Projekti autor , mis jälgib uute sõlmerühmade ühendamist anonüümse Tor-võrguga, aruanne, mis tuvastab pahatahtlike Tori väljumissõlmede peamise operaatori, kes üritab kasutaja liiklust manipuleerida. Eeltoodud statistika järgi oli 22. mai ühendus suure rühma pahatahtlike sõlmede Tor-võrguga, mille tulemusena said ründajad kontrolli liikluse üle, kattes 23.95% kõigist päringutest väljumissõlmede kaudu.
Oma tegevuse tipul koosnes pahatahtlik rühm umbes 380 sõlmest. Linkides sõlmed pahatahtliku tegevusega serverites määratud kontaktmeilide põhjal, suutsid teadlased tuvastada vähemalt 9 erinevat pahatahtlike väljumissõlmede klastrit, mis olid olnud aktiivsed umbes 7 kuud. Tori arendajad püüdsid pahatahtlikke sõlmi blokeerida, kuid ründajad jätkasid kiiresti oma tegevust. Praegu on pahatahtlike sõlmede arv vähenenud, kuid üle 10% liiklusest läbib neid siiski.
Pahatahtlikes väljumissõlmedes salvestatud tegevusest märgitakse ümbersuunamiste valikuline eemaldamine
saitide HTTPS-i versioonidele, kui pääsete algselt ressursile ilma krüptimiseta HTTP kaudu, mis võimaldab ründajatel seansside sisu pealt kuulata ilma TLS-sertifikaate asendamata ("ssl-i eemaldamise" rünnak). See lähenemine sobib kasutajatele, kes tippivad saidi aadressi ilma domeeni ees sõnaselgelt „https://” määramata ega keskendu pärast lehe avamist Tor-brauseri aadressiribal oleva protokolli nimele. HTTPS-i ümbersuunamiste blokeerimise eest kaitsmiseks on soovitatav kasutada saite .
Pahatahtliku tegevuse tuvastamise raskendamiseks tehakse üksikutel saitidel, peamiselt krüptovaluutadega seotud, valikuliselt asendamine. Kui kaitsmata liikluses tuvastatakse bitcoini aadress, tehakse liikluses muudatusi, et asendada bitcoini aadress ja suunata tehing teie rahakotti. Pahatahtlikke sõlmi hostivad pakkujad, kes on populaarsed tavaliste Tor-sõlmede majutamiseks, nagu OVH, Frantech, ServerAstra ja Trabia Network.
Allikas: opennet.ru