Layihənin müəllifi Tor anonim şəbəkəsinə yeni qovşaq qruplarının qoşulmasına nəzarət edən , istifadəçi trafikini manipulyasiya etməyə çalışan zərərli Tor çıxış qovşaqlarının əsas operatorunun müəyyən edilməsi haqqında hesabat. Yuxarıdakı statistik məlumatlara görə, mayın 22-i olub zərərli qovşaqların böyük bir qrupunun Tor şəbəkəsinə qoşulması, bunun nəticəsində təcavüzkarlar çıxış qovşaqları vasitəsilə bütün girişlərin 23.95%-ni əhatə edən trafik üzərində nəzarəti əldə ediblər.
Fəaliyyətinin zirvəsində zərərli qrup təxminən 380 qovşaqdan ibarət idi. Tədqiqatçılar serverlərdə qeyd olunan əlaqə e-poçtlarına əsaslanan qovşaqları zərərli fəaliyyətlə əlaqələndirərək, təxminən 9 ay ərzində aktiv olan ən azı 7 müxtəlif zərərli çıxış qovşaqlarını müəyyən edə biliblər. Tor tərtibatçıları zərərli qovşaqları bloklamağa çalışdılar, lakin təcavüzkarlar tez bir zamanda aktivliklərini bərpa etdilər. Hazırda zərərli qovşaqların sayı azalıb, lakin trafikin 10%-dən çoxu hələ də onlardan keçir.
Zərərli çıxış qovşaqlarında qeydə alınan fəaliyyətdən yönləndirmələrin seçmə silinməsi qeyd olunur
HTTP vasitəsilə şifrələmədən resursa ilkin daxil olduqda saytların HTTPS versiyalarında, bu, təcavüzkarlara TLS sertifikatlarını əvəz etmədən sessiya məzmununu ələ keçirməyə imkan verir (“ssl stripping” hücumu). Bu yanaşma saytın ünvanını domenin qarşısında açıq şəkildə “https://” qeyd etmədən yazan və səhifəni açdıqdan sonra Tor Brauzerinin ünvan çubuğunda protokolun adına diqqət yetirməyən istifadəçilər üçün işləyir. HTTPS-ə yönləndirmələrin bloklanmasından qorunmaq üçün saytlardan istifadə etmək tövsiyə olunur .
Zərərli fəaliyyətin aşkarlanmasını çətinləşdirmək üçün əvəzetmə əsasən kriptovalyutalarla əlaqəli ayrı-ayrı saytlarda seçmə şəkildə həyata keçirilir. Təminatsız trafikdə bitkoin ünvanı aşkar edilərsə, o zaman bitcoin ünvanını əvəz etmək və əməliyyatı pul kisəsinə yönləndirmək üçün trafikə dəyişikliklər edilir. Zərərli qovşaqlar OVH, Frantech, ServerAstra və Trabia Network kimi normal Tor qovşaqlarını yerləşdirmək üçün məşhur olan provayderlər tərəfindən yerləşdirilir.
Mənbə: opennet.ru