Höfundur verkefnisins
Í hámarki virkni hans samanstóð illgjarn hópur af um 380 hnútum. Með því að tengja hnúta byggða á tengiliðatölvupósti sem tilgreindur var á netþjónum með illgjarnri virkni, gátu rannsakendur greint að minnsta kosti 9 mismunandi þyrpingar illgjarnra útgönguhnúta sem höfðu verið virkir í um það bil 7 mánuði. Tor verktaki reyndu að loka fyrir skaðlega hnúta, en árásarmennirnir hófu virkni sína fljótt aftur. Eins og er hefur skaðlegum hnútum fækkað, en meira en 10% umferðar fer enn um þá.
Sértæk fjarlæging á tilvísunum kemur fram úr virkni sem skráð er á skaðlegum útgönguhnútum
til HTTPS útgáfur af síðum þegar upphaflega er farið í auðlind án dulkóðunar í gegnum HTTP, sem gerir árásarmönnum kleift að stöðva innihald funda án þess að skipta um TLS vottorð ("ssl stripping" árás). Þessi nálgun virkar fyrir notendur sem slá inn heimilisfang vefsvæðisins án þess að tilgreina „https://“ sérstaklega á undan léninu og, eftir að síðuna hefur verið opnuð, einblína ekki á heiti samskiptareglunnar á veffangastikunni í Tor vafranum. Til að verjast því að hindra tilvísanir til HTTPS er mælt með því að nota síður
Til að gera það erfitt að bera kennsl á illgjarn virkni er skipting framkvæmt sértækt á einstökum síðum, aðallega tengdum dulritunargjaldmiðlum. Ef bitcoin heimilisfang greinist í óvarinni umferð, þá eru breytingar gerðar á umferðinni til að skipta um bitcoin heimilisfangið og beina færslunni í veskið þitt. Illgjarnir hnútar eru hýstir af veitendum sem eru vinsælir til að hýsa venjulega Tor hnúta, eins og OVH, Frantech, ServerAstra og Trabia Network.
Heimild: opennet.ru