Dela filer anonymt med OnionShare

Sedan ett år tillbaka innehåller det anonyma operativsystemet Tails en intressant komponent vid namn OnionShare. OnionShare gör att du på ett enkelt sätt kan dela med dig av filer anonymt (stödjer även stora filer).

Förutom Tails så fungerar OnionShare på Mac, Linux samt Windows. Den version som skickas med Tails 3.6.1 är 0.9.2 och ser ut enligt följande:

Väljer man att ladda hem den senaste versionen till macOS som är 1.3 så är gränssnittet förbättrat med bl.a. nedladdningsräknare samt fler inställningar såsom möjligheten att skapa en ”Stealth Onion Service”, dvs en .onion-domän som inte annonseras ut till katalogtjänsterna i Tor-nätverket. Nackdelen med det är dock att förutom den url du använder för att dela en eller flera filer även måste dela en HidServAuth-sträng som ska in i torrc-konfigfilen.

Skärmdump när jag delar en fil via OnionShare v1.3 på macOS:

Och för den som besöker en URL via Tor Browser som delas ut via OnionShare, så ser det ut enligt följande:

OnionShare är utvecklat i programspråket Python av Micah Lee och återfinnes förutom i Tails på följande sajt:

Bra och tänka på är att när du startar OnionShare så startar även Tor upp i bakgrunden och ansluter till Tor-nätverket (precis som Tor Browser).

Säkerheten

Hur är det med säkerheten då? Jo, först och främst så är det relativt enkelt att göra en fingerprint på den 404-sida som presenteras om man upptäcker en OnionShare-webbserver. Även så sätter servern OnionShare i http-headern.

Men försöker en angripare forcera den sökväg som unikt genereras med två slumpmässiga ord från en ordlista med 7777 st ord så stöter man på problem. För efter 20 försök så stänger nämligen webbservern ner och visar följande meddelande hos den som delar ut filer via OnionShare:

Funktionen build_slug() som slumpar en URL-slug ser ut enligt följande:

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

Skriv en kommentar