ProHoster > Blog > nutizie internet > Un attaccu à l'utilizatori di Tor chì implica un quartu di u putere di i nodi di uscita

Un attaccu à l'utilizatori di Tor chì implica un quartu di u putere di i nodi di uscita

Autore di u prugettu OrNetRadar, chì monitorizza a cunnessione di novi gruppi di nodi à a reta Tor anonima, publicatu rapportu chì identificanu un operatore maiò di nodi di uscita Tor maliziusi chì prova di manipulà u trafficu di l'utilizatori. Sicondu e statistiche sopra, u 22 di maghju era arregistratu cunnessione à a reta Tor di un grande gruppu di nodi maliziusi, cum'è u risultatu di quale l'attaccanti hà acquistatu u cuntrollu di u trafficu, chì copre u 23.95% di tutte e dumande attraversu i nodi di uscita.

Un attaccu à l'utilizatori di Tor chì implica un quartu di u putere di i nodi di uscita

À u piccu di a so attività, u gruppu maliziusi era custituitu da circa 380 nodi. Liendu i nodi basati nantu à e-mail di cuntattu specificati nantu à i servitori cù attività maliciosa, i circadori anu pussutu identificà almenu 9 clusters differenti di nodi di uscita maliziusi chì sò stati attivi per circa 7 mesi. I sviluppatori di Tor anu pruvatu à bluccà i nodi maliziusi, ma l'attaccanti ripiglianu rapidamente a so attività. Attualmente, u numeru di nodi maliziusi hè diminuitu, ma più di 10% di u trafficu passa ancu per elli.

Un attaccu à l'utilizatori di Tor chì implica un quartu di u putere di i nodi di uscita

A rimozione selettiva di redirezzione hè nutata da l'attività registrata nantu à i nodi di uscita maliziusi
à versioni HTTPS di i siti quandu accede inizialmente à una risorsa senza criptografia via HTTP, chì permette à l'attaccanti d'interceptà u cuntenutu di e sessioni senza rimpiazzà i certificati TLS (attaccu "ssl stripping"). Stu approcciu travaglia per l'utilizatori chì scrivite l'indirizzu di u situ senza specificamente esplicitamente "https://" prima di u duminiu è, dopu avè apertu a pagina, ùn fate micca focu annantu à u nome di u protokollu in a barra di indirizzu Tor Browser. Per pruteggiri contru à bluccà redirects à HTTPS, i siti sò cunsigliatu à aduprà Precaricamentu HSTS.

Per fà difficiuli di identificà l'attività maliciosa, a sustituzione hè realizata selettivamente nantu à i siti individuali, principarmenti ligati à criptu di munita. Se un indirizzu bitcoin hè rilevatu in u trafficu senza prutezzione, i cambiamenti sò fatti à u trafficu per rimpiazzà l'indirizzu bitcoin è redirige a transazzione à a vostra billetera. I nodi maliziusi sò ospitati da i fornituri chì sò populari per l'ospitu di i nodi Tor normali, cum'è OVH, Frantech, ServerAstra è Trabia Network.

Source: opennet.ru

Add a comment