Asalin abin da ya faru
A cikin Mayu 2020, an gano gungun nodes na fita suna kutse tare da haɗin kai. Musamman ma, sun bar kusan dukkan hanyoyin haɗin gwiwa, amma sun katse haɗin kai zuwa ƙaramin adadin musayar cryptocurrency. Idan masu amfani sun ziyarci nau'in HTTP na rukunin yanar gizon (watau, ba a ɓoye ba kuma ba a tabbatar da su ba), an hana miyagu runduna turawa zuwa sigar HTTPS (watau ɓoyayye da ingantacce). Idan mai amfani bai lura da canjin ba (misali, rashin gunkin kullewa a cikin mai binciken) kuma ya fara tura mahimman bayanai, maharin na iya kama wannan bayanin.
Aikin Tor ya cire wadannan nodes daga cibiyar sadarwa a watan Mayu 2020. A watan Yulin 2020, an gano wani rukunin relays da ke yin irin wannan harin, bayan haka kuma an cire su. Har yanzu dai ba a san ko an samu nasarar kai wa duk wani mai amfani hari ba, amma bisa la’akari da girman harin da kuma yadda maharin ya sake gwadawa (harin na farko ya shafi kashi 23% na jimlar fitar da nodes, na biyu kusan 19%). yana da kyau a ɗauka cewa maharin ya yi la'akari da farashin harin da ya dace.
Wannan lamarin kyakkyawan tunatarwa ne cewa buƙatun HTTP ba su ɓoye kuma ba su da tabbas kuma saboda haka har yanzu suna da rauni. Tor Browser ya zo tare da HTTPS-Ko'ina tsawo da aka tsara musamman don hana irin waɗannan hare-haren, amma tasirin sa yana iyakance ga jerin da ba ya rufe kowane gidan yanar gizo a duniya. Masu amfani koyaushe za su kasance cikin haɗari yayin ziyartar sigar yanar gizo ta HTTP.
Hana kai hare-hare makamantan haka a nan gaba
Hanyoyi na rigakafin hare-hare sun kasu kashi biyu: na farko ya hada da matakan da masu amfani da yanar gizo za su iya dauka don karfafa tsaron su, yayin da na biyu ya shafi ganowa da gano hanyoyin sadarwa masu cutarwa kan lokaci.
Ayyukan da aka ba da shawarar a ɓangaren shafuka:
1. Kunna HTTPS (an bayar da takaddun shaida kyauta ta Bari mu Encrypt)
2. Ƙara ƙa'idodin turawa zuwa jerin HTTPS-Ko'ina domin masu amfani su iya kafa amintacciyar hanyar sadarwa maimakon dogaro da turawa bayan kafa haɗin da ba shi da tsaro. Bugu da kari, idan hukumar kula da ayyukan gidan yanar gizo tana son kaucewa cudanya da kudurorin fita, zai iya samar da nau'in albasa na shafin.
Aikin Tor a halin yanzu yana la'akari da kashe gaba ɗaya HTTP mara tsaro a cikin Tor Browser. Bayan 'yan shekarun da suka gabata, irin wannan ma'auni ba zai kasance ba zato ba tsammani (albarkatu da yawa suna da HTTP marasa tsaro kawai), amma HTTPS-Ko'ina da sigar Firefox mai zuwa suna da zaɓi na gwaji don amfani da HTTPS ta tsohuwa don haɗin farko, tare da ikon komawa zuwa HTTP idan ya cancanta. Har yanzu ba a san yadda wannan hanyar za ta shafi masu amfani da Tor Browser ba, don haka za a fara gwada shi a matakan tsaro mafi girma na mai binciken (tambarin garkuwa).
Cibiyar sadarwar Tor tana da masu sa kai masu sa ido kan halayen watsa labarai da bayar da rahoton abubuwan da suka faru ta yadda za a iya cire nodes masu lalata daga sabar adireshi. Ko da yake galibi ana magance irin waɗannan rahotanni cikin sauri kuma ana ɗaukar nodes ɗin ƙeta a layi kai tsaye bayan an gano su, babu isassun albarkatun da za a sa ido akai-akai akan hanyar sadarwa. Idan kun sami damar gano madaidaicin gudun ba da sanda, zaku iya ba da rahoto ga aikin, umarni akwai a wannan mahada.
Hanyar da ake amfani da ita a yanzu tana da matsaloli guda biyu na asali:
1. Lokacin yin la'akari da abin da ba a sani ba, yana da wuya a tabbatar da maliciousness. Idan babu hari daga gare shi, ya kamata a bar shi a wurin? Manyan hare-hare da ke shafar masu amfani da yawa suna da sauƙin ganowa, amma idan harin ya shafi ƙananan rukunin yanar gizo da masu amfani, maharin na iya yin aiki da hankali. Cibiyar sadarwar Tor da kanta ta ƙunshi dubban relays da ke cikin duniya, kuma wannan bambancin (da sakamakon ƙaddamarwa) yana ɗaya daga cikin ƙarfinsa.
2. Lokacin yin la'akari da rukuni na masu maimaitawa da ba a san su ba, yana da wuya a tabbatar da haɗin gwiwar su (wato, ko sun gudanar). Harin Sibyl). Yawancin ma'aikatan relay na son rai suna zaɓar cibiyoyin sadarwa masu rahusa iri ɗaya don ɗaukar nauyinsu, irin su Hetzner, OVH, Online, Frantech, Leaseweb, da sauransu, kuma idan an gano sabbin relays da yawa, ba zai zama da sauƙi a tantance ko akwai sababbi da yawa ba. masu aiki ko ɗaya kawai, mai sarrafa duk sabbin masu maimaitawa.
source: linux.org.ru