Prohoster > Blog > tin tức mạng > Tấn công người dùng Tor bằng một phần tư sức mạnh của nút đầu ra

Tấn công người dùng Tor bằng một phần tư sức mạnh của nút đầu ra

Tác giả của dự án OrNetRadar, giám sát kết nối của các nhóm nút mới với mạng Tor ẩn danh, công bố báo cáo xác định nhà điều hành chính của các nút thoát Tor độc hại đang cố gắng thao túng lưu lượng truy cập của người dùng. Theo thống kê trên, ngày 22/XNUMX là đã sửa kết nối với mạng Tor của một nhóm lớn các nút độc hại, do đó những kẻ tấn công đã giành được quyền kiểm soát lưu lượng, chiếm 23.95% tất cả các yêu cầu thông qua các nút thoát.

Tấn công người dùng Tor bằng một phần tư sức mạnh của nút đầu ra

Vào thời điểm hoạt động cao nhất, nhóm độc hại bao gồm khoảng 380 nút. Bằng cách liên kết các nút dựa trên email liên hệ được chỉ định trên các máy chủ có hoạt động độc hại, các nhà nghiên cứu có thể xác định ít nhất 9 cụm nút thoát độc hại khác nhau đã hoạt động trong khoảng 7 tháng. Các nhà phát triển Tor đã cố gắng chặn các nút độc hại, nhưng những kẻ tấn công đã nhanh chóng tiếp tục hoạt động của chúng. Hiện tại, số lượng nút độc hại đã giảm nhưng hơn 10% lưu lượng truy cập vẫn đi qua chúng.

Tấn công người dùng Tor bằng một phần tư sức mạnh của nút đầu ra

Việc loại bỏ có chọn lọc các chuyển hướng được ghi nhận từ hoạt động được ghi lại trên các nút thoát độc hại
sang phiên bản HTTPS của trang web khi lần đầu truy cập tài nguyên mà không mã hóa qua HTTP, điều này cho phép kẻ tấn công chặn nội dung của phiên mà không cần thay thế chứng chỉ TLS (tấn công "tước ssl"). Cách tiếp cận này hiệu quả với những người dùng nhập địa chỉ trang web mà không chỉ định rõ ràng “https://” trước tên miền và sau khi mở trang, không tập trung vào tên của giao thức trong thanh địa chỉ Tor Browser. Để bảo vệ khỏi việc chặn chuyển hướng đến HTTPS, các trang web được khuyến nghị sử dụng Tải trước HSTS.

Để gây khó khăn cho việc xác định hoạt động độc hại, việc thay thế được thực hiện có chọn lọc trên các trang web riêng lẻ, chủ yếu liên quan đến tiền điện tử. Nếu một địa chỉ bitcoin được phát hiện trong lưu lượng truy cập không được bảo vệ thì các thay đổi sẽ được thực hiện đối với lưu lượng truy cập để thay thế địa chỉ bitcoin và chuyển hướng giao dịch đến ví của bạn. Các nút độc hại được lưu trữ bởi các nhà cung cấp phổ biến để lưu trữ các nút Tor thông thường, chẳng hạn như OVH, Frantech, ServerAstra và Trabia Network.

Nguồn: opennet.ru

Thêm một lời nhận xét