A projekt szerzője , amely új csomópontcsoportok csatlakozását figyeli a Tor névtelen hálózathoz, egy jelentés a rosszindulatú Tor kilépési csomópontok egyik fő üzemeltetőjének azonosításáról, amely megpróbálja manipulálni a felhasználói forgalmat. A fenti statisztikák szerint május 22. volt kapcsolódni a rosszindulatú csomópontok nagy csoportjának Tor hálózatához, melynek eredményeként a támadók megszerezték az irányítást a forgalom felett, lefedve az összes hozzáférés 23.95%-át a kilépési csomópontokon keresztül.
Tevékenységének csúcsán a rosszindulatú csoport körülbelül 380 csomópontból állt. A szervereken felsorolt kapcsolati e-mail-címek alapján a csomópontok rosszindulatú tevékenységhez való társításával a kutatók legalább 9 különböző rosszindulatú kilépési csomópontot azonosítottak, amelyek körülbelül 7 hónapja aktívak voltak. A Tor fejlesztői megpróbálták blokkolni a rosszindulatú csomópontokat, de a támadók gyorsan visszanyerték tevékenységüket. Jelenleg a rosszindulatú csomópontok száma csökkent, de a forgalom több mint 10%-a még mindig rajtuk halad át.
Az átirányítások szelektív eltávolítása a rosszindulatú kilépési csomópontokon rögzített tevékenységből
a webhelyek HTTPS-változatain, amikor kezdetben HTTP-n keresztül titkosítás nélkül férnek hozzá egy erőforráshoz, amely lehetővé teszi a támadók számára, hogy a TLS-tanúsítványok cseréje nélkül elfogják a munkamenet tartalmát („ssl stripping” támadás). Ez a megközelítés azoknál a felhasználóknál működik, akik úgy írják be a webhely címét, hogy nem adják meg kifejezetten a „https://” karakterláncot a domain előtt, és az oldal megnyitása után nem összpontosítanak a protokoll nevére a Tor Browser címsorában. A HTTPS-re történő átirányítások blokkolása elleni védelem érdekében webhelyek használata javasolt .
A rosszindulatú tevékenységek észlelésének megnehezítése érdekében a helyettesítést szelektíven hajtják végre az egyes webhelyeken, elsősorban a kriptovalutákkal kapcsolatban. Ha a rendszer bitcoin címet észlel a nem biztonságos forgalomban, akkor a forgalom módosítása a bitcoin cím helyett, és a tranzakció átirányítása a pénztárcájába. A rosszindulatú csomópontokat olyan szolgáltatók hosztolják, amelyek népszerűek a normál Tor-csomópontok tárolására, például az OVH, a Frantech, a ServerAstra és a Trabia Network.
Forrás: opennet.ru