所发生事件的本质
2020 年 XNUMX 月,发现一组出口节点干扰传出连接。 特别是,他们几乎保持所有连接完好无损,但拦截了与少数加密货币交易所的连接。 如果用户访问该网站的 HTTP 版本(即未加密且未经身份验证),恶意主机将无法重定向到 HTTPS 版本(即已加密且经过身份验证)。 如果用户没有注意到替换(例如,浏览器中没有锁定图标)并开始转发重要信息,则该信息可能会被攻击者拦截。
Tor 项目于 2020 年 2020 月从网络中排除了这些节点。23 年 19 月,发现另一组中继进行类似的攻击,之后它们也被排除在外。 目前还不清楚是否有用户被成功攻击,但根据攻击的规模和攻击者再次尝试的事实(第一次攻击影响了输出节点总吞吐量的 XNUMX%,第二次攻击大约为 XNUMX%),可以合理地假设攻击者认为攻击成本是合理的。
此事件很好地提醒我们,HTTP 请求未加密且未经身份验证,因此仍然容易受到攻击。 Tor 浏览器附带了专门设计用于防止此类攻击的 HTTPS-Everywhere 扩展,但其有效性仅限于一个列表,并未涵盖世界上的每个网站。 用户在访问 HTTP 版本的网站时始终会面临风险。
防止未来发生类似攻击
预防攻击的方法分为两部分:第一部分包括用户和站点管理员可以采取的加强安全性的措施,第二部分涉及恶意网络节点的识别和及时检测。
建议网站采取的措施:
1.启用HTTPS(免费证书由 让我们加密)
2. 在 HTTPS-Everywhere 列表中添加重定向规则,以便用户可以主动建立安全连接,而不是在建立不安全连接后依赖重定向。 此外,如果 Web 服务管理希望完全避免与出口节点交互,它可以 提供网站的洋葱版本.
Tor 项目目前正在考虑在 Tor 浏览器中完全禁用不安全的 HTTP。 几年前,这样的措施是不可想象的(太多资源只有不安全的 HTTP),但 HTTPS-Everywhere 和即将推出的 Firefox 版本有一个实验性选项,默认在第一次连接时使用 HTTPS,能够如有必要,请回退到 HTTP。 目前尚不清楚这种方法将如何影响 Tor 浏览器用户,因此将首先在浏览器的较高安全级别(盾牌图标)上进行测试。
Tor 网络有志愿者监控中继行为并报告事件,以便将恶意节点排除在根目录服务器之外。 尽管此类报告通常会很快得到处理,恶意节点在检测到后会立即下线,但没有足够的资源来持续监控网络。 如果您设法检测到恶意中继,您可以将其报告给项目,说明 可在此链接.
当前的方法有两个基本问题:
1.当考虑未知中继时,很难证明其恶意性。 如果没有他的攻击,他是不是应该被留在原地? 影响许多用户的大规模攻击更容易检测,但如果攻击只影响少数站点和用户, 攻击者可以主动采取行动。 Tor 网络本身由分布在世界各地的数千个中继组成,这种多样性(以及由此产生的去中心化)是其优势之一。
2. 当考虑一组未知的中继器时,很难证明它们之间的互连性(即它们是否进行 西比尔的攻击)。 许多自愿中继运营商选择相同的低成本网络来托管,例如 Hetzner、OVH、Online、Frantech、Leaseweb 等,如果发现多个新中继,则很难明确猜测是否有多个新中继操作员或只有一名操作员控制所有新的中继器。
来源: linux.org.ru