Como o OnionShare funciona

Os Web servers são iniciados localmente no seu computador e são acessíveis para outras pessoas como`Tor <https://www.torproject.org/>`_ onion services.

Por padrão, os endereços web do OnionShare são protegidos com uma chave privada.

Os endereços do OnionShare parecem com o seguinte:

http://oy5oaslxxzwib7fsjaiz5mjeyg3ziwdmiyeotpjw6etxi722pn7pqsyd.onion

E as chaves privadas podem parecer com algo assim:

K3N3N3U3BURJW46HZEZV2LZHBPKEFAGVN6DPC7TY6FHWXT7RLRAQ

Você é responsável por compartilhar com segurança essa URL e chave privada utilizando um canal de comunicação de sua escolha como em uma mensagem de bate-papo criptografada, ou utilizando algo menos seguro como e-mail não criptografado, dependendo de seu “modelo de ameaça <https://ssd.eff.org/module/your-security-plan>`_.

As pessoas para as quais você envia o URL, depois deverão copiá-lo e colá-lo em seu Navegador Tor para acessar o serviço OnionShare. O Tor Browser solicitará então a chave privada, que as pessoas também podem então copiar e colar.

_images/private-key.png

Se você executar o OnionShare em seu laptop para enviar arquivos a alguém, e depois o suspender antes que os arquivos sejam enviados, o serviço não estará disponível até que seu laptop fique ativo e na internet novamente. O OnionShare funciona melhor quando se trabalha com pessoas em tempo real.

Porque seu próprio computador é o servidor web, *nenhum terceiro pode acessar o que acontece no OnionShare *, nem mesmo os desenvolvedores do OnionShare. É completamente privado. E porque OnionShare é baseado em serviços Tor onion também, ele também protege seu anonimato. Veja security design para mais informações.

Compartilhar Arquivos

Você pode usar o OnionShare para enviar arquivos e pastas para as pessoas de forma segura e anônima. Abra uma guia de compartilhamento, arraste os arquivos e pastas que deseja compartilhar e clique em “Começar a compartilhar”.

_images/share.png

Depois de adicionar arquivos, você verá algumas configurações. Certifique-se de escolher a configuração na qual está interessado antes de começar a compartilhar.

_images/share-files.png

Assim que alguém terminar de baixar seus arquivos, OnionShare parará automaticamente o servidor, removendo o website da internet. Para permitir que várias pessoas os baixem, desmarque a caixa “Parar de compartilhar após o envio dos arquivos (desmarque para permitir o download de arquivos individuais)”.

Além disso, se você desmarcar esta caixa, as pessoas poderão baixar os arquivos individuais que você compartilha, em vez de uma única versão compactada de todos os arquivos.

Quando estiver pronto para compartilhar, clique no botão “Começar a compartilhar”. Você sempre pode clicar em “Parar de compartilhar” ou sair do OnionShare, tirando o site do ar imediatamente. Você também pode clicar no ícone “↑” no canto superior direito para mostrar o histórico e o progresso das pessoas que baixam seus arquivos.

_images/share-sharing.png

Agora que você tem o OnionShare, copie o endereço e a chave privada e envie-o para a pessoa que você deseja receber os arquivos. Se os arquivos precisarem ficar seguros, ou se a pessoa estiver exposta ao perigo, use um aplicativo de mensagens criptografadas.

Essa pessoa então deve carregar o endereço no Tor Browser. Após o login com a chave privada, os arquivos podem ser baixados diretamente de seu computador, clicando no link “Baixar arquivos”.

_images/share-torbrowser.png

Receber Arquivos e Mensagens

Você pode usar o OnionShare para permitir que as pessoas enviem arquivos e mensagens anonimamente, diretamente ao seu computador, essencialmente transformando-o em uma caixa de depósitos anônima. Abra uma aba de recebimento e escolha as configurações que você deseja.

_images/receive.png

Você pode procurar por uma pasta para salvar as mensagens e os arquivos que são enviados.

Você pode marcar “Desativar envio de texto” se quiser permitir apenas o upload de arquivos, e você pode marcar “Desativar o carregamento de arquivos” se quiser permitir apenas o envio de mensagens de texto, como para um formulário de contato anônimo.

Você pode verificar “Use o webhook de notificação” e então escolher uma URL webhook se você quiser ser notificado quando alguém enviar arquivos ou mensagens para seu serviço OnionShare. Se você usar este recurso, o OnionShare fará um pedido HTTP POST para esta URL sempre que alguém enviar arquivos ou mensagens. Por exemplo, se você quiser obter uma mensagem de texto criptografada no aplicativo de mensagens Keybase, você pode iniciar uma conversa com @webhookbot, digite !webhook create onionshare-alerts`, e ele responderá com uma URL. Use isso como a URL do webhook de notificação. Se alguém carregar um arquivo para seu serviço de modo de recebimento, @webhookbot lhe enviará uma mensagem no Keybase para que você saiba assim que acontecer.

Quando você estiver pronto, clique em “Começar o Modo Recepção”. Isto inicia o serviço OnionShare. Qualquer pessoa que carregue este endereço em seu navegador Tor poderá enviar arquivos e mensagens que serão carregados em seu computador.

_images/receive-sharing.png

Você também pode clicar no ícone “↓” no canto superior direito para mostrar o histórico e o progresso das pessoas que enviam arquivos para você.

Eis como parece a alguém que lhe envia arquivos e mensagens.

_images/receive-torbrowser.png

Quando alguém envia arquivos ou mensagens ao seu serviço de recepção, por padrão eles são salvos em uma pasta chamada “OnionShare” na pasta home do seu computador, automaticamente organizada em subpastas separadas com base no tempo em que os arquivos são carregados.

Configurar um serviço de recebimento OnionShare é útil para jornalistas e outras pessoas que precisam aceitar documentos de fontes anônimas com segurança. Quando usado desta forma, o OnionShare é como uma versão leve, mais simples e não tão segura do SecureDrop <https://securedrop.org/> _, o sistema de envio de denúncias.

Use por sua conta e risco

Assim como com anexos de e-mail maliciosos, é possível que alguém tente atacar seu computador carregando um arquivo malicioso em seu serviço OnionShare. O OnionShare não acrescenta nenhum mecanismo de segurança para proteger seu sistema contra arquivos maliciosos.

Se você receber um documento do Office ou PDF por meio do OnionShare, poderá converter esses documentos em PDFs que podem ser abertos com segurança usando Dangerzone <https://dangerzone.rocks/> _. Você também pode se proteger ao abrir documentos não confiáveis abrindo-os no Tails <https://tails.boum.org/> _ ou no Qubes <https://qubes-os.org/> _ disposableVM.

No entanto, é sempre seguro abrir mensagens de texto enviadas através do OnionShare.

Dicas para executar um serviço de recebimento

Se você quiser hospedar sua própria caixa de depósitos anônima usando OnionShare, é recomendado que você o faça em um computador separado e dedicado, sempre ligado e conectado à Internet, e não naquele que você usa regularmente.

Se você pretende colocar o endereço OnionShare em seu website ou perfis de mídia social, salve a aba (veja Salvar Abas) e execute-o como um serviço público (veja Desligar Chave Privada). Também é uma boa idéia dar-lhe um título personalizado (veja Títulos Personalizados).

Hospedar um site

Para hospedar um site HTML estático com o OnionShare, abra uma guia do site, arraste os arquivos e pastas que compõem o conteúdo estático e clique em “Começar a compartilhar” quando estiver pronto.

_images/website.png

Se você adicionar um arquivo `` index.html``, ele irá renderizar quando alguém carregar o seu site. Você também deve incluir quaisquer outros arquivos HTML, arquivos CSS, arquivos JavaScript e imagens que compõem o site. (Observe que o OnionShare só oferece suporte à hospedagem de sites * estáticos *. Ele não pode hospedar sites que executam códigos ou usam bancos de dados. Portanto, você não pode, por exemplo, usar o WordPress.)

Se você não tiver um arquivo `` index.html``, ele mostrará uma lista de diretórios ao invés, e as pessoas que o carregarem podem olhar os arquivos e baixá-los.

Depois de adicionar arquivos, você verá algumas configurações. Certifique-se de escolher a configuração na qual está interessado antes de começar a compartilhar.

_images/website-files.png

Política de Segurança de Conteúdo

Por padrão, o OnionShare ajuda a proteger seu website, definindo um rígido cabeçalho “Política de Segurança de Conteúdo <https://en.wikipedia.org/wiki/Content_Security_Policy>`. Entretanto, isto impede que o conteúdo de terceiros seja carregado dentro da página da web.

Se você deseja carregar conteúdo de sites de terceiros, como ativos ou bibliotecas JavaScript de CDNs, você tem duas opções:

  • Você pode desativar o envio de um cabeçalho da Política de Segurança de Conteúdo marcando a caixa “Não enviar cabeçalho da Política de Segurança de Conteúdo (permite que seu website use recursos de terceiros)” antes de iniciar o serviço.

  • Você pode enviar um cabeçalho personalizado da Política de Segurança de Conteúdo.

Dicas para executar um serviço de website

Se você quiser hospedar um website de longo prazo usando OnionShare (ou seja, não apenas para mostrar algo rapidamente a alguém), é recomendável que você o faça em um computador separado e dedicado que esteja sempre ligado e conectado à Internet, e não naquele que você usa regularmente. Salve a aba (veja Salvar Abas) para que você possa retomar o site com o mesmo endereço se fechar o OnionShare e poder reabri-lo mais tarde.

Se seu website for destinado ao público, você deve administrá-lo como um serviço público (ver Desligar Chave Privada).

Converse anonimamente

Você pode usar o OnionShare para configurar uma sala de bate-papo privada e segura que não registra nada. Basta abrir uma guia de bate-papo e clicar em “Iniciar um servidor de conversas”.

_images/chat.png

Depois de iniciar o servidor, copie o endereço e a chave privada do OnionShare e envie-os para as pessoas que você quiser na sala de bate-papo anônima. Se for importante limitar exatamente quem pode participar, use um aplicativo de mensagens criptografadas para enviar o endereço e a chave privada do OnionShare.

_images/chat-sharing.png

As pessoas podem entrar na sala de bate-papo carregando seu endereço OnionShare no navegador Tor. A sala de chat requer JavasScript, então todos que desejam participar devem ter seu nível de segurança do navegador Tor definido como “Padrão” ou “Mais seguro”, em vez de ” O Mais seguro”.

Quando alguém entra na sala de chat, recebe um nome aleatório. Eles podem alterar seus nomes digitando um novo nome na caixa no painel esquerdo e pressionando ↵. Como o histórico do bate-papo não é salvo em nenhum lugar, ele não é exibido de forma alguma, mesmo se outras pessoas já estivessem conversando na sala.

_images/chat-torbrowser.png

Em uma sala de chat OnionShare, todos são anônimos. Qualquer pessoa pode alterar seu nome para qualquer coisa e não há como confirmar a identidade de ninguém.

No entanto, se você criar uma sala de bate-papo OnionShare e enviar com segurança o endereço apenas para um pequeno grupo de amigos confiáveis usando mensagens criptografadas, você pode ter uma certeza razoável de que as pessoas que entram na sala de bate-papo são seus amigos.

Como isso é útil?

Se você já precisa estar usando um aplicativo de mensagens criptografadas, para começar, qual é o ponto de uma sala de bate-papo OnionShare? Deixa menos vestígios.

Se você, por exemplo, enviar uma mensagem a um grupo do Signal, uma cópia de sua mensagem ficará em cada dispositivo (os smartphones e os computadores, se eles instalarem o Signal Desktop) de cada membro do grupo. Mesmo que as mensagens efêmeras sejam ativadas, é difícil confirmar que todas as cópias das mensagens são realmente excluídas de todos os dispositivos, e de qualquer outro lugar (como bancos de dados de notificações) para onde elas possam ter sido salvas. As salas de bate-papo no OnionShare não armazenam nenhuma mensagem em nenhum lugar, portanto o problema é reduzido ao mínimo.

As salas de bate-papo do OnionShare também podem ser úteis para pessoas que desejam conversar anonimamente e com segurança com alguém sem a necessidade de criar contas. Por exemplo, uma fonte pode enviar um endereço OnionShare para um jornalista usando um endereço de e-mail descartável e depois esperar que o jornalista entre na sala de bate-papo, tudo sem comprometer seu anonimato.

Como funciona a criptografia?

Como o OnionShare depende dos serviços Tor onion, as conexões entre o Tor Browser e o OnionShare são criptografadas de ponta a ponta (E2EE). Quando alguém posta uma mensagem em uma sala de bate-papo OnionShare, eles a enviam para o servidor por meio da conexão onion E2EE, que a envia para todos os outros membros da sala de bate-papo usando WebSockets, por meio de suas conexões onion E2EE.

OnionShare não implementa nenhuma criptografia de bate-papo por conta própria. Ele depende da criptografia do serviço Tor onion.