Abbiamo già visto in questa discussione quali sono i principali strumenti per navigare in modo sicuro nella rete ma oggi vediamo in modo più specifico come utilizzare Tor in maniera più sicura, guida validissima anche per farsi un giretto nel lato oscuro della rete.
L'ideale per una giusta sicurezza:
- Hardware air-gapped (opzionale)
- Sistema operativo sicuro: Tails o Whonix
- VPN no-log (e se necessario con pagamento anonimo)
- Proxy SOCKS5 locale o remoto (facoltativo)
- Tor (con bridge e configurazioni personalizzate)
- Di conseguenza rete onion
- Fondamentali i principi OPSEC cioè non usare la vera identità, account e meglio anche cambiare stili di scrittura.
Scelta dell'OS
Tails OS è un'ottima scelta nel campo dell'anonimato, principalmente perché tutto il traffico passa forzatamente per Tor, i firewall sono impostati in modo da impedire che servizi di terze parti possano bypassare il routing di Tor.
Questo è un sistema operativo avviabile in live, direttamente dalla chiavetta quindi non lascia tracce nel vostro sistema operativo dato che viene caricato interamente in memoria RAM e inoltre Tor Browser è preconfigurato.
A meno che non venga attivata esplicitamente il persistent storage, sebbene sia criptato vi sconsiglio vivamente di usarlo come OS principale o lasciarlo nel disco se il vostro scopo è quello di navigarci sul darkweb.
Questo OS è basato su Debian e il kernel di Tails è ottimizzato per essere un OS di anonimizzazione, molto sicuro verso molti tipi di attacchi ad esempio exploit di buffer overflow.
Chiaramente essendo un sistema operativo ad hoc per questi scopi ci sono molti programmi integrati come KeePassXC (gestore password criptato) o OnionShare per caricare file nella rete onion. Vi consiglio di andarvi a leggere questa discussione dove ho descritto un metodo alternativo per caricare un contenuto nella rete onion creando un vero e proprio dominio.
DOWNLOAD TAILS OS
Ora però vi consiglio un'altra soluzione che richiede più tempo per la configurazione ma è più sicura di Tails OS. Si tratta di Whonix + Qubes OS, due OS molto avanzati nel campo dell'anonimato che se usati correttamente insieme la sicurezza si avvicina veramente al 100%.
Whonix è una distro Linux pensata per garantire l'anonimato grazie a Tor separando la rete e l’ambiente di lavoro un po' come Tails.
Qubes OS invece è un OS basato su Xen Hypervisor che isola ogni attività in una VM dedicata chiamata qube.
In sostanza Whonix gira all’interno di Qubes OS come due VM separate:
sys-whonix (gateway) > fa da router Tor.anon-whonix (la workstation) > l’ambiente dove navighi o lavori.
Ribadisco il fatto che il traffico della workstation è completamente isolato e forzato a passare solo attraverso gateway Tor.
In modo molto riassuntivo e schematico il funzionamento sarà:
| la mia workstation VM |
↓ (senza accesso diretto)
| Whonix gateway VM |
↓
| Rete |
La cosa che fa davvero la differenza è che anche se c'è una vulnerabilità nella workstation (e venisse sfruttata), non potrebbe accedere direttamente alla rete ciò significa che è impossibile rivelare l’IP reale.
DOWNLOAD QUBES OS
In conclusione se li sapete usare entrambi correttamente Whonix su Qubes OS è più sicuro di Tails!!
VPN prima di avviare Tor
Ovviamente la VPN deve essere no-log es. Mullvad, IVPN, ProtonVPN (con Tor bridge) e NordVPN. L'account deve essere creato anonimamente, preferibilmente se pagato in Monero.
Vi consiglio di avviare la VPN fuori da macchina virtuale o USB e verificare l'IP es curl ifconfig.me.
Configurazione Tor a Proxy e Bridge
Usare un proxy SOCKS5 e/o bridge obfs4 è altrettanto importante per aumentare la sicurezza.
Il primo passo è quello di modificare il file torrc (configurazione principale), usato per:
- Configurare proxy SOCKS5
- Usare bridge per aggirare blocchi o mascherare il fatto che stiamo usando Tor.
- pluggable transports (come obfs4, meek, ecc.)
Vi faccio un breve elenco per riuscire a trovare il file torrc in base al vostro OS:
- Linux:
/etc/tor/torrc
- Tor Browser (Linux)
~/TorBrowser/Data/Tor/torrc
- Windows
%APPDATA%\Tor\torrc
- Tails
~/TorBrowser/Data/Tor/torrc
- Whonix
/etc/tor/torrc.d/ (attenzione che usa file .conf separati)
Esempio per modificarlo su Linux: sudo nano /etc/tor/torrc
Esempio di un proxy SOCKS5 locale:
Socks5Proxy 127.0.0.1:9050
Esempio di un proxy HTTP (meno sicuro e senza autenticazione)
HTTPProxy 127.0.0.1:8118
I bridge obfs4 (o altri) solitamente si usano quando Tor è bloccato nel tuo paese o rete o vuoi camuffare il traffico Tor come traffico normale (es https).
Per i bridge basta andare nel sito ufficiale di Tor o inviare un email a bridges@torproject.org con oggetto get bridges (da una email RiseUp o simile).
Esempio:
UseBridges 1
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy
Bridge obfs4 185.220.101.40:443 0123456789ABCDEF0123456789ABCDEF01234567 cert=AbCDe... iat-mode=0
obfs4proxyè un pluggable transport per camuffare il traffico, cert, iat-mode e IP ti vengono forniti dal sito di bridge.
Attenzione che bisogna installarlo sudo apt install obfs4proxy
Se si vuole una ridondanza ricordando le proxychain anche se a mio avviso non cambia molto:
Bridge obfs4 x.x.x.x:xxxx [parametri]
Bridge obfs4 y.y.y.y:yyyy [parametri]
Volendo bridge e proxy si possono combinare, vi faccio un esempio di torrc:
Socks5Proxy 127.0.0.1:9050
UseBridges 1
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy
Bridge obfs4 185.220.101.40:443 ABCDEF1234567890ABCDEF1234567890ABCDEF12 cert=xyz123... iat-mode=0
In questo modo: |la tua VM| > |proxy SOCKS5| > |bridge Tor obfs4| > |rete Tor|
Molto importante prima di svolgere qualsiasi attività (in particolare illecita🙈) di verificare le nostre configurazioni.
Per farlo avviate Tor manualmente tor -f /percorso torrc e visualizziamo i log: su Linux /var/log/tor/log (se configurato), altrimenti tor -f /etc/tor/torrc -l tor.log.
Volendo si può fare un check anche online sempre al sito ufficiale.
Off topic ma può essere utile, quando hai Tor in background puoi forzare qualsiasi comando di rete con torsocks (open-source dal sito ufficiale).
torsocks curl https://check.torproject.org
torsocks ssh user@onion-service.onion
Configurare bene le impostazioni di Tor
Anche se sembra banale è essenziale configurare le impostazioni base di Tor che potete trovare su about:config:
privacy.resistFingerprinting = true
media.peerconnection.enabled = false # disabilita WebRTC
webgl.disabled = true
javascript.enabled = false (opzionale ma consigliato)
Il mio consiglio?
Qubes OS + Whonix, Trezor per gestire le chiavi, air-gapped e proxy bridge privato su Tor!
