A projekt szerzője
Tevékenységének csúcsán a rosszindulatú csoport körülbelül 380 csomópontból állt. A szervereken felsorolt kapcsolati e-mail-címek alapján a csomópontok rosszindulatú tevékenységhez való társításával a kutatók legalább 9 különböző rosszindulatú kilépési csomópontot azonosítottak, amelyek körülbelül 7 hónapja aktívak voltak. A Tor fejlesztői megpróbálták blokkolni a rosszindulatú csomópontokat, de a támadók gyorsan visszanyerték tevékenységüket. Jelenleg a rosszindulatú csomópontok száma csökkent, de a forgalom több mint 10%-a még mindig rajtuk halad át.
Az átirányítások szelektív eltávolítása a rosszindulatú kilépési csomópontokon rögzített tevékenységből
a webhelyek HTTPS-változatain, amikor kezdetben HTTP-n keresztül titkosítás nélkül férnek hozzá egy erőforráshoz, amely lehetővé teszi a támadók számára, hogy a TLS-tanúsítványok cseréje nélkül elfogják a munkamenet tartalmát („ssl stripping” támadás). Ez a megközelítés azoknál a felhasználóknál működik, akik úgy írják be a webhely címét, hogy nem adják meg kifejezetten a „https://” karakterláncot a domain előtt, és az oldal megnyitása után nem összpontosítanak a protokoll nevére a Tor Browser címsorában. A HTTPS-re történő átirányítások blokkolása elleni védelem érdekében webhelyek használata javasolt
A rosszindulatú tevékenységek észlelésének megnehezítése érdekében a helyettesítést szelektíven hajtják végre az egyes webhelyeken, elsősorban a kriptovalutákkal kapcsolatban. Ha a rendszer bitcoin címet észlel a nem biztonságos forgalomban, akkor a forgalom módosítása a bitcoin cím helyett, és a tranzakció átirányítása a pénztárcájába. A rosszindulatú csomópontokat olyan szolgáltatók hosztolják, amelyek népszerűek a normál Tor-csomópontok tárolására, például az OVH, a Frantech, a ServerAstra és a Trabia Network.
Forrás: opennet.ru