A projekt szerzője , amely figyeli az új csomópontcsoportok csatlakozását a Tor anonim hálózathoz, Jelentés egy, a felhasználói forgalmat manipulálni próbáló rosszindulatú Tor kilépési csomópontok egyik fő üzemeltetőjének felfedezéséről. A benyújtott statisztikák szerint május 22-én... nagyszámú rosszindulatú csomópontot csatlakoztatott a Tor hálózathoz, aminek eredményeként a támadók megszerezték az irányítást a kilépési csomópontokon keresztül érkező összes kérés 23.95%-át lefedő forgalom felett.
Csúcspontján a rosszindulatú csoport körülbelül 380 csomópontból állt. A szervereken felsorolt elérhetőségi e-mailek alapján a csomópontokat rosszindulatú tevékenységgel összekapcsolva a kutatók legalább kilenc különböző rosszindulatú kilépési csomópontcsoportot azonosítottak, amelyek körülbelül hét hónapig működtek. A Tor fejlesztői megpróbálták blokkolni a rosszindulatú csomópontokat, de a támadók gyorsan folytatták tevékenységüket. A rosszindulatú csomópontok száma mára csökkent, de még mindig a forgalom több mint 10%-át teszik ki.
A rosszindulatú kilépési csomópontokon rögzített aktivitás az átirányítások szelektív eltávolítását mutatja.
A webhelyek HTTPS-verzióit átirányítják, amikor kezdetben HTTP titkosítás nélküli erőforráshoz férnek hozzá, lehetővé téve a támadók számára, hogy a TLS-tanúsítványok cseréje nélkül elfogják a munkamenet tartalmát (egy „SSL-eltávolító” támadás). Ez a megközelítés azoknál a felhasználóknál működik, akik a webhely címét anélkül írják be, hogy kifejezetten megadnák a „https://” előtagot a domain előtt, és az oldal megnyitása után nem figyelnek a protokoll nevére a Tor böngésző címsorában. A HTTPS átirányítások blokkolása elleni védelem érdekében a webhelyeknek ajánlott a következőt használni: .
A rosszindulatú tevékenységek felderítésének megnehezítése érdekében a helyettesítést szelektíven, az egyes weboldalakon, elsősorban a kriptovalutákkal kapcsolatosakon hajtják végre. Ha egy Bitcoin-címet nem védett forgalomban észlelnek, a forgalmat módosítják, hogy lecserélje a Bitcoin-címet, és a tranzakciót az áldozat tárcájába irányítsák át. A rosszindulatú csomópontokat olyan szolgáltatók üzemeltetik, amelyek népszerűek a legitim Tor-csomópontok üzemeltetésében, mint például az OVH, a Frantech, a ServerAstra és a Trabia Network.
Forrás: opennet.ru
