Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/11/2014
Facebook ofrece soporte a los usuarios de Tor
Con el fin de solucionar muchos de los problemas de accesibilidad que tenían los usuarios que accedían a través de la red Tor, Facebook contará con una URL en el dominio .onion
Más concretamente, lo que pretenden es hacerle la vida más sencilla a los que se quieran conectar a Facebook a través de Tor (lo común que sea este caso de uso ya es otra discusión). Por ejemplo, con Tor no es raro que tu puerta de salida a Internet pase de estar en Estados Unidos a estar en un nodo de Australia en un momento. Normalmente eso sería indicativo de que está pasando algo malo y alguien está intentando entrar en tu cuenta de Facebook, y probablemente te pediría verificar tu cuenta por si acaso. A través de la conexión específica de Tor eso no te pasaría.
Y es que realmente no hay muchos más argumentos para hacer esto. Primero, que esto sólo tiene sentido cuando te quieres librar de la censura de tu proveedor de Internet / Gobierno, porque no creo que nadie tratando de ocultar su identidad use Facebook para comunicarse. En este caso, una VPN sirve para lo mismo y suele ser más rápida.
Además, si ya de por sí Tor es lento para navegar por Internet, imaginaos cuando navegamos a un servicio oculto de Tor: acceder a Facebook a través de facebookcorewwwi.onion podría ser bastante desesperante. Y por último, no parece que este enfoque aporte seguridad adicional a usar Tor + conexión segura a Facebook a través de Internet.
Lo más interesante de esto no es lo que han hecho, sino cómo lo han hecho. Por ejemplo, algo que comentan en el hilo de Hacker News: la URL que han conseguido los de Facebook. Normalmente, las direcciones de servicios ocultos de Tor son aleatorias, generadas a partir de la clave RSA del servidor.
Sin embargo, se pueden usar programas como Shallot o Scallion para generar direcciones .onion que empiecen con ciertas letras. En este caso, Facebook ha logrado usar fuerza bruta para encontrar direcciones que empiecen por facebook y han tenido la inmensa suerte de encontrarfacebookcorewwwi.
También es curioso ver cómo han asegurado la propiedad de su dominio usando un certificado SSL, aprovechando un campo de "dominios alternativos" y metiendo ahí el dominio facebookcorewww.onion, que no necesita ser validado.