Taggat med: anonym fildelning

Test av OnionShare 2

För cirka ett år sedan så skrev jag om OnionShare som gör att du kan dela filer anonymt över Tor-nätverket. Det har nu kommit en ny version som innehåller en mängd nyheter och förbättringar som jag tänkte kolla närmare på.

Den största och kanske mest intressanta nyheten i OnionShare version 2 är att du nu kan ta emot filer. Du kan alltså starta upp en anonym webbserver på Tor-nätverket som kan ta emot filer från en eller flera personer. Den som skickar filer till dig kan exempelvis använda sig av Tor Browser.

OnionShare stödjer nu även nästa generations .onion-adresser även kallat v3 där SHA1/DH/RSA1024 är utbytt mot SHA3/ed25519/curve25519 samt andra säkerhetshöjande åtgärder.

Som standard när du delar ut filer så förutom .onion-adressen som temporärt genereras så genereras även en url-slug som består av 2 ord diceware (obligatorisk xkcd-länk). För att ingen ska kunna forcera dessa två ord så fanns det en räknare som kontrollerade hur många 404-not found som anropats.

Om denna räknare var mer än 20 st felaktiga URL:er (404:or) så stängdes utdelningen ner, och just detta kan vara ett problem om du har en utdelning som många ska kunna ta del av. Säg att du vill exempelvis vill dela något offentligt på Twitter utan att webbservern stänger ner. Därför finns det nu stöd för publika fildelningar, eller offentligt läge. Då stängs denna funktion av som stänger ner webbservern vid för många 404:or.

OnionShare finns nu också översatt till 12 språk där ett av dessa språk är svenska. OnionShare stödjer inte https, men det gör inte så mycket eftersom Tor är end-to-end krypterat så länge trafiken håller sig inom nätverket och inte går ut via en exit-nod.

Become a Patron!

Än så länge finns inte OnionShare version 2 med i Tails, men det kommer nog så småningom. Värt att notera är att OnionShare inte ska ses som ett alternativ till SecureDrop, även om du kan köra OnionShare headless.

OnionShare är utvecklat i Python och använder sig av webbramverket Flask.

Så här ser OnionShare 2 ut på macOS och på svenska vid en uppstart:

Väljer jag sedan att dela ut en fil så ser det ut enligt följande:

Och för den som besöker ovan URL med Tor Browser så ser det ut så här:

När du startar upp en anonym mottagningstjänst för filer ser det ut så här efter jag tagit emot testssl.sh:

Och för den som laddar upp filer via Tor Browser ser det ut så här:

Dela filer anonymt med OnionShare

Sedan ett år tillbaka innehåller det anonyma operativsystemet Tails en intressant komponent vid namn OnionShare. OnionShare gör att du på ett enkelt sätt kan dela med dig av filer anonymt (stödjer även stora filer).

Förutom Tails så fungerar OnionShare på Mac, Linux samt Windows. Den version som skickas med Tails 3.6.1 är 0.9.2 och ser ut enligt följande:

Väljer man att ladda hem den senaste versionen till macOS som är 1.3 så är gränssnittet förbättrat med bl.a. nedladdningsräknare samt fler inställningar såsom möjligheten att skapa en ”Stealth Onion Service”, dvs en .onion-domän som inte annonseras ut till katalogtjänsterna i Tor-nätverket. Nackdelen med det är dock att förutom den url du använder för att dela en eller flera filer även måste dela en HidServAuth-sträng som ska in i torrc-konfigfilen.

Skärmdump när jag delar en fil via OnionShare v1.3 på macOS:

Och för den som besöker en URL via Tor Browser som delas ut via OnionShare, så ser det ut enligt följande:

OnionShare är utvecklat i programspråket Python av Micah Lee och återfinnes förutom i Tails på följande sajt:

Bra och tänka på är att när du startar OnionShare så startar även Tor upp i bakgrunden och ansluter till Tor-nätverket (precis som Tor Browser).

Säkerheten

Hur är det med säkerheten då? Jo, först och främst så är det relativt enkelt att göra en fingerprint på den 404-sida som presenteras om man upptäcker en OnionShare-webbserver. Även så sätter servern OnionShare i http-headern.

Men försöker en angripare forcera den sökväg som unikt genereras med två slumpmässiga ord från en ordlista med 7777 st ord så stöter man på problem. För efter 20 försök så stänger nämligen webbservern ner och visar följande meddelande hos den som delar ut filer via OnionShare:

Funktionen build_slug() som slumpar en URL-slug ser ut enligt följande: