O OnionShare é um programa de código aberto que permite aos utilizadores enviar e receber ficheiros, alojar sítios Web ou conversar anonimamente utilizando a rede Tor. O OnionShare executa serviços localmente no computador de um utilizador e, em seguida, disponibiliza-os a outros utilizando os Serviços Onion.
Por predefinição, os endereços Web do OnionShare estão protegidos com uma palavra-passe aleatória. Um endereço OnionShare típico pode ter o seguinte aspeto:
http://wavqqa7xslpew5q.onion/renewal-mongoose - para a versão 1.3.2
http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion - para a versão 2.3.2
O utilizador é responsável por partilhar de forma segura esse URL utilizando um canal de comunicação à sua escolha, como uma mensagem de chat encriptada, ou utilizando algo menos seguro, como um e-mail não encriptado, dependendo do seu modelo de ameaça. As pessoas a quem envia o URL copiam e colam-no no seu navegador Tor para aceder ao serviço OnionShare.
Como o seu próprio computador é o servidor web, nenhum terceiro pode aceder a nada do que acontece no OnionShare, nem mesmo os criadores do OnionShare. É completamente privado. E como o OnionShare também se baseia nos serviços Tor onion, também protege o seu anonimato.
A versão 1.3.2 do OnionShare é instalada por defeito nos sistemas Whonix e Tails. Esta versão apenas permite a partilha de ficheiros. A versão mais recente é a 2.3.2. Para além de partilhar ficheiros, permite receber ficheiros, alojar um site e organizar conversas anónimas. Esta versão está disponível para Windows / Mac / Linux. Vejamos como funcionam as duas versões.
Na versão 2.3.2, é necessário abrir o separador Partilhar ficheiros.
Os seguintes parâmetros podem ser úteis nas definições do programa:
1. "Parar a partilha após o primeiro download". Se desativar esta opção, os ficheiros podem ser descarregados um número ilimitado de vezes e estarão disponíveis enquanto a janela do programa estiver aberta. Na versão 2.3.2, a opção chama-se "Parar a partilha depois de os ficheiros terem sido enviados" e se estiver desactivada, os destinatários poderão descarregar ficheiros individuais em vez de um arquivo grande.
2. "Utilizar temporizador de paragem automática". Ao ativar esta opção, pode definir a data e a hora em que os ficheiros serão automaticamente eliminados.
3. Na versão 2.3.2, é possível partilhar ficheiros a todo o momento e estes estarão disponíveis a partir do momento em que iniciar o programa. Para tal, é necessário ativar a opção "Guardar este separador e abri-lo automaticamente quando abrir o OnionShare".
Todas as funções subsequentes estão disponíveis apenas na versão 2.3.2.
Pode recusar o envio de mensagens se apenas pretender receber ficheiros, seleccionando a opção correspondente. Ou não permitir o carregamento de ficheiros se apenas pretender trocar mensagens. Desta forma, por exemplo, pode criar um formulário anónimo para comunicação.
Também é possível configurar o envio de notificações se alguém lhe enviar ficheiros. Isto é feito usando a opção "Use notification webhook". Quando ligado, o OnionShare enviará um pedido HTTP POST para o URL especificado quando alguém descarregar ficheiros ou enviar uma mensagem.
Para iniciar o serviço OnionShare e começar a receber ficheiros, basta clicar no botão "Start Receive Mode". Qualquer pessoa que carregue este endereço no seu navegador Tor poderá enviar ficheiros para o seu computador. Você também pode clicar no ícone "↓" para baixo no canto superior direito para mostrar o histórico e o progresso das pessoas que estão enviando arquivos para você.
Quando alguém envia arquivos para o seu serviço de receção, por padrão, eles são salvos em uma pasta chamada OnionShare na pasta inicial do seu computador, organizados automaticamente em subpastas separadas com base na hora em que os arquivos são enviados.
Se precisar de alojar o seu próprio correio eletrónico anónimo para receber documentos, recomenda-se que o faça utilizando um computador separado, permanentemente ligado, que não seja utilizado para o trabalho normal.
Como proteção ao trabalhar com documentos suspeitos, pode usar o Tails OS, bem como trabalhar dentro da máquina virtual Qubes ou Whonix.
No entanto, é sempre seguro abrir mensagens enviadas através do OnionShare.
Se adicionar um ficheiro index.html, este será apresentado quando alguém carregar o seu sítio Web. Também deve incluir quaisquer outros ficheiros HTML, ficheiros CSS, ficheiros JavaScript e imagens que compõem o sítio Web.
Note que o OnionShare apenas suporta o alojamento de sites estáticos. Ele não pode hospedar sites que executam código ou usam bancos de dados. Assim, não pode, por exemplo, utilizar o WordPress. Se não tiver um ficheiro index.html, mostrará uma listagem de directórios e as pessoas que o carregarem podem ver os ficheiros e descarregá-los.
Por predefinição, o OnionShare ajuda a proteger o seu sítio web definindo um cabeçalho Content Security Police rigoroso. No entanto, isto impede que conteúdos de terceiros sejam carregados dentro da página web.
Se pretender carregar conteúdos de sítios Web de terceiros, como activos ou bibliotecas JavaScript de CDNs, marque a caixa "Não enviar cabeçalho da Política de Segurança de Conteúdos (permite que o seu sítio Web utilize recursos de terceiros)" antes de iniciar o serviço.
Se pretender alojar um sítio Web de longa duração utilizando o OnionShare (ou seja, não algo para mostrar rapidamente algo a alguém), recomenda-se que o faça num computador separado e dedicado, sempre ligado e conectado à Internet, e não no computador que utiliza regularmente. Guarde o separador (ver Guardar Separadores) para poder retomar o site com o mesmo endereço se fechar o OnionShare e voltar a abri-lo mais tarde. Se o seu sítio Web se destina ao público, deve geri-lo como um serviço público (opção Não utilizar palavras-passe).
Quando alguém se junta à sala de chat, é-lhe atribuído um nome aleatório. Podem alterar o seu nome escrevendo um novo nome na caixa do painel esquerdo e premindo Enter. Uma vez que o histórico de conversação não é guardado em lado nenhum, não é apresentado de todo, mesmo que outras pessoas já estejam a conversar na sala. Numa sala de conversação OnionShare, todos são anónimos. Qualquer pessoa pode mudar o seu nome para qualquer coisa e não há forma de confirmar a identidade de ninguém.
No entanto, se criar uma sala de conversação OnionShare e enviar o endereço de forma segura apenas para um pequeno grupo de pessoas de confiança usando mensagens encriptadas, pode ter a certeza de que as pessoas que entram na sala de conversação são as que quer que lá estejam.
Mas qual é a utilidade das salas de conversação OnionShare quando já temos aplicações de mensagens com a opção de conversação encriptada? O facto é que o OnionShare não deixa vestígios.
Se, por exemplo, enviar uma mensagem para um grupo do Signal ou do Telegram, uma cópia da sua mensagem vai parar a cada dispositivo (os dispositivos e os computadores, se tiverem configurado o Signal ou o Telegram Desktop) de cada membro do grupo. Mesmo que a opção de desaparecimento de mensagens esteja activada, é difícil confirmar que todas as cópias das mensagens são realmente apagadas de todos os dispositivos e de quaisquer outros locais (como bases de dados de notificações) onde possam ter sido guardadas. As salas de bate-papo do OnionShare não armazenam nenhuma mensagem em nenhum lugar, então o problema é reduzido ao mínimo.
As salas de conversação do OnionShare também podem ser úteis para pessoas que desejam conversar anonimamente e com segurança com alguém sem precisar de criar contas. Por exemplo, uma loja pode contactar um empregado: enviar um endereço OnionShare utilizando um endereço de correio eletrónico descartável e depois esperar que o jornalista entre na sala de conversação, tudo isto sem comprometer o seu anonimato.
Por defeito, todos os serviços OnionShare estão protegidos com o nome de utilizador onionshare e uma palavra-passe gerada aleatoriamente. Se alguém tentar adivinhar a senha 20 vezes, seu serviço onion é automaticamente interrompido para evitar um ataque de força bruta contra o serviço OnionShare. Por vezes, pode querer que o seu serviço OnionShare esteja acessível ao público, por exemplo, se quiser configurar um serviço de receção OnionShare, para que o público possa enviar-lhe ficheiros de forma segura e anónima. Neste caso, recomenda-se que desactive a palavra-passe seleccionando a opção "Don't use a password".
Por predefinição, quando as pessoas abrem a página OnionShare no browser Tor, vêem o nome do serviço predefinido. Por exemplo, o título padrão do chat é "OnionShare Chat". Se quiser especificar o seu próprio título para o serviço, utilize a definição "Título personalizado" antes de iniciar o serviço.
1. Você pode usar a versão do Tor que vem com o OnionShare. Esta é a maneira mais simples, mais confiável e padrão de conectar o OnionShare à rede Tor, e é recomendada para a maioria dos usuários.
2. Se o navegador Tor já estiver instalado no seu computador e você preferir não iniciar um segundo processador paralelo, você pode usar o processador associado ao navegador Tor. Para isso, é necessário que o navegador Tor esteja em execução em segundo plano durante todo o tempo de uso do OnionShare.
3. Usando o processo de sistema tor. A configuração requer habilidades relativamente avançadas, como editar arquivos de configuração e administrar o sistema operacional. No OS Tails e no Whonix, o OnionShare é configurado desta forma.
Você pode usar os transportes plugáveis obfs4 embutidos, os transportes plugáveis meek_lite (Azure) embutidos, ou pontes personalizadas, que você pode obter do BridgeDB do Tor. Se você precisa usar uma ponte, tente as embutidas no obfs4 primeiro.
Por predefinição, os endereços Web do OnionShare estão protegidos com uma palavra-passe aleatória. Um endereço OnionShare típico pode ter o seguinte aspeto:
http://wavqqa7xslpew5q.onion/renewal-mongoose - para a versão 1.3.2
http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion - para a versão 2.3.2
O utilizador é responsável por partilhar de forma segura esse URL utilizando um canal de comunicação à sua escolha, como uma mensagem de chat encriptada, ou utilizando algo menos seguro, como um e-mail não encriptado, dependendo do seu modelo de ameaça. As pessoas a quem envia o URL copiam e colam-no no seu navegador Tor para aceder ao serviço OnionShare.
Como o seu próprio computador é o servidor web, nenhum terceiro pode aceder a nada do que acontece no OnionShare, nem mesmo os criadores do OnionShare. É completamente privado. E como o OnionShare também se baseia nos serviços Tor onion, também protege o seu anonimato.
A versão 1.3.2 do OnionShare é instalada por defeito nos sistemas Whonix e Tails. Esta versão apenas permite a partilha de ficheiros. A versão mais recente é a 2.3.2. Para além de partilhar ficheiros, permite receber ficheiros, alojar um site e organizar conversas anónimas. Esta versão está disponível para Windows / Mac / Linux. Vejamos como funcionam as duas versões.
Envio de ficheiros.
Para enviar ficheiros ou pastas de forma anónima e segura a outras pessoas, é necessário arrastá-los para a janela aberta do programa OnionShare ou adicioná-los utilizando o botão "Add" e, em seguida, clicar no botão "Start Sharing". Depois disso, será gerado um link único que pode ser enviado para o destinatário. O link só pode ser aberto através do Navegador Tor, e o destinatário irá segui-lo até à página onde pode descarregar o arquivo com os ficheiros. Após um download bem sucedido, a página e os ficheiros são eliminados.Na versão 2.3.2, é necessário abrir o separador Partilhar ficheiros.
Os seguintes parâmetros podem ser úteis nas definições do programa:
1. "Parar a partilha após o primeiro download". Se desativar esta opção, os ficheiros podem ser descarregados um número ilimitado de vezes e estarão disponíveis enquanto a janela do programa estiver aberta. Na versão 2.3.2, a opção chama-se "Parar a partilha depois de os ficheiros terem sido enviados" e se estiver desactivada, os destinatários poderão descarregar ficheiros individuais em vez de um arquivo grande.
2. "Utilizar temporizador de paragem automática". Ao ativar esta opção, pode definir a data e a hora em que os ficheiros serão automaticamente eliminados.
3. Na versão 2.3.2, é possível partilhar ficheiros a todo o momento e estes estarão disponíveis a partir do momento em que iniciar o programa. Para tal, é necessário ativar a opção "Guardar este separador e abri-lo automaticamente quando abrir o OnionShare".
Todas as funções subsequentes estão disponíveis apenas na versão 2.3.2.
Receber ficheiros.
Pode usar o OnionShare para permitir que as pessoas carreguem anonimamente ficheiros diretamente para o seu computador, transformando-o essencialmente numa dropbox anónima. Abra um "separador Receber" e defina as definições desejadas. Pode escolher onde quer guardar os ficheiros e as mensagens que recebe.Pode recusar o envio de mensagens se apenas pretender receber ficheiros, seleccionando a opção correspondente. Ou não permitir o carregamento de ficheiros se apenas pretender trocar mensagens. Desta forma, por exemplo, pode criar um formulário anónimo para comunicação.
Também é possível configurar o envio de notificações se alguém lhe enviar ficheiros. Isto é feito usando a opção "Use notification webhook". Quando ligado, o OnionShare enviará um pedido HTTP POST para o URL especificado quando alguém descarregar ficheiros ou enviar uma mensagem.
Para iniciar o serviço OnionShare e começar a receber ficheiros, basta clicar no botão "Start Receive Mode". Qualquer pessoa que carregue este endereço no seu navegador Tor poderá enviar ficheiros para o seu computador. Você também pode clicar no ícone "↓" para baixo no canto superior direito para mostrar o histórico e o progresso das pessoas que estão enviando arquivos para você.
Quando alguém envia arquivos para o seu serviço de receção, por padrão, eles são salvos em uma pasta chamada OnionShare na pasta inicial do seu computador, organizados automaticamente em subpastas separadas com base na hora em que os arquivos são enviados.
Se precisar de alojar o seu próprio correio eletrónico anónimo para receber documentos, recomenda-se que o faça utilizando um computador separado, permanentemente ligado, que não seja utilizado para o trabalho normal.
Riscos possíveis.
Tal como acontece com os anexos de e-mail maliciosos, é possível que alguém tente atacar o seu computador carregando um ficheiro malicioso no seu serviço OnionShare. O OnionShare não adiciona quaisquer mecanismos de segurança para proteger o seu sistema de ficheiros maliciosos.Como proteção ao trabalhar com documentos suspeitos, pode usar o Tails OS, bem como trabalhar dentro da máquina virtual Qubes ou Whonix.
No entanto, é sempre seguro abrir mensagens enviadas através do OnionShare.
Alojamento de sítios Web.
Para alojar um site HTML estático com o OnionShare, abra um separador de site, arraste para lá os ficheiros e pastas que compõem o conteúdo estático e clique em "Iniciar partilha" quando estiver pronto.Se adicionar um ficheiro index.html, este será apresentado quando alguém carregar o seu sítio Web. Também deve incluir quaisquer outros ficheiros HTML, ficheiros CSS, ficheiros JavaScript e imagens que compõem o sítio Web.
Note que o OnionShare apenas suporta o alojamento de sites estáticos. Ele não pode hospedar sites que executam código ou usam bancos de dados. Assim, não pode, por exemplo, utilizar o WordPress. Se não tiver um ficheiro index.html, mostrará uma listagem de directórios e as pessoas que o carregarem podem ver os ficheiros e descarregá-los.
Por predefinição, o OnionShare ajuda a proteger o seu sítio web definindo um cabeçalho Content Security Police rigoroso. No entanto, isto impede que conteúdos de terceiros sejam carregados dentro da página web.
Se pretender carregar conteúdos de sítios Web de terceiros, como activos ou bibliotecas JavaScript de CDNs, marque a caixa "Não enviar cabeçalho da Política de Segurança de Conteúdos (permite que o seu sítio Web utilize recursos de terceiros)" antes de iniciar o serviço.
Se pretender alojar um sítio Web de longa duração utilizando o OnionShare (ou seja, não algo para mostrar rapidamente algo a alguém), recomenda-se que o faça num computador separado e dedicado, sempre ligado e conectado à Internet, e não no computador que utiliza regularmente. Guarde o separador (ver Guardar Separadores) para poder retomar o site com o mesmo endereço se fechar o OnionShare e voltar a abri-lo mais tarde. Se o seu sítio Web se destina ao público, deve geri-lo como um serviço público (opção Não utilizar palavras-passe).
Conversa anónima.
Pode utilizar o OnionShare para criar uma sala de conversação privada e segura que não regista nada. Basta abrir um separador de chat e clicar em "Start chat server" (Iniciar servidor de chat). Depois de iniciar o servidor, copie o endereço OnionShare e envie-o para as pessoas com quem está a planear conversar. Se for importante limitar exatamente quem pode entrar, utilize uma aplicação de mensagens encriptadas para enviar o endereço OnionShare. As pessoas podem entrar na sala de chat carregando o seu endereço OnionShare no Navegador Tor. A sala de bate-papo requer JavaScript, portanto, todos que quiserem participar devem ter o nível de segurança do Navegador Tor definido como "Padrão" ou "Mais seguro", em vez de "Mais seguro".Quando alguém se junta à sala de chat, é-lhe atribuído um nome aleatório. Podem alterar o seu nome escrevendo um novo nome na caixa do painel esquerdo e premindo Enter. Uma vez que o histórico de conversação não é guardado em lado nenhum, não é apresentado de todo, mesmo que outras pessoas já estejam a conversar na sala. Numa sala de conversação OnionShare, todos são anónimos. Qualquer pessoa pode mudar o seu nome para qualquer coisa e não há forma de confirmar a identidade de ninguém.
No entanto, se criar uma sala de conversação OnionShare e enviar o endereço de forma segura apenas para um pequeno grupo de pessoas de confiança usando mensagens encriptadas, pode ter a certeza de que as pessoas que entram na sala de conversação são as que quer que lá estejam.
Mas qual é a utilidade das salas de conversação OnionShare quando já temos aplicações de mensagens com a opção de conversação encriptada? O facto é que o OnionShare não deixa vestígios.
Se, por exemplo, enviar uma mensagem para um grupo do Signal ou do Telegram, uma cópia da sua mensagem vai parar a cada dispositivo (os dispositivos e os computadores, se tiverem configurado o Signal ou o Telegram Desktop) de cada membro do grupo. Mesmo que a opção de desaparecimento de mensagens esteja activada, é difícil confirmar que todas as cópias das mensagens são realmente apagadas de todos os dispositivos e de quaisquer outros locais (como bases de dados de notificações) onde possam ter sido guardadas. As salas de bate-papo do OnionShare não armazenam nenhuma mensagem em nenhum lugar, então o problema é reduzido ao mínimo.
As salas de conversação do OnionShare também podem ser úteis para pessoas que desejam conversar anonimamente e com segurança com alguém sem precisar de criar contas. Por exemplo, uma loja pode contactar um empregado: enviar um endereço OnionShare utilizando um endereço de correio eletrónico descartável e depois esperar que o jornalista entre na sala de conversação, tudo isto sem comprometer o seu anonimato.
Como funciona a encriptação?
Como o OnionShare se baseia nos serviços Tor onion, as conexões entre o Navegador Tor e o OnionShare são todas criptografadas de ponta a ponta (E2EE). Quando alguém coloca uma mensagem numa sala de chat do OnionShare, envia-a para o servidor através da ligação E2EE onion, que depois a envia para todos os outros membros da sala de chat usando WebSockets, através das suas ligações E2EE onion. O OnionShare não implementa qualquer encriptação de chat por si próprio. Em vez disso, baseia-se na encriptação do serviço Tor onion.Algumas características avançadas.
Pode tornar qualquer serviço OnionShare persistente. Por exemplo, pode alojar um sítio Web que terá o mesmo endereço mesmo depois de reiniciar o seu PC. Para isso, seleccione a opção "Guardar este separador e abri-lo automaticamente quando abrir o OnionShare".Por defeito, todos os serviços OnionShare estão protegidos com o nome de utilizador onionshare e uma palavra-passe gerada aleatoriamente. Se alguém tentar adivinhar a senha 20 vezes, seu serviço onion é automaticamente interrompido para evitar um ataque de força bruta contra o serviço OnionShare. Por vezes, pode querer que o seu serviço OnionShare esteja acessível ao público, por exemplo, se quiser configurar um serviço de receção OnionShare, para que o público possa enviar-lhe ficheiros de forma segura e anónima. Neste caso, recomenda-se que desactive a palavra-passe seleccionando a opção "Don't use a password".
Por predefinição, quando as pessoas abrem a página OnionShare no browser Tor, vêem o nome do serviço predefinido. Por exemplo, o título padrão do chat é "OnionShare Chat". Se quiser especificar o seu próprio título para o serviço, utilize a definição "Título personalizado" antes de iniciar o serviço.
Ligar ao Tor.
Escolha uma maneira de conectar o OnionShare ao Tor clicando no ícone "⚙" no canto inferior direito da janela do OnionShare para acessar suas configurações.1. Você pode usar a versão do Tor que vem com o OnionShare. Esta é a maneira mais simples, mais confiável e padrão de conectar o OnionShare à rede Tor, e é recomendada para a maioria dos usuários.
2. Se o navegador Tor já estiver instalado no seu computador e você preferir não iniciar um segundo processador paralelo, você pode usar o processador associado ao navegador Tor. Para isso, é necessário que o navegador Tor esteja em execução em segundo plano durante todo o tempo de uso do OnionShare.
3. Usando o processo de sistema tor. A configuração requer habilidades relativamente avançadas, como editar arquivos de configuração e administrar o sistema operacional. No OS Tails e no Whonix, o OnionShare é configurado desta forma.
Usando as pontes Tor.
Se o seu acesso à Internet for censurado, você pode configurar o OnionShare para se conectar à rede Tor usando pontes Tor. Se o OnionShare se conecta ao Tor sem uma, não é necessário usar uma ponte. Para configurar as pontes, clique no ícone "⚙" no OnionShare.Você pode usar os transportes plugáveis obfs4 embutidos, os transportes plugáveis meek_lite (Azure) embutidos, ou pontes personalizadas, que você pode obter do BridgeDB do Tor. Se você precisa usar uma ponte, tente as embutidas no obfs4 primeiro.
Last edited by a moderator: