ProHoster > Блог > интернет новини > Атака срещу потребители на Tor, която включва една четвърт от мощността на изходните възли

Атака срещу потребители на Tor, която включва една четвърт от мощността на изходните възли

Авторът на проекта OrNetRadar, който следи свързването на нови групи от възли към анонимната мрежа Tor, опубликовал доклад за идентифицирането на основен оператор на злонамерени изходни възли на Tor, който се опитва да манипулира потребителския трафик. Според горната статистика 22 май беше записано връзка към мрежата Tor на голяма група злонамерени възли, в резултат на което атакуващите са получили контрол върху трафика, покривайки 23.95% от всички достъпи през изходните възли.

Атака срещу потребители на Tor, която включва една четвърт от мощността на изходните възли

В пика на своята активност злонамерената група се състоеше от около 380 възела. Чрез асоцииране на възли въз основа на имейлите за контакт, изброени на сървърите със злонамерена дейност, изследователите успяха да идентифицират най-малко 9 различни клъстера от злонамерени изходни възли, активни за около 7 месеца. Разработчиците на Tor се опитаха да блокират злонамерените възли, но нападателите бързо възстановиха активността си. В момента броят на злонамерените възли е намалял, но повече от 10% от трафика все още преминава през тях.

Атака срещу потребители на Tor, която включва една четвърт от мощността на изходните възли

Селективното премахване на пренасочванията се отбелязва от активността, записана на злонамерени изходни възли
на HTTPS версии на сайтове при първоначален достъп до ресурс без криптиране чрез HTTP, което позволява на атакуващите да прихващат съдържанието на сесията, без да заменят TLS сертификати (атака „ssl stripping“). Този подход работи за потребители, които въвеждат адреса на сайта без изрично да посочват "https://" пред домейна и след отваряне на страницата не се фокусират върху името на протокола в адресната лента на Tor Browser. За защита от блокиране на пренасочвания към HTTPS се препоръчва използването на сайтове Предварително зареждане с HSTS.

За да се затрудни откриването на злонамерена дейност, подмяната се извършва избирателно на отделни сайтове, основно свързани с криптовалути. Ако биткойн адрес бъде открит в незащитен трафик, тогава се правят промени в трафика, за да се замени биткойн адресът и да се пренасочи транзакцията към вашия портфейл. Злонамерените възли се хостват от доставчици, които са популярни за хостване на нормални Tor възли, като OVH, Frantech, ServerAstra и Trabia Network.

Източник: opennet.ru

Добавяне на нов коментар