ProHoster > Blog > actualités internet > Une attaque contre les utilisateurs de Tor qui implique un quart de la puissance des nœuds de sortie

Une attaque contre les utilisateurs de Tor qui implique un quart de la puissance des nœuds de sortie

L'auteur du projet OrNetRadar, qui surveille la connexion de nouveaux groupes de nœuds au réseau anonyme Tor, publié un rapport sur l'identification d'un opérateur majeur de nœuds de sortie Tor malveillants qui tente de manipuler le trafic des utilisateurs. Selon les statistiques ci-dessus, le 22 mai était fixe connexion au réseau Tor d'un grand groupe de nœuds malveillants, grâce à laquelle les attaquants ont pris le contrôle du trafic, couvrant 23.95 % de tous les accès via les nœuds de sortie.

Une attaque contre les utilisateurs de Tor qui implique un quart de la puissance des nœuds de sortie

Au plus fort de son activité, le groupe malveillant comptait environ 380 nœuds. En associant des nœuds basés sur les e-mails de contact répertoriés sur les serveurs à une activité malveillante, les chercheurs ont pu identifier au moins 9 clusters différents de nœuds de sortie malveillants actifs depuis environ 7 mois. Les développeurs de Tor ont tenté de bloquer les nœuds malveillants, mais les attaquants ont rapidement repris leur activité. Actuellement, le nombre de nœuds malveillants a diminué, mais plus de 10 % du trafic passe toujours par eux.

Une attaque contre les utilisateurs de Tor qui implique un quart de la puissance des nœuds de sortie

La suppression sélective des redirections est notée à partir de l'activité enregistrée sur les nœuds de sortie malveillants
sur les variantes HTTPS des sites lors de l'accès initial à une ressource sans chiffrement via HTTP, ce qui permet aux attaquants d'intercepter le contenu de la session sans remplacer les certificats TLS (attaque « ssl stripping »). Cette approche fonctionne pour les utilisateurs qui tapent l'adresse du site sans spécifier explicitement "https://" avant le domaine et après avoir ouvert la page ne se concentrent pas sur le nom du protocole dans la barre d'adresse du navigateur Tor. Pour se protéger contre le blocage des redirections vers HTTPS, il est recommandé aux sites d'utiliser Préchargement HSTS.

Pour rendre difficile la détection des activités malveillantes, la substitution est effectuée de manière sélective sur des sites individuels, principalement liés aux crypto-monnaies. Si une adresse Bitcoin est détectée dans le trafic non sécurisé, des modifications sont apportées au trafic pour remplacer l'adresse Bitcoin et rediriger la transaction vers votre portefeuille. Les nœuds malveillants sont hébergés par des fournisseurs populaires pour héberger des nœuds Tor normaux, tels que OVH, Frantech, ServerAstra et Trabia Network.

Source: opennet.ru

Ajouter un commentaire