData\Roaming\tor\文件夹中。
三、创建和编辑您的Tor配置文件 在C:\Users\\AppData\Roaming\tor\文件夹中,创建新文件,命名为torrc,注意不设置扩展名。
使用文件编辑器打开(如记事本)torrc文件,添加以下内容:
Log notice file C:\Users\<user>\AppData\Roaming\tor\notice.log
GeoIPFile C:\Users\<user>\AppData\Roaming\tor\geoip
GeoIPv6File C:\Users\<user>\AppData\Roaming\tor\geoip6
BridgeRelay 1
# Replace "TODO1" with a Tor port of your choice.
# This port must be externally reachable.
# Avoid port 9001 because it's commonly associated with Tor and censors may be scanning the Internet for this port.
ORPort TODO1
ServerTransportPlugin obfs4 exec C:\Users\<user>\AppData\Roaming\tor\obfs4proxy.
XMPP是可扩展消息传递和呈现协议,它是一组用于即时通讯传递、消息呈现、多方聊天、语音和视频通话、协作、轻量级中间件、内容联合和XML数据的通用路由的开放技术。
XMPP最初是在Jabber开源社区中开发的,旨在为当时封闭的即时通讯服务提供一种开放的、去中心化的替代方案。与此类服务相比,XMPP提供了几个关键优势:
开放——XMPP协议是免费、开放、公开且易于理解的;此外,还以客户端、服务器、服务器组件和代码库的形式存在多种实现。
标准——互联网工程任务组(IETF)已经将核心的XML流协议正式化,作为一种被认可的即时通讯和存在技术。XMPP规范于2004年作为RFC 3920和RFC 3921发布,XMPP标准基金会继续发布许多XMPP扩展协议。2011年,核心RFC进行了修订,产生了最新的规范(RFC 6120、RFC 6121和RFC 7622)。
成熟——第一批Jabber/XMPP技术由Jeremie Miller于1998年开发,现在相当稳定;数百名开发人员正在研究这些技术,如今互联网上运行着数以万计的XMPP服务器,数百万人通过Google Talk等公共服务和XMPP在全球组织的部署使用XMPP进行即时通信。
去中心化——XMPP网络的架构类似于电子邮件;因此,任何人都可以运行自己的XMPP服务器,从而使个人和组织能够控制他们的通信体验。
安全——任何XMPP服务器都可以与公共网络隔离(例如,在公司内部网上),并且使用SASL和TLS的强大的安全性已被纳入XMPP核心规范。此外,XMPP开发者社区正在积极致力于端到端加密技术,以进一步提高安全标准。
可扩展——利用XML的力量,任何人都可以在核心协议的基础上建立自定义功能;为了保持互操作性,XEP系列中发布了通用扩展,但这种公布不一定是必须的,如果需要,组织可以维护自己的私有扩展。
灵活—XMPP在即时通讯之外的应用包括网络管理、内容联合、协作工具、文件共享、游戏、远程系统监控、网络服务、轻量级中间件、云计算等等。
多样化——广泛的公司和开源项目使用XMPP来构建和部署实时应用程序和服务;当你使用XMPP技术时,你永远不会被“锁定”。
因此,XMPP协议目前仍然在全球用户中流行,尤其在暗网中,人们热衷于使用XMPP进行联系。在某些暗网论坛上,他们通常使用口语化的名字“青蛙”。
XMPP网络设备很简单:有XMPP服务器,全世界有很多,比如xmpp.jp。你选择你的服务器,在它上面注册,就像你在其他网站上注册一样(当然,除非服务器所有者提供了注册的机会)。在服务器上注册时,你以登录名和密码的形式创建一个账户。
大多数XMPP服务器注册只需要登录名和密码。没有指向手机、电子邮件或其他个人数据的链接。新账号几秒内就可以注册,一台设备可以同时使用一百个账号。
XMPP服务器与域名相关联,您的XMPP帐户将如下所示:username@domain,例如[email protected]。这类似于电子邮件,许多用户混淆了他们,试图向收件人发送电子邮件。在某些情况下,您可以看到减少的JID(Jabber ID)——这是 XMPP帐户的同义词。
通过在一台服务器上注册,您可以与所有XMPP用户聊天,无论他们在哪个服务器上注册(如果XMPP服务器的所有者再次没有限制)。
对于通过XMPP协议进行的通信,使用了特殊的客户端程序。它们中有很多,它们适用于所有流行的移动和桌面平台。其中最著名的是Pidgin、Adium、Xabber和Psi+。
Jabber网络与其他Messenger的区别在于去中心化,或者没有单一中心。您可以自己定制和维护自己的服务器,可以存储或不存储日志,确定数据收集策略以及与执法机构的合作。出于同样的原因,Jabber很难受到ISP监视。
使用方法 要使用XMPP/Jabber服务,你需要安装和使用XMPP客户端。
XMPP是开放的标准协议,所以有许多种客户端。
推荐的XMPP客户端 Psi Psi是跨平台的XMPP客户端,兼容Windows、Linux和MacOS。
Thunderbird Thunderbird是一个跨平台的电子邮件客户端,也可以作为XMPP客户端使用。
iMessage iMessages是你的MacOS中包含的文本消息软件。它也可以作为一个客户端使用。
移动应用程序 Zom Mobile Messenger
ChatSecure
IM+
Talkonaut
Xabber
Monal
Conversations
网络安全研究人员详细介绍了勒索软件攻击者为掩盖其在线真实身份以及其网络服务器基础设施的托管位置而采取的各种措施。
“大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管服务提供商来托管他们的勒索软件运营网站,”思科Talos研究员Paul Eubanks说。“当他们连接到他们的勒索软件网络基础设施以进行远程管理任务时,他们使用VPS作为代理来隐藏他们的真实位置。”
同样突出的是使用TOR网络和DNS代理注册服务,为其非法操作提供额外的匿名层。
但是,通过利用威胁参与者的操作安全失误和其他技术,这家网络安全公司上周披露,它能够识别托管在公共IP地址上的TOR隐藏服务,其中一些是与DarkAngels、Snatch、Quantum和Nokoyawa勒索软件集团有关的先前未知的基础设施。
虽然众所周知,勒索软件集团依靠暗网来掩盖他们的非法活动,从泄露被盗数据到与受害者谈判付款,但Talos透露,它能够识别“公共IP地址托管与暗网相同的威胁参与者基础设施”网。”
“我们用来识别公共互联网IP的方法涉及将威胁参与者的[自签名]TLS证书序列号和页面元素与公共互联网上的索引匹配。”Eubanks说。
除了TLS证书匹配之外,用于发现攻击者清晰网络基础设施的第二种方法是使用Shodan等网络爬虫将与暗网网站相关的网站图标与公共互联网进行对比。
以Nokoyawa为例,这是今年早些时候出现的一种新的Windows勒索软件,与Karma具有大量代码相似之处,托管在TOR隐藏服务上的站点被发现存在目录遍历漏洞,使研究人员能够访问用于捕获用户登录的“/var/log/auth.log“文件。
调查结果表明,不仅犯罪分子的泄漏网站可以被互联网上的任何用户访问,其他基础设施组件,包括识别服务器数据,也被暴露出来,从而有效地使获得用于管理勒索软件服务器的登录位置成为可能。
对登录成功的root用户登录信息的进一步分析表明,它们来自两个IP地址5.230.29.12和176.119.0.195,前者属于GHOSTnet GmbH,这是一家提供虚拟专用服务器(VPS)服务的托管服务提供商。
“然而,176.119.0.195属于AS58271,它以Tyatkova Oksana Valerievna的名义列出,”Eubanks指出,“操作员可能忘记使用基于德国的VPS进行混淆,并直接从其176.119.0.195的真实IP登录到与该Web服务器的会话。”
随着新兴Black Basta勒索软件的操作者通过使用QakBot进行初始访问和横向移动,并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作来扩大他们的攻击武器库。
更重要的是,LockBit勒索软件团伙上周宣布发布LockBit 3.0,并打出“让勒索软件再次伟大!”的宣传标语,此外还推出了他们自己的漏洞赏金计划,为发现安全漏洞和改进其软件的“绝妙的想法”提供1000至100万美元的奖励。
Tenable高级研究工程师Satnam Narang在一份声明中表示:“LockBit3.0的发布和漏洞赏金计划的引入是对网络犯罪分子的正式邀请,以帮助协助该组织寻求保持领先地位。”
“漏洞赏金计划的一个关键重点是防御措施:防止安全研究人员和执法部门在其泄漏站点或勒索软件中发现漏洞,确定包括会员计划在内的成员可能被人肉攻击的方式,以及发现该组织用于内部通信的消息软件和Tor网络本身的漏洞。”
“被人肉或被识别的威胁表明,执法工作显然是LockBit等组织非常关注的问题。最后,该组织正计划提供Zcash作为付款方式,这很重要,因为Zcash比比特币更难追踪,使研究人员更难监视该组织的活动。”
OnionShare是一个免费的开源文件共享应用程序,用于通过Internet安全、匿名地共享任何大小的文件或文件夹。它与用于安全和匿名浏览Internet的Tor浏览器一起使用。OnionShare将为您要与他人共享的文件或文件夹生成一个不可猜测且外观随机的URL。它不需要任何集中式Web服务器或任何第三方服务。所有操作都将在TOR网络内完成,除了收件人之外,没有人可以跟踪您要共享或下载的内容。
OnionShare具有文件和文件夹的拖放选项,因此您只需单击几下鼠标即可轻松发送或下载它们。共享或下载文件和文件夹没有特定的大小限制,您也可以一次共享任意数量的文件/文件夹。启动此应用程序后,它会自动将共享URL复制到剪贴板,并在操作完成后自动关闭它。它有多种语言版本,并支持国际unicode文件名。
OnionShare不会将用户的身份或IP地址透露给Tor网络之外。此外,通过OnionShare和Tor网络共享的文件经过加密验证和私有。OnionShare由技术专家Micah Lee(https://github.com/micahflee)开发和维护。它适用于Linux、Microsoft Windows和Mac OS X操作系统。
开启文件共享后,OnionShare会创建一个洋葱地址,其他人可以在Tor浏览器中访问该地址,并访问您要共享的文件。除了可让您安全匿名地共享文件,OnionShare还可以托管网站以及使用Tor网络与朋友匿名聊天。
安装OnionShare 您可以从OnionShare网站下载适用于Windows和macOS的OnionShare。
对于macOS,您还可以使用Homebrew:
brew install --cask onionshare
对于Linux,有多种方法可以安装OnionShare for Linux,但推荐的方法是使用Flatpak或Snap包。Flatpak和Snap确保您将始终使用最新版本并在沙箱内运行OnionShare。
Snap支持内置在Ubuntu中,Fedora带有Flatpak支持,但使用哪种取决于您自己。两者都适用于所有Linux发行版。
使用Flatpak安装OnionShare:https://flathub.org/apps/details/org.onionshare.OnionShare
使用Snap安装OnionShare:https://snapcraft.io/onionshare
如果您愿意,您还可以从https://onionshare.org/dist/下载并安装PGP签名.flatpak或.snap软件包。
文档 要了解OnionShare的工作原理、其安全属性是什么、如何使用以及如何为项目做出贡献,请查看https://docs.onionshare.org。
OnionShare共享文件使用方法 1.打开文件浏览器。
2.右键单击(在Mac上,用两根手指单击)您要共享的文件或文件夹,然后选择通过OnionShare共享(Share via OnionShare)。
3.要共享更多文件或文件夹,您可以:将它们从文件浏览器拖放到OnionShare上;单击OnionShare中的添加(Add)按钮。
4.单击开始共享(Start Sharing)。
注意 开始共享文件可能需要几分钟时间。
当文件已经共享时,洋葱地址会出现在OnionShare的底部。将此洋葱地址发送给其他人,例如通过电子邮件。
其他人可以通过访问Tor浏览器中的洋葱地址来下载文件。OnionShare会在文件被访问时通知您。关闭OnionShare后,文件将不再共享。
OnionShare暗网地址: http://lldan5gahapx5k7iafb3s4ikijc4ni7gx5iywdflkba5y2ezyg6sjgyd.onion
OnionShare明网地址: https://onionshare.org/
前些天,“暗网下/AWX”介绍了中央情报局(CIA)在暗网给其官方网站https://cia.gov制作了一个副本,即一个基于Tor的暗网.onion网站,并用俄语在Instagram(https://instagram.com/p/CdDo1_QMCLe/)做广告,呼吁有情报的俄罗斯人与他们联系。
the @CIA made a tor .onion site and advertised it in russian (https://t.co/Mf9Cf5oCu4) with call for russians with intelligence to contact them. But as I look at it more I'm incredibly impressed by what a potential fk'up this might be. Here's why: 1/7
— Nathan Fain (public) (@nathanafain) May 3, 2022 但根据黑客、网络安全专家Nathan Fain(https://nathanfain.com/)的技术上的分析,
CIA的这个暗网网站对于使用者而言,可能存在暴露自身的风险。Nathan Fain在推特上(https://twitter.com/nathanafain)给出的原因如下:
1:CIA的表格需要电子邮箱。中央情报局如果回复的话,可能会暴露发邮件的源头;
2:网站没有文件上传,使用电子邮件的风险更大;
3:CIA没有设置像其他网站一样安全的通信渠道(类似于securedrop,纽约时报,wapo,维基解密等)
4:CIA提供的洋葱网站是其官网https://cia.gov的副本,足足有5MB的大小,,很容易被从流量上设置指纹。
此外,securedrop、nyt、wapo、wikileaks 在他们的基于Tor的暗网.onion网站上拥有并且设置了基于HTTPS的安全通信层。这意味着作为文件泄露者,使用者可以在一个位置进行加密的双向通信,从而减少通过其他通信暴露的担忧。
Nathan Fain具体解释如下:
CIA的暗网.onion网站有“Report Information”的页面,但是“ONLINE FORM”(在线表格)只是一个由几个文本框组成的表单,但是没有最基础的文件上传功能。如果泄密者想上传文件,估计中情局倾向于使用电子邮件,但是那将导致巨大的来源危险。
CIA的暗网.onion站点只是主站点http://cia.gov的镜像站点,访问该网站的请求回应约为5MB(经“暗网下/AWX”实际测试,发送了39个请求,共计4.55MB)。而通过.onion访问是一样的。因此,俄罗斯的ISP运营商有可能监视这种规模的加密流量以找到潜在的泄密者。
“暗网下/AWX”认为,Nathan Fain的分析还是有道理的,其实CIA最安全的做法是:在暗网设置一个securedrop的举报提交网站,并为该网站配置基于onion域名的SSL证书。