Forfatteren af projektet
På toppen af sin aktivitet bestod den ondsindede gruppe af omkring 380 noder. Ved at forbinde noder baseret på kontakt-e-mails, der er opført på serverne, med ondsindet aktivitet, var forskerne i stand til at identificere mindst 9 forskellige klynger af ondsindede exit-knuder, der var aktive i omkring 7 måneder. Tor-udviklerne forsøgte at blokere de ondsindede noder, men angriberne genvandt hurtigt deres aktivitet. I øjeblikket er antallet af ondsindede noder faldet, men mere end 10% af trafikken passerer stadig gennem dem.
Selektiv fjernelse af omdirigeringer noteres fra aktiviteten registreret på ondsindede exit-noder
på HTTPS-varianter af websteder, når de oprindeligt får adgang til en ressource uden kryptering via HTTP, hvilket gør det muligt for angribere at opsnappe sessionsindhold uden at erstatte TLS-certifikater ("ssl-stripping"-angreb). Denne tilgang virker for brugere, der indtaster webstedsadressen uden eksplicit at angive "https://" før domænet, og efter åbning af siden fokuserer de ikke på navnet på protokollen i adresselinjen i Tor Browser. For at beskytte mod blokering af omdirigeringer til HTTPS anbefales det at bruge websteder
For at gøre det vanskeligt at opdage ondsindet aktivitet udføres substitution selektivt på individuelle websteder, hovedsageligt relateret til kryptovalutaer. Hvis en bitcoin-adresse detekteres i usikret trafik, foretages der ændringer i trafikken for at erstatte bitcoin-adressen og omdirigere transaktionen til din tegnebog. Ondsindede noder hostes af udbydere, der er populære til hosting af normale Tor-noder, såsom OVH, Frantech, ServerAstra og Trabia Network.
Kilde: opennet.ru