ProHoster > Blog > noticias de internet > Un ataque a los usuarios de Tor que supone una cuarta parte de la potencia de los nodos de salida

Un ataque a los usuarios de Tor que supone una cuarta parte de la potencia de los nodos de salida

Autor del proyecto OrNetRadar, que monitorea la conexión de nuevos grupos de nodos a la red Tor anónima, publicado Informe que identifica a un importante operador de nodos de salida Tor maliciosos que intenta manipular el tráfico de usuarios. Según las estadísticas anteriores, el 22 de mayo fue arreglado conexión a la red Tor de un gran grupo de nodos maliciosos, como resultado de lo cual los atacantes obtuvieron el control del tráfico, cubriendo el 23.95% de todas las solicitudes a través de nodos de salida.

Un ataque a los usuarios de Tor que supone una cuarta parte de la potencia de los nodos de salida

En el pico de su actividad, el grupo malicioso constaba de unos 380 nodos. Al vincular nodos basados ​​en correos electrónicos de contacto especificados en servidores con actividad maliciosa, los investigadores pudieron identificar al menos 9 grupos diferentes de nodos de salida maliciosos que habían estado activos durante aproximadamente 7 meses. Los desarrolladores de Tor intentaron bloquear los nodos maliciosos, pero los atacantes rápidamente reanudaron su actividad. Actualmente, el número de nodos maliciosos ha disminuido, pero más del 10% del tráfico todavía pasa por ellos.

Un ataque a los usuarios de Tor que supone una cuarta parte de la potencia de los nodos de salida

La eliminación selectiva de redirecciones se observa en la actividad registrada en los nodos de salida maliciosos.
a versiones HTTPS de sitios cuando se accede inicialmente a un recurso sin cifrado a través de HTTP, lo que permite a los atacantes interceptar el contenido de las sesiones sin reemplazar los certificados TLS (ataque de "eliminación de SSL"). Este enfoque funciona para usuarios que escriben la dirección del sitio sin especificar explícitamente "https://" antes del dominio y, después de abrir la página, no se centran en el nombre del protocolo en la barra de direcciones del navegador Tor. Para protegerse contra el bloqueo de redireccionamientos a HTTPS, se recomienda el uso de sitios Precarga HSTS.

Para dificultar la identificación de actividades maliciosas, la sustitución se lleva a cabo de forma selectiva en sitios individuales, principalmente relacionados con criptomonedas. Si se detecta una dirección de bitcoin en el tráfico desprotegido, se realizan cambios en el tráfico para reemplazar la dirección de bitcoin y redirigir la transacción a su billetera. Los nodos maliciosos están alojados en proveedores populares para alojar nodos Tor normales, como OVH, Frantech, ServerAstra y Trabia Network.

Fuente: opennet.ru

Añadir un comentario