Steeds meer services en websites begeven zich op het darkweb. In 2014 lanceerde Facebook zijn eigen verborgen Tor-service zodat mensen veiliger met het sociale netwerk konden verbinden. Afgelopen jaar creëerde ook de onafhankelijke journalistieke organisatie ProPublica een darkweb-versie van hun site.Nu probeert een veiligheidsexpert nog meer mensen naar Tor te lokken, met een relatief eenvoudige tool die het website-maken vergemakkelijkt. Iedereen is technisch in staat om een darkweb-versie te maken van welke website dan ook.
Advertentie
"Het doel is om het zware werk van website op Onion krijgen te doen, zodat als een organisatie besluit om een .onionsite te maken, negentig procent van het werk al is gedaan," vertelt Alec Muffett, de onafhankelijke veiligheidsexpert die de tool ontwikkelde, aan Motherboard. Normaal zou het opzetten van een darkweb-site technische kennis vereisen over verborgen services en hoe je er eentje moet maken, en een hoop geconfigureer."Ik ben uit op organisaties waar het beoogde publiek risico loopt wanneer ze de content bezoeken – bijvoorbeeld de BBC World Service, technisch wat minder onderlegde activisten en liefdadigheid, dat soort dingen," voegt hij toe.Muffetts ontwerp heet The Enterprise Onion Toolkit (EOTK), een verzameling scripts die binnen no time een verborgen Tor-service genereren en je darkweb-site op weg helpen.In essentie werkt de tool als een verborgen service die als tussenpersoon functioneert voor de bezoeker van de echte site. In het ideale gevaI maken organisaties hun eigen darkweb-versies van sites die ze in eigen beheer hebben, zodat ze hun eigen cryptografische certificaat kunnen gebruiken. Zonder zo'n certificaat moeten gebruikers mogelijk een hoop browser-errors accepteren voordat ze bij de content van de site kunnen."Cleartext HTTP-websites zijn triviaal om te onionficeren, maar alles met een substantiële hoeveelheid SSL zal praktisch onbruikbaar zijn voor de gemiddelde persoon, tenzij de eigenaars van de website de onion-versie accepteren met een SSL-certificaat," zei Muffett.Technisch gezien kan iedereen zo'n darkweb-mirror maken voor elke website, zo is te zien in een demonstratievideo op YouTube. Muffett maakte snel een verborgen Tor-service voor CNN.com. Als een willekeurig persoon de admin is van een darkweb-site, in plaats van de organisatie zelf, kan hij misschien data onderscheppen die naar de darkweb-versie van de site wordt gestuurd, bijvoorbeeld wachtwoorden.Er zijn een aantal redenen waarom een organisatie een darkweb-site wil hebben. In zijn video zegt Muffett dat een kwaadaardige Tor exit-node de mensen die je site bezoeken bespioneert. Verbinding maken over een verborgen service zou hier een einde aan maken. In het geval van ProPublica was het doel om bezoekers een veilige manier te geven om de database te bekijken. Mike Tigas van ProPublica publiceerde een gedetailleerde uitleg van hoe ze de verborgen service lanceerden – hij was ook van grote invloed op zijn EOTK project, zei Muffett."EOTK probeert hetzelfde probleem op te lossen, maar dan beter en voor alle organisaties," voegt hij toe.