May-akda ng proyekto , na sinusubaybayan ang koneksyon ng mga bagong grupo ng mga node sa hindi kilalang Tor network, ulat na tumutukoy sa isang pangunahing operator ng malisyosong Tor exit node na sumusubok na manipulahin ang trapiko ng user. Ayon sa mga istatistika sa itaas, ang Mayo 22 ay koneksyon sa Tor network ng isang malaking grupo ng mga malisyosong node, bilang isang resulta kung saan nakuha ng mga umaatake ang kontrol ng trapiko, na sumasaklaw sa 23.95% ng lahat ng mga kahilingan sa pamamagitan ng mga exit node.
Sa tuktok ng aktibidad nito, ang malisyosong grupo ay binubuo ng humigit-kumulang 380 node. Sa pamamagitan ng pag-link ng mga node batay sa mga email sa pakikipag-ugnayan na tinukoy sa mga server na may nakakahamak na aktibidad, natukoy ng mga mananaliksik ang hindi bababa sa 9 na magkakaibang kumpol ng mga malisyosong exit node na naging aktibo sa loob ng humigit-kumulang 7 buwan. Sinubukan ng mga developer ng Tor na harangan ang mga malisyosong node, ngunit mabilis na ipinagpatuloy ng mga umaatake ang kanilang aktibidad. Sa kasalukuyan, ang bilang ng mga nakakahamak na node ay bumaba, ngunit higit sa 10% ng trapiko ay dumadaan pa rin sa kanila.
Ang piling pag-aalis ng mga pag-redirect ay binabanggit mula sa aktibidad na naitala sa mga nakakahamak na exit node
sa mga bersyon ng HTTPS ng mga site noong una ay nag-a-access ng mapagkukunan nang walang pag-encrypt sa pamamagitan ng HTTP, na nagbibigay-daan sa mga umaatake na harangin ang mga nilalaman ng mga session nang hindi pinapalitan ang mga TLS certificate ("ssl stripping" attack). Gumagana ang diskarte na ito para sa mga user na nagta-type ng address ng site nang hindi malinaw na tinukoy ang "https://" bago ang domain at, pagkatapos buksan ang pahina, huwag tumuon sa pangalan ng protocol sa address bar ng Tor Browser. Upang maprotektahan laban sa pagharang sa mga pag-redirect sa HTTPS, inirerekomendang gamitin ang mga site .
Upang maging mahirap na tukuyin ang malisyosong aktibidad, ang pagpapalit ay isinasagawa nang pili sa mga indibidwal na site, pangunahin na nauugnay sa mga cryptocurrencies. Kung may nakitang bitcoin address sa hindi protektadong trapiko, gagawin ang mga pagbabago sa trapiko para palitan ang bitcoin address at i-redirect ang transaksyon sa iyong wallet. Ang mga nakakahamak na node ay hino-host ng mga provider na sikat para sa pagho-host ng mga normal na Tor node, gaya ng OVH, Frantech, ServerAstra, at Trabia Network.
Pinagmulan: opennet.ru