ProHoster > Blog > notícias da internet > Um ataque aos usuários do Tor que envolve um quarto da potência dos nós de saída

Um ataque aos usuários do Tor que envolve um quarto da potência dos nós de saída

O autor do projeto OrNetRadar, que monitora a conexão de novos grupos de nós à rede Tor anônima, опубликовал relatório identificando um grande operador de nós de saída maliciosos do Tor que está tentando manipular o tráfego do usuário. De acordo com as estatísticas acima, 22 de maio foi gravado conexão à rede Tor de um grande grupo de nós maliciosos, com o que os invasores obtiveram o controle do tráfego, cobrindo 23.95% de todas as solicitações através dos nós de saída.

Um ataque aos usuários do Tor que envolve um quarto da potência dos nós de saída

No auge de sua atividade, o grupo malicioso consistia em cerca de 380 nós. Ao vincular nós com base em e-mails de contato especificados em servidores com atividades maliciosas, os pesquisadores conseguiram identificar pelo menos 9 clusters diferentes de nós de saída maliciosos que estavam ativos há cerca de 7 meses. Os desenvolvedores do Tor tentaram bloquear nós maliciosos, mas os invasores rapidamente retomaram suas atividades. Atualmente, o número de nós maliciosos diminuiu, mas mais de 10% do tráfego ainda passa por eles.

Um ataque aos usuários do Tor que envolve um quarto da potência dos nós de saída

A remoção seletiva de redirecionamentos é observada na atividade registrada em nós de saída maliciosos
para versões HTTPS de sites ao acessar inicialmente um recurso sem criptografia via HTTP, o que permite que invasores interceptem o conteúdo das sessões sem substituir certificados TLS (ataque "ssl stripping"). Essa abordagem funciona para usuários que digitam o endereço do site sem especificar explicitamente “https://” antes do domínio e, após abrir a página, não se concentram no nome do protocolo na barra de endereços do navegador Tor. Para se proteger contra o bloqueio de redirecionamentos para HTTPS, recomenda-se que os sites usem Pré-carregamento do HSTS.

Para dificultar a identificação de atividades maliciosas, a substituição é realizada seletivamente em sites individuais, principalmente relacionados a criptomoedas. Se um endereço bitcoin for detectado no tráfego desprotegido, serão feitas alterações no tráfego para substituir o endereço bitcoin e redirecionar a transação para sua carteira. Os nós maliciosos são hospedados por provedores populares para hospedar nós Tor normais, como OVH, Frantech, ServerAstra e Trabia Network.

Fonte: opennet.ru

Adicionar um comentário