ProHoster > блог > интернет вести > Напаѓајте ги корисниците на Tor користејќи четвртина од моќта на излезните јазли

Напаѓајте ги корисниците на Tor користејќи четвртина од моќта на излезните јазли

Автор на проектот OrNetRadar, кој го следи поврзувањето на нови групи јазли со анонимната мрежа Tor, објавена извештај за идентификување на главен оператор на малициозни излезни јазли на Tor кој се обидува да манипулира со корисничкиот сообраќај. Според горната статистика, 22 мај беше фиксна поврзување со мрежата Tor на голема група на малициозни јазли, како резултат на што напаѓачите добија контрола над сообраќајот, покривајќи 23.95% од сите барања преку излезните јазли.

Напаѓајте ги корисниците на Tor користејќи четвртина од моќта на излезните јазли

На врвот на својата активност, злонамерната група се состоеше од околу 380 јазли. Со поврзување на јазли врз основа на контакт-мејлови наведени на сервери со злонамерна активност, истражувачите можеа да идентификуваат најмалку 9 различни кластери на малициозни излезни јазли кои биле активни околу 7 месеци. Програмерите на Tor се обидоа да блокираат малициозни јазли, но напаѓачите брзо ја продолжија својата активност. Во моментов, бројот на малициозни јазли е намален, но повеќе од 10% од сообраќајот сè уште поминува низ нив.

Напаѓајте ги корисниците на Tor користејќи четвртина од моќта на излезните јазли

Селективно отстранување на пренасочувања е забележано од активноста снимена на малициозните излезни јазли
на HTTPS верзии на сајтови кога првично пристапувате до ресурс без шифрирање преку HTTP, што им овозможува на напаѓачите да ја пресретнат содржината на сесиите без да ги заменат TLS сертификатите (напад „соголување ssl“). Овој пристап работи за корисници кои ја пишуваат адресата на страницата без експлицитно да наведат „https://“ пред доменот и, по отворањето на страницата, не се фокусираат на името на протоколот во лентата за адреси на прелистувачот Tor. За заштита од блокирање пренасочувања кон HTTPS, се препорачува користење на сајтови Претовар на HSTS.

За да биде тешко да се идентификуваат малициозни активности, замената се врши селективно на поединечни сајтови, главно поврзани со криптовалути. Ако адресата на биткоин е откриена во незаштитен сообраќај, тогаш се прават промени во сообраќајот за да се замени адресата на биткоин и да се пренасочи трансакцијата во вашиот паричник. Злонамерните јазли се хостирани од провајдери кои се популарни за хостирање на нормални Tor јазли, како што се OVH, Frantech, ServerAstra и Trabia Network.

Извор: opennet.ru

Додадете коментар