Autori i projektit , i cili monitoron lidhjen e grupeve të reja të nyjeve me rrjetin anonim Tor, një raport mbi identifikimin e një operatori kryesor të nyjeve të daljes me qëllim të keq Tor që po përpiqet të manipulojë trafikun e përdoruesve. Sipas statistikave të mësipërme, 22 maji ishte lidhje me rrjetin Tor të një grupi të madh nyjesh me qëllim të keq, si rezultat i të cilit sulmuesit fituan kontrollin mbi trafikun, duke mbuluar 23.95% të të gjitha akseseve përmes nyjeve dalëse.
Në kulmin e aktivitetit të tij, grupi keqdashës përbëhej nga rreth 380 nyje. Duke i shoqëruar nyjet bazuar në emailet e kontaktit të listuara në serverë me aktivitet keqdashës, studiuesit ishin në gjendje të identifikonin të paktën 9 grupime të ndryshme të nyjeve të daljes me qëllim të keq aktivë për rreth 7 muaj. Zhvilluesit Tor u përpoqën të bllokonin nyjet me qëllim të keq, por sulmuesit e rifituan shpejt aktivitetin e tyre. Aktualisht, numri i nyjeve me qëllim të keq është ulur, por më shumë se 10% e trafikut ende kalon nëpër to.
Heqja selektive e ridrejtimeve vërehet nga aktiviteti i regjistruar në nyjet e daljes me qëllim të keq
në variantet HTTPS të sajteve kur hyjnë fillimisht në një burim pa enkriptim nëpërmjet HTTP, i cili i lejon sulmuesit të përgjojnë përmbajtjen e sesionit pa zëvendësuar certifikatat TLS (sulmi "zhveshje ssl"). Kjo qasje funksionon për përdoruesit që shtypin adresën e faqes pa specifikuar në mënyrë eksplicite "https://" përpara domenit dhe pas hapjes së faqes nuk fokusohen në emrin e protokollit në shiritin e adresave të shfletuesit Tor. Për t'u mbrojtur nga bllokimi i ridrejtimeve në HTTPS, rekomandohet përdorimi i sajteve .
Për ta bërë të vështirë zbulimin e aktivitetit keqdashës, zëvendësimi kryhet në mënyrë selektive në sajte individuale, kryesisht të lidhura me kriptovalutat. Nëse një adresë bitcoin zbulohet në trafik të pasigurt, atëherë bëhen ndryshime në trafik për të zëvendësuar adresën e bitcoin dhe për të ridrejtuar transaksionin në portofolin tuaj. Nyjet keqdashëse priten nga ofruesit që janë të njohur për të pritur nyje normale Tor, si OVH, Frantech, ServerAstra dhe Trabia Network.
Burimi: opennet.ru