نویسنده پروژه ، که اتصال گروه های جدید گره ها را به شبکه Tor ناشناس نظارت می کند، گزارش شناسایی یک اپراتور اصلی گره های خروجی Tor مخرب که در تلاش برای دستکاری ترافیک کاربر است. طبق آمار فوق 22 اردیبهشت ماه بود اتصال به شبکه Tor گروه بزرگی از گره های مخرب، در نتیجه مهاجمان کنترل ترافیک را به دست می آورند و 23.95٪ از تمام درخواست ها را از طریق گره های خروج پوشش می دهند.
گروه مخرب در اوج فعالیت خود از حدود 380 گره تشکیل شده بود. با پیوند دادن گرهها بر اساس ایمیلهای تماس مشخص شده در سرورهای دارای فعالیت مخرب، محققان توانستند حداقل 9 خوشه مختلف از گرههای خروج مخرب را شناسایی کنند که حدود 7 ماه فعال بودند. توسعه دهندگان Tor سعی کردند گره های مخرب را مسدود کنند، اما مهاجمان به سرعت فعالیت خود را از سر گرفتند. در حال حاضر، تعداد گره های مخرب کاهش یافته است، اما بیش از 10 درصد از ترافیک همچنان از آنها عبور می کند.
حذف انتخابی تغییر مسیرها از فعالیت ثبت شده در گره های خروجی مخرب ذکر شده است
به نسخههای HTTPS سایتها هنگام دسترسی اولیه به یک منبع بدون رمزگذاری از طریق HTTP، که به مهاجمان اجازه میدهد تا محتویات جلسات را بدون جایگزین کردن گواهیهای TLS رهگیری کنند (حمله «ssl stripping»). این روش برای کاربرانی کار می کند که آدرس سایت را بدون ذکر صریح "https://" قبل از دامنه تایپ می کنند و پس از باز کردن صفحه، روی نام پروتکل در نوار آدرس مرورگر Tor تمرکز نمی کنند. برای محافظت در برابر مسدود کردن تغییر مسیرها به HTTPS، استفاده از سایتها توصیه میشود .
برای دشوار کردن شناسایی فعالیت های مخرب، جایگزینی به طور انتخابی در سایت های فردی انجام می شود که عمدتاً مربوط به ارزهای دیجیتال است. اگر آدرس بیت کوین در ترافیک محافظت نشده شناسایی شود، تغییراتی در ترافیک ایجاد می شود تا آدرس بیت کوین جایگزین شود و تراکنش به کیف پول شما هدایت شود. گره های مخرب توسط ارائه دهندگانی میزبانی می شوند که برای میزبانی گره های عادی Tor محبوب هستند، مانند OVH، Frantech، ServerAstra و Trabia Network.
منبع: opennet.ru