Autor des Projekts , das die Verbindung neuer Knotengruppen zum anonymen Tor-Netzwerk überwacht, Bericht, in dem ein großer Betreiber bösartiger Tor-Exit-Knoten identifiziert wird, der versucht, den Benutzerverkehr zu manipulieren. Den oben genannten Statistiken zufolge war es der 22. Mai Verbindung einer großen Gruppe bösartiger Knoten mit dem Tor-Netzwerk, wodurch die Angreifer die Kontrolle über den Datenverkehr erlangten und 23.95 % aller Anfragen über Exit-Knoten abdeckten.
Auf dem Höhepunkt ihrer Aktivität bestand die bösartige Gruppe aus etwa 380 Knoten. Durch die Verknüpfung von Knoten basierend auf Kontakt-E-Mails, die auf Servern mit böswilliger Aktivität angegeben wurden, konnten die Forscher mindestens neun verschiedene Cluster bösartiger Exit-Knoten identifizieren, die seit etwa sieben Monaten aktiv waren. Tor-Entwickler versuchten, bösartige Knoten zu blockieren, doch die Angreifer nahmen ihre Aktivitäten schnell wieder auf. Derzeit ist die Zahl der bösartigen Knoten zurückgegangen, aber mehr als 9 % des Datenverkehrs werden immer noch über sie geleitet.
Die selektive Entfernung von Weiterleitungen wird anhand der auf böswilligen Exit-Knoten aufgezeichneten Aktivitäten festgestellt
zu HTTPS-Versionen von Websites, wenn zunächst ohne Verschlüsselung über HTTP auf eine Ressource zugegriffen wird, was es Angreifern ermöglicht, den Inhalt von Sitzungen abzufangen, ohne TLS-Zertifikate zu ersetzen („SSL-Stripping“-Angriff). Dieser Ansatz funktioniert für Benutzer, die die Site-Adresse eingeben, ohne explizit „https://“ vor der Domain anzugeben, und sich nach dem Öffnen der Seite nicht auf den Namen des Protokolls in der Adressleiste des Tor-Browsers konzentrieren. Zum Schutz vor der Blockierung von Weiterleitungen zu HTTPS wird die Verwendung von Websites empfohlen .
Um die Erkennung bösartiger Aktivitäten zu erschweren, wird die Ersetzung selektiv auf einzelnen Websites durchgeführt, hauptsächlich im Zusammenhang mit Kryptowährungen. Wenn im ungeschützten Datenverkehr eine Bitcoin-Adresse erkannt wird, werden Änderungen am Datenverkehr vorgenommen, um die Bitcoin-Adresse zu ersetzen und die Transaktion an Ihr Wallet umzuleiten. Schädliche Knoten werden von Anbietern gehostet, die für das Hosten normaler Tor-Knoten beliebt sind, wie OVH, Frantech, ServerAstra und Trabia Network.
Source: opennet.ru