Come ospitare un servizio nascosto Tor

Cos'è un servizio nascosto Tor

Un servizio nascosto Tor — detto anche servizio onion — è un sito web o un'applicazione raggiungibile soltanto attraverso la rete Tor, a un indirizzo che termina con .onion. A differenza di un sito ordinario, non ha un indirizzo IP pubblico e non è presente nel DNS. I visitatori lo raggiungono tramite Tor, e il percorso della connessione è tale che nessuna delle due parti conosce la posizione o l'IP dell'altra.

Si tratta di un modello diverso e più robusto rispetto al semplice inserimento di un sito normale dietro misure di privacy. Con un servizio onion l'anonimato è integrato nel protocollo: la posizione del server è nascosta per progettazione, non per una configurazione che potrebbe essere sbagliata. Non c'è un indirizzo IP da far trapelare, nessun record DNS da notificare, nessun IP di hosting da scansionare o attaccare. L'indirizzo stesso è derivato da una chiave crittografica, quindi non può essere falsificato. È, in senso reale, la forma più solida di hosting anonimo disponibile.

Perché ospitare un servizio nascosto

I servizi onion sono utilizzati da un'ampia gamma di operatori legittimi: testate giornalistiche che gestiscono canali sicuri per le segnalazioni, i sistemi di invio SecureDrop su cui si affidano i giornalisti, progetti orientati alla privacy che offrono mirror resistenti alla censura, strumenti di messaggistica e condivisione file, e privati che vogliono semplicemente un sito la cui posizione sul server non sia determinabile da nessuno. Grandi organizzazioni — dai principali quotidiani a noti progetti software — gestiscono servizi onion proprio perché sono robusti.

Le ragioni si riducono a tre proprietà. Privacy della posizione: il server non è rintracciabile tramite IP, quindi non può essere geolocalizzato, scansionato o attaccato direttamente. Resistenza alla censura: non esiste un IP o un dominio da bloccare per una rete, quindi il servizio rimane raggiungibile anche dove i siti ordinari sono filtrati. Cifratura end-to-end: il protocollo Tor cifra la connessione per impostazione predefinita, senza alcuna autorità di certificazione coinvolta. Se una di queste proprietà è rilevante per il tuo progetto, vale la pena gestire un servizio nascosto — e questa guida ne costruisce uno.

Cosa serve

I requisiti sono modesti:

• Un VPS. Un servizio onion è leggero; un piano base è sufficiente. Scegliere un VPS offshore senza KYC è importante qui per una ragione specifica spiegata di seguito — l'anonimato del servizio dipende in parte dall'anonimato del server stesso.
• Un'installazione Linux fresca — Debian o Ubuntu per i comandi di questa guida.
• Il Tor Browser sul proprio computer, per raggiungere e testare il servizio completato.

Non è necessario un nome di dominio — l'indirizzo .onion viene generato automaticamente — e non serve un certificato TLS, perché Tor fornisce la cifratura.

Passo 1 — Configurare il server e un servizio web

Provisiona il VPS e connettiti via SSH. Installa tutto ciò che servirà a distribuire i contenuti — per un sito semplice, un server web leggero come nginx, installato con apt install -y nginx, è l'ideale.

Il dettaglio di configurazione fondamentale: associa il server web esclusivamente a localhost. Il servizio web deve essere in ascolto su [redacted-ip], non sull'IP pubblico del server. Tor vi si connetterà localmente; nulla deve raggiungerlo direttamente da internet. Associando il servizio a localhost, anche se la macchina ha un IP pubblico, il sito web non viene erogato su di esso — solo Tor può accedere al contenuto. Verifica che il sito funzioni in locale con un rapido curl [redacted-ip] prima di procedere.

Passo 2 — Installare Tor e configurare il servizio onion

Installa Tor con apt install -y tor. Poi modifica il file di configurazione di Tor, /etc/tor/torrc, per definire il servizio nascosto. Bastano due righe: una direttiva HiddenServiceDir che punta a una directory in cui Tor memorizzerà le chiavi del servizio, e una HiddenServicePort che mappa la porta virtuale 80 sul tuo server web locale — ad esempio HiddenServicePort 80 [redacted-ip].

Riavvia Tor con systemctl restart tor. Al primo avvio, Tor genera la coppia di chiavi crittografiche del servizio nella directory indicata e ne deriva l'indirizzo .onion. Quella directory contiene ora l'identità del tuo servizio — eseguine un backup sicuro e assicurati che sia leggibile solo dall'utente Tor. Chiunque disponga di quelle chiavi può impersonare il tuo servizio; se le perdi, l'indirizzo è perso per sempre.

Passo 3 — Ottenere l'indirizzo .onion e testarlo

Tor scrive l'indirizzo in un file chiamato hostname all'interno della HiddenServiceDir. Leggilo con cat e vedrai un indirizzo di 56 caratteri che termina in .onion — è l'indirizzo pubblico del tuo servizio.

Apri il Tor Browser sul tuo computer, incolla l'indirizzo e caricalo. Il tuo servizio web accessibile solo in locale dovrebbe apparire, distribuito interamente attraverso Tor. La prima connessione può richiedere qualche secondo mentre Tor costruisce il circuito. Fatto — il servizio è attivo, raggiungibile da chiunque usi Tor, e la sua posizione sul server è nascosta a ogni visitatore.

Passo 4 — Mettere in sicurezza il servizio per mantenerlo anonimo

Un servizio onion funzionante non è automaticamente un servizio anonimo. Il protocollo nasconde la posizione del server ai visitatori — ma diversi errori possono vanificare questo. Le pratiche che ne garantiscono l'anonimato:

• Associa tutto a localhost. Verifica nuovamente che il server web, e qualsiasi database o backend, siano in ascolto solo su [redacted-ip]. Un servizio esposto accidentalmente sull'IP pubblico può essere abbinato al sito onion e deanonimizzarlo.
• Rimuovi i contenuti identificativi. Banner del server, pagine di errore predefinite, script di analisi e metadati nei file possono tutti rivelare il server reale o collegarlo ad altri siti. Verifica scrupolosamente cosa invia effettivamente il servizio.
• Amministralo in forma anonima. Accedi al server per l'amministrazione anche tramite Tor — non connetterti mai via SSH direttamente dal tuo IP domestico. Il servizio onion nasconde il server; non vanificare questo con la tua connessione.
• Mantieni il server stesso anonimo. Ecco perché il VPS offshore senza KYC è importante: se il servizio venisse mai correlato al suo host nonostante le precauzioni, l'host dovrebbe essere un provider che non detiene alcuna identità per l'account e non conserva log. Il servizio nascosto e il server anonimo si rafforzano a vicenda.
• Disabilita tutto ciò che comunica verso l'esterno. Il software che effettua connessioni in uscita — notifiche di aggiornamento, font esterni, API di terze parti — può rivelare il server. Mantieni il servizio autosufficiente.

Servizio nascosto, clearnet, o entrambi

Non devi necessariamente scegliere in modo esclusivo. Esistono tre configurazioni sensate. Un sito solo servizio nascosto è il più privato — nessuna presenza clearnet, ideale per un canale di segnalazioni o un servizio che non deve essere localizzabile. Un sito clearnet con mirror onion serve un pubblico ordinario normalmente, offrendo al contempo un percorso resistente alla censura e privato per chi lo desidera — è quello che fanno le grandi testate giornalistiche. E un sito solo clearnet, trattato nella nostra guida sull'hosting anonimo di siti web, è più semplice quando la privacy della posizione a livello di protocollo non è necessaria.

Per il massimo anonimato, solo servizio nascosto su un VPS offshore senza KYC è la risposta: il server non ha un'identità associata, il servizio non ha un IP da trovare, e il tutto è raggiungibile da chiunque usi Tor e da nessuno può essere localizzato. Configurato con le pratiche descritte sopra, è un hosting genuinamente anonimo — non come affermazione di marketing, ma come proprietà del protocollo.