Onionshare

Hat jemand von Euch Erfahrung mit der Software Onionshare? Da wird temporär und anonym eine Darkweb Site aufgemacht, dort eine Datei gespeichert. Man kann dann dem Partner die Adresse zukommen lassen und der Partner kann die Datei dann anonym dort abholen. OnionShare Ich habe die bei mir installiert und vorhin ausprobiert. Eigentlich sollte ich ja durch TOR anonymisiert sein, aber es sieht aus, als ob das entweder ein honeypot ist oder scharf bewacht wird. Ich habe zum Test ausprobiert eine zero adversary advantage "Rauschchiffre" (siehe alter Thread / academic signature) zu deponieren und über einen anderen TOR-Pfad abzuholen. Als hätte ich in ein Hummelnest gestochen! Sofort habe ich auf einer meiner Websites heftigen Traffic von US-IP-adressen bekommen. Offensichtlich bin ich deanonymisiert worden. Wenn die Software sauber ist, kann das nur duch Modulation der Datenraten bei einem oder mehreren Knoten passiert sein. Der Traffic startete von dort gegen 5 Uhr früh Ortszeit! Da hab ich wohl Nachtschichten aufgescheucht :)=) Ich bin für alle möglichen Spekulationen von Eurer Seite dankbar...
 
Was ist denn heftiger Traffic? Das ist doch das Konzept beim Onion-Routing, dass der Traffic über mehrere Knoten geroutet wird. In der Regel ist dein Rechner auch so ein Knoten vielleicht auch eine exit-Node. Dann wäre das vollkommen normales Verhalten?
Da ja andere User über dich gehen...
 
Zuletzt bearbeitet:
"Heftiger Traffic" war etwas missverständlich und zu großspurig ausgedrückt. Normalerweise schauen auf der Seite, die einfach nur persönliche Informationen über mich und meine Projekte zeigt, (ohne die obligatorischen 180er Paarzugriffe der Chinesen) so etwa 10 Leute am Tag vorbei - eine ziemlich konstante Rate und nach Uhrzeiten klar strukturiert. Die Amerikaner kommen sonst niemals gegen Mittag nach unserer Zeit. Meine Onionshare Aktivität sollte eigentlich keinerlei Bezüge zu meiner persönlichen IP-Adresse oder meiner Identität erlaubt haben. Aber innerhalb von wenigen Minuten danach kamen von drei US Ipadressen (und einer rumänischen) Besucher, die nicht nur die Hauptseite(meine persönliche, natürlich nicht die temporäre im Darknet) angeschaut haben, sondern auch systematisch alle Links abgerufen haben - so als würde da jemand über mich recherchieren. Keine Flashabgriffe, wo innerhalb von 2-3 Sekunden die ganze Domain heruntergezogen wird, sondern im "Menschentempo", so eine Seite pro 1-2 Minuten. Das kann natürlich Zufall sein, weicht aber ganz extrem vom normalen Muster ab und korrelierte zeitlich genau mit der Onionshare Nutzung. Ich möchte mich gerne auf die Anonymisierung durch TOR verlassen können, bin aber jetzt zumindest bezüglich der Nutzung von Onionshare misstrauisch geworden. Deswegen meine Frage. Hat jemand ähnliche Erfahrungen mit Onionshare gemacht. Hat einer aus dem Forum sich vielleicht mal den Sourcecode angesehen (ich noch nicht...) und kann was zu Lücken oder Gefahren sagen?
 
Hmm das Problem dabei ist das Szenario.
Wenn er einen Node erstellt, und es Wirklich ein Honeypot war, oder dergleichen das Tornetzwerk leaked(nur so what if), dann kommen die ggf. kein 2. Mal vorbei weil er schon "evaluiert" wurde.

Er bräuchte also einen Server der von Ihm komplett entkoppelt ist.
Gruß

Fluffy

//edit
ergo, wenn du so besorgt bist, egal ob zu recht oder unrecht(können wir ja nicht beurteilen weil wir nicht wissen welche seite du da im darkweb bereitstellst, ist es eine gute idee sich nicht nur auf eine sicherheitsschicht zu verlassen.
Es ist immer ein Prozess, wenn es dir also Kopfschmwerzen bereitet, biete die Seite nicht von deinem eigenen Server an auf dem du auch eine persönliche Website hast.
Das ist das Serverequivalent von "Never hack from home".
 
Zuletzt bearbeitet von einem Moderator:
Hmm das Problem dabei ist das Szenario.
Wenn er einen Node erstellt, und es Wirklich ein Honeypot war, oder dergleichen das Tornetzwerk leaked(nur so what if), dann kommen die ggf. kein 2. Mal vorbei weil er schon "evaluiert" wurde.

Er bräuchte also einen Server der von Ihm komplett entkoppelt ist..

Ein frisch aufgesetztes Raspberry Pi + dynamische IP würd doch reichen ;) Oder ne VM...

Man könnte aber auch mal die Entwickler anschreiben, ob das erwünschtes Verhalten ist oder sich unerwünschter Code eingeschlichen hat.
 
Also ich bin kein Experte für sowas, finde das Thema aber sehr interessant. Soweit ich das verstanden habe, eröffnet Onionshare ja einen temporären Hidden Service im Tor-Netzwerk, welcher dann vom Empfänger zum Download der Datei genutzt wird. Kannst du am Traffic erkennen, ob er durch das Tor-Netzwerk zu deinem Server kommt oder durch das "normale" Internet?
Wenn der Traffic tatsächlich direkt zu deinem Server geschickt wurde, kann es ja nur an folgenden Möglichkeiten liegen:
1. Das Initialisieren des Hidden Services wird schon überwacht. Halt ich aber für unwahrscheinlich, dann wäre ja quasi das ganze Darknet betroffen.
2. Irgendwie muss ja der Empfänger an die Onion-Adresse kommen. Vielleicht liegt hier das Problem. Wie das genau funktioniert, konnte ich über Google nicht rausfinden.
3. Onionshare selber ist nur nen Honeypot. Das wäre natürlich äußerst dreist :D

PS: Wäre wirklich interessant, ob sich das reproduzieren lässt.

€dit zu 2:
https://github.com/micahflee/onionshare/blob/master/SECURITY.md hat gesagt.:
The sender is responsible for securely sharing that URL with the recipient using a communication channel of their choice, such as in an encrypted email, chat, or voice call, or something less secure like a Twitter or Facebook message, depending on their threat model.
Dann wäre das auch schon mal geklärt. Komisch, da bleibt ja eigentlich nicht mehr viel übrig.
Hier ist übrigens der SourceCode zu finden. Habe gerade aber keinen Nerv mir das mal genauer anzugucken. Vielleicht ist der Aufbau des Hidden-Services auch schlecht implementiert, keine Ahnung
 
Zuletzt bearbeitet:
Irgendwie erklärst du nicht sehr genau, was jetzt Sache ist.

Was für Zugriffe welcher Art kommen wo und wann bei dir an?

Bemerke: Die Nutzung von Diensten über Tor geschieht anonym, aber nicht die Nutzung von Tor an und für sich.
(Es sei denn man nutzt unbekannte Bridges und pluggable transports wie obfs4 - dann bleibt zumindest unklassifizierbare Kommunikation sichtbar. Die Bridge selbst weiß natürlich immer, dass du Tor nutzt und kann je nach dem wie sich lustig ist, diese Information auch teilen.)

Wenn also jemand sieht: Ah, da nutzt jemand Tor. Dann kann man sich die IP ja auch mal genauer anschauen, wenn man möchte.

Das heißt aber noch lange nicht, dass derjenige auch weiß, was man über Tor macht.
Was das mit Onionshare zu tun haben soll, frage ich mich auch. Später redest du dann von deiner persönlichen Seite auf den die Zugriffe geschehen. Ja... aber eben nicht auf OnionShare!?
Keiner weiß, dass du (die öffentliche IP von dir) da OnionShare betreibst, nur eben, dass du Tor benutzt.
 
onionshare

Weil einige meine Schilderungen missverstanden haben(einige nicht :), versuche ich es nochmal: Ich habe von meinem "Home Office" aus über meinen ganz normalen privaten Internetprovider per Onionshare eine "Rauschchiffre" (Academic Signature mit NADA-Cap) auf einer temporären Darkweb-Site gepostet und über den Tor Browser selbst wieder abgeholt. Wenn alles wie gewünscht funktioniert hätte, hätte sowohl das Darkweb-Posting, als auch das Abholen über einen anderen TOR-Pfad keine Rückschlüsse auf mich oder meinen Internetprovider erlauben dürfen. Innerhalb von Sekunden bis Minuten gab es besagten ungewöhnlichen Traffic auf meiner völlig von diesem Vorgang entkoppelten beruflichen Website - anderer Provider, gehostet bei meinem Arbeitgeber, andere Domain etc.. Unterstellt, diese Korrelation war kein Zufall, gibt es nur eine Möglichkeit: Eine Instanz hat meinen TOR-Verkehr beim Einrichten der temporären Darkwebsite oder beim Abrufen über den TOR-Browser deanonymisiert und meine IP-Adresse ermittelt. Innerhalb von Sekunden bis Minuten meinen Namen ermittelt. Dazu müsste auch mein ISP gehackt oder superkooperativ gewesen sein!! In ihren Datenbanken hat die Instanz zu meinem Namen die berufliche Website gefunden und Menschen haben die unverzüglich angesehen und vermutlich evaliert. Und ja, ich habe das natürlich wiederholt. Bei den Wiederholungen ist nichts mehr passiert. Es war also extremer Zufall, oder die Evaluierung wurde zufriedenstellend abgeschlossen.
 
weiteres Indiz für Darkweb Überwachung

Ich möchte noch hinzufügen: Vor etwa 2 Jahren ist mir schonmal was Bemerkenswertes in diesem Kontext passiert. Ein Freund hatte für mich als Demo eine persistente Darkweb Site, die eine offene Site von mir gespiegelt hat, eingerichtet und mir GnuPG verschlüsselt die Darkweb Adresse mitgeteilt. Er schwört Stein und Bein, dass er niemandem außer mir die Darkweb-Adresse mitgeteilt hatte. Trotzdem bekam ich 2-3 Zugriffe von US-Adressen(Ashburn Virginia - wohl aus der Amazon cloud), die über die Darkweb Site zu meiner offenen Seite gekommen waren und (dusselig) die Referrerinfo nicht geblockt hatten. Ich hatte damals einfach angenommen, er wäre gehackt worden (Er nutzt ein Windows). Aber nach dem erneuten Vorfall werte ich das als weiteres Indiz, dass das Darkweb sehr intensiv überwacht wird.
 
Ich dachte du betreibst den Webserver am selben Host.
Ich würde da jetzt mal keinen Zusammenhang vermuten, da auch die Überwachungsorgane bürokratische Mühlen haben und nicht dauer connected zu allen ISPs sind. Ein Hack deines ISPs würde ich auch ausschließen, da ein Vorsichtiger welcher auch nicht dauer connected sein wird und zumindest nicht in Sekunden sofort auf deine Webseite schließen würde. Recherche braucht Zeit. Wahrscheinlicher ist, dass das Problem an deinem Host liegt. Der Onionshare Client oder etwas anderes und den Link zu deiner Seite evtl. aus den Favoriten oder der Chronik ausgelesen hat. Aber ob das Schlag in Schlag von einer Sekunde auf die andere geht... ohne Automatismus... da bräuchte man schon sehr viel Man-Power oder man hat dich direkt im Visier und nur auf dich gewartet.
Ich vermute daher wirklich nur Zufall. Ich könnte in meinen Logs jetzt keine Verbindung herstellen nur weil ich evtl. zeitgleich Tor benutze.
Schon mal ne whois Anfrage zur IP gestellt? Oder das an ner anderen Person getestet?

Trotz alle dem... das Darknet wird überwacht... ist doch kein Geheimnis...
Wenn man dann so ne 0815 Installation von Tor betreibt würde ich grundsätzlich davon ausgehen, dass US Behörden Einsicht auf meine Dienste haben.
 
Zuletzt bearbeitet:
Innerhalb von Sekunden bis Minuten gab es besagten ungewöhnlichen Traffic auf meiner völlig von diesem Vorgang entkoppelten beruflichen Website -

Was ist bei einer Webseite ungewöhnlicher Traffic? Was sagt der Trafficlog aus? Was ist versucht wurden aufzurufen? Wieso deklarierst du diesen als ungewöhnlich? Ist einfach nur ein Bot gewesen der zu der Zeit vorbeigekommen ist?
Hat _dein_ Client evtl alle gespeicherten Favoriten abgerufen um ein Snapshot für die Tabvorschau zu machen?

*fragen über fragen und keine Antworten* :rolleyes:
 
Fragen über Fragen und keine Antworten

Lieber Chakky. Was für mich indiesem Fall ungewöhnlicher Traffic ist und warum, habe ich in meinem zweiten Beitrag in diesem Thread dargelegt. Was die Logs aussagen, wissen wir doch. Was aufgerufen wurde, habe ich auch im zweiten Beitrag beschrieben. Ich habe beschrieben, warum es höchstwahrscheinlich kein Bot war. Mein Client hat mit der Ganzen Sache nicht das geringste zu tun. Entschuldige meinen direkten Ton, aber die Antworten zu Deinen Fragen kannst Du oben im Thread finden. Tu nicht so, als könntest Du nicht lesen.
 
Direkter Ton ist okay, habe wohl da zu schnell Überflogen.

Keine Flashabgriffe, wo innerhalb von 2-3 Sekunden die ganze Domain heruntergezogen wird, sondern im "Menschentempo", so eine Seite pro 1-2 Minuten.

Kann immer noch ein Bot sein der was "Simuliert"? Auch ist systematische abgreifen ist mMn in indiz für einen Bot.

Sind die zugriffe alles 200er? Oder auch ein paar 404 dabei? Was sagt die error.log datei vom Webserver?

Warum gehst du davon aus das dein Client nichts damit zu tun hat? Du schreibst selber im Beitrag #10 das dir schon mal sowas vorgefallen ist. Das muss ja auch irgendwo hergekommen sein? Zur Zeit ist der gemeinsame Nenner davon dein Client (so macht es den Eindruck). Es brauch nur irgendein Programm im Hintergrund dein Surfverhalten aufzuzeichnen und parallel dazu ein Werbenetzwerk darauflassen.


Ich möchte dich nicht in eine Richtung drängen oder sagen du bist doof (im übertragenen Sinne, würde ich mir niemals trauen), ich will dir nur noch paar andere Punkte zeigen wo man Nachdenken könnte und raus ein seiner eigenen Blase zu kommen...
 
Wenn alles wie gewünscht funktioniert hätte, hätte sowohl das Darkweb-Posting, als auch das Abholen über einen anderen TOR-Pfad keine Rückschlüsse auf mich oder meinen Internetprovider erlauben dürfen.

Lies doch meinen Post noch mal.

Man kann keine Rückschlüsse darauf ziehen, dass du OnionShare nutzt oder bei OnionShare eine Datei abholst oder welche.

Aber man kann herausfinden, dass deine IP Tor benutzt.


Und Tor-Nutzer sind eben interessant. Was kann man mit der IP eines Tor-Nutzers machen? Einfach mal schauen, welche Services er so anbietet (in deinem Fall: beruflicher Webserver im Clearnet) und sich darauf umschauen (Crawler).
Deine Anonymität (deiner Toraktivität) wurde trotzdessen nicht gebrochen. Keiner weiß auf welche Dienste du mit Tor zugreifst oder was du darauf anbietest.
 
Zurück
Oben