La configuración predeterminada de Apache puede desenmascarar los servicios ocultos de Tor

La configuración predeterminada de Apache puede desenmascarar los servicios ocultos de Tor

¡Atención Tor Onion Hosters!

Un vac√≠o de un a√Īo en el servidor web Apache, descubierto por un estudiante de inform√°tica desconocido, podr√≠a desenmascarar la identidad real de los dominios .onion y los servidores ocultos detr√°s de la red Tor.

Aunque la brecha se informó en Reddit y en el Proyecto Tor hace meses, recientemente se convirtió en el centro de atención poco después de un tweet de Alec Muffet, un conocido entusiasta de la seguridad e ingeniero de software actual en Facebook.

¬ŅQu√© es el servicio Tor Hidden (.onion)? Los sitios web Dark Web (generalmente conocidos como ‘servicios de cebolla’) con un nombre de dominio especial que termina con .onion, se llaman Servicio Oculto Tor y solo se puede acceder a trav√©s de la red Tor.

El servicio oculto Tor es una red de anonimato muy popular utilizada por denunciantes, mercados subterr√°neos, redes de defensa y m√°s para mantener el secreto en Internet.

Un sitio web de Onion se puede alojar en la parte superior de cualquier servidor web. Pero, si elige Apache, debe repensarlo.

La mala configuración de Apache expone los servidores ocultos de Tor

Seg√ļn el informe, la mayor√≠a de las distribuciones de Apache Server se env√≠an con mod_status m√≥dulo, habilitado por defecto, que podr√≠a revelar la identidad real de los dominios .onion, poniendo a los servidores de cebolla en riesgo de ser identificados.

El módulo mod_status de Apache ayuda a los administradores del servidor a monitorear el estado del servidor web con una interfaz HTML y es accesible a través de un navegador web solo en su host local.

La salida de este módulo estaría disponible en todos los servidores al acceder a la URL: https://website.com/server-status/

Sin embargo, corriendo m√≥dulo mod_status con el servicio oculto Tor puede resultar en exponiendo la p√°gina ‘estado del servidor’ al mundo a trav√©s del servicio de demonio Tor.

Esta página escupiría los datos confidenciales del servidor, como la configuración del servidor, el tiempo de actividad, el uso de recursos, el tráfico total, los hosts virtuales y las solicitudes HTTP activas si se habilita de manera predeterminada, lo que es suficiente para determinar la ubicación del servidor.

“¬ŅQu√© podr√≠a hacer un actor malicioso en ese caso? Podr√≠an espiar solicitudes potencialmente sensibles”. lee la publicaci√≥n del blog sobre el tema. “Podr√≠an deducir la longitud aproximada del servidor si se establece la zona horaria. Incluso podr√≠an determinar su direcci√≥n IP si hay un host virtual clearnet presente”.

Cómo deshabilitar mod_status en Apache

Ahora, si ejecuta un dominio .onion encima de cualquier servidor Apache, aseg√ļrese de que mod_status est√© desactivado.

Para esto, es posible que deba ejecutar este c√≥digo en el comando de shell: –

estado de sudo ap2dismod

Dónde,

  • “ap2” significa Apache 2.X
  • “dis” significa deshabilitar
  • “mod” significa m√≥dulo

Poco después de esto, si vuelve a cargar, aparecerá un mensaje de error 403 o 404. El mensaje de error garantizaría que ya no sea vulnerable a ese riesgo.