x64.moe

証明書の発行されたTor Hidden Serviceを探してみた

December 03, 2019

Tor Hidden Serviceとは

Tor Hidden Service(以下 “HS”)とは強固な匿名性を確保するツールTorを用いないとアクセスできないサービスのこと。 末尾が.onionで終わるドメイン名を持つ。 Tor は端末のIPアドレスを隠すことでサービス提供者の匿名性を向上させるツール。 SOCKSプロキシとして動作するため、SOCKSプロトコルのプロキシが対応していればHS自体は別にHTTPサーバでもメールでもSSHでも使える。

例: 自宅のラズパイを Tor Onion Service にして外から SSH 接続する

Tor Hidden Service と証明書

さて、HSはTor Bundle Browser を用いれば簡単にアクセスが可能だ。 有名なHSはFacebookThe New York Timesが挙げられる。 ここで気になるのが、これらHSがHTTPSを使っていることだ。

https://facebookcorewwwi.onion https://www.nytimes3xbfgragh.onion

Facebook, hidden services, and https certs

上記リンクを参照してもらうとわかる通りHSでも証明書は使える(色々と議論が盛り上がったようだが…)

「どうせE2Eで暗号化されているし、PGPなり何なりの署名で検証できるしHTTPSの証明書いるか?」と思う部分もあるものの、表立って活動している企業や団体がHSでサッとなりすましではないことをを示すのには便利なのだろう。

そんな事情もあって一部HSでHTTPSが使われているが、このHTTPS通信で使用する証明書も例外なくCertificate Transparency(以下”CT”)のログを残している。

ここでこんな考えが出てくる。

「もしかしてCTログを漁ればHTTPSのHSと紐づいている他のHSやサーバの情報を確認できるのでは?」

「✝️闇✝️のサービスのCTログとか発見して、それを元に色々と情報を確認できるのでは?」

と言うわけで早速crt.sh.onionドメインと紐づいている証明書を探してみた。

crt.sh でクエリかけてみた

とりあえず%.onionでクエリをかけてみた。

https://crt.sh/?q=%25.onion

めっちゃヒットするじゃん…

自作したcrt.shでクエリかけるツールでドメインを洗い出してみた.

自作したツール: crtsh

$ ./crtsh -q %.onion -o | sort | uniq

結果はこちら gist

パッと見た感じ普通の企業やら団体ばかりという感じ。 前述した通り「どうせE2Eで暗号化されているし、PGPなり何なりの署名で検証できるしHTTPSの証明書いるか?」と思っている人が存在している中で、企業でも何でもない人が証明書を取得するメリットがない。 証明書発行にはコストがかかるし、認証局に色々と情報を渡さないといけない。 そして何よりHSで大きいトラフィックを抱えているような✝️闇✝️のサービスなんかはそもそも証明書が発行されないだろう(推測)

まとめ

証明書の発行されたTor Hidden Serviceを探してみた結果をまとめると以下の通りだ。

  • HSであろうともHTTPSの証明書を発行されている場合は例外なくCTログを残している
  • .onionドメインのCTログを漁っても普通の企業や団体ばかりがヒットする
  • ✝️闇✝️のサービスのOSINTにはあまり使えなさそう…

また何か✝️闇✝️のサービスのOSINTに使えそうなテクニックを思いついたら書く予定。 以上。


FAMASoon

Written by FAMASoon. Twitter/GitHub