La aŭtoro de la projekto , kiu kontrolas la konekton de novaj grupoj de nodoj al la anonima Tor reto, raporto identiganta gravan funkciigiston de malicaj Tor elirnodoj, kiu provas manipuli uzanttrafikon. Laŭ la supraj statistikoj, la 22-a de majo estis konekto al la reto Tor de granda grupo da malicaj nodoj, rezulte de kiu la atakantoj akiris kontrolon de trafiko, kovrante 23.95% de ĉiuj petoj per elirnodoj.
Ĉe la pinto de sia agado, la malica grupo konsistis el ĉirkaŭ 380 nodoj. Ligante nodojn bazitajn sur kontaktaj retpoŝtoj specifitaj sur serviloj kun malica agado, la esploristoj povis identigi almenaŭ 9 malsamajn aretojn da malicaj elirnodoj kiuj estis aktivaj dum ĉirkaŭ 7 monatoj. Tor-programistoj provis bloki malicajn nodojn, sed la atakantoj rapide rekomencis sian agadon. Nuntempe, la nombro da malicaj nodoj malpliiĝis, sed pli ol 10% de trafiko ankoraŭ trapasas ilin.
Selektema forigo de alidirektoj estas notita de la agado registrita sur malicaj elirnodoj
al HTTPS-versioj de retejoj kiam komence aliras rimedon sen ĉifrado per HTTP, kio permesas al atakantoj kapti la enhavon de sesioj sen anstataŭigi TLS-atestojn ("ssl stripping" atako). Ĉi tiu aliro funkcias por uzantoj, kiuj tajpas la retejon sen eksplicite specifi "https://" antaŭ la domajno kaj, post malfermi la paĝon, ne koncentriĝas pri la nomo de la protokolo en la adresbreto de Tor Browser. Por protekti kontraŭ blokado de alidirektiloj al HTTPS, retejoj rekomendas uzi .
Por malfaciligi identigi malican agadon, anstataŭigo estas efektivigita selekteme sur individuaj retejoj, ĉefe rilataj al kriptaj moneroj. Se bitcoin-adreso estas detektita en senprotekta trafiko, tiam ŝanĝoj estas faritaj al la trafiko por anstataŭigi la bitcoin-adreson kaj redirekti la transakcion al via monujo. Malicaj nodoj estas gastigitaj de provizantoj, kiuj estas popularaj por gastigado de normalaj Tor-nodoj, kiel OVH, Frantech, ServerAstra kaj Trabia Network.
fonto: opennet.ru