Autor projekta OrNetRadar, koji prati povezivanje novih grupa čvorova na anonimnu Tor mrežu, objavio izvještaj na identifikaciji operatora velikog izlaznog čvora Zlonamjerni Tor, koji pokušava manipulirati korisničkim prometom.
Prema ovoj statistici, 22Popravio sam vezu sa Tor mrežom velike grupe zlonamernih hostova, u kojoj je napadač, da bi stekao kontrolu nad saobraćajem, pokrio 23,95% svih poziva kroz izlazne čvorove.
U decembru 2019. pisao sam o rastućem problemu zlonamjernih releja na Tor mreži s motivacijom da podignem svijest i vremenom poboljšam situaciju. Nažalost, umjesto da se poboljšaju, stvari su se pogoršale, posebno kada je riječ o zlonamjernoj aktivnosti Tor izlaznog releja.
U svom vrhuncu, Zlonamjerni klaster se sastojao od oko 380 čvorova. Povezivanjem čvorova na osnovu kontakt e-pošte navedenih na serverima sa zlonamjernom aktivnošću, istraživači Bili su u mogućnosti identificirati najmanje 9 različitih grupa zlonamjernih izlaznih čvorova koji su bili aktivni oko 7 mjeseci.
Programeri Tor pokušali su blokirati zlonamjerne hostove, ali su napadači brzo povratili aktivnost. Trenutno se broj zlonamjernih stranica smanjio, ali više od 10% prometa i dalje prolazi kroz njih.
Postoje protumjere, kao što su prethodno učitavanje HSTS-a i HTTPS-a svuda, ali u praksi, mnogi operateri web stranica ne sprovode ih i ostavljaju svoje korisnike ranjivim na ovu vrstu napada.
Ova vrsta napada nije specifična za pretraživač Tor. Zlonamjerni releji se koriste samo za pristup korisničkom prometu i da otežaju otkrivanje, zlonamjerni entitet nije napao sve web stranice podjednako.
Čini se da uglavnom traže web stranice vezane za kriptovalute, odnosno višestruke usluge miješanja bitcoina.
Zamijenili su bitcoin adrese u HTTP prometu kako bi preusmjerili transakcije na svoje novčanike umjesto bitcoin adrese koju je dao korisnik. Napadi prepisivanja Bitcoin adresa nisu novina, ali je obim njihovog poslovanja. Nije moguće utvrditi da li učestvuju u drugim vrstama napada.
Selektivno uklanjanje preusmeravanja na HTTPS varijante sajtova iz aktivnosti zabeležene na zlonamernim izlaznim čvorovima primećuje se pri početnom pristupu nešifrovanom resursu preko HTTP-a, omogućavajući napadačima da presretnu sadržaj sesija bez falsifikovanja sertifikata TLS (napad „SSL Removal”).
Sličan pristup radi za korisnike koji upisuju adresu stranice bez eksplicitnog navođenja “https://” ispred domene i nakon otvaranja stranice ne fokusiraju se na naziv protokola u adresnoj traci pretraživača Tor. Da biste se zaštitili od blokiranja preusmjeravanja na HTTPS stranice, preporučuje se korištenje HSTS predučitavanja.
Posegnuo sam na neke od poznatih pogođenih bitcoin lokacija, tako da oni to mogu ublažiti na tehničkom nivou koristeći HSTS preloading. Neko drugi je poslao pravila HTTPS-Everywhere za poznate domene (HTTPS Everywhere je instaliran prema zadanim postavkama u pretraživaču Tor). Nažalost, nijedna od ovih stranica nije imala omogućeno HSTS prethodno učitavanje u to vrijeme. Najmanje jedna pogođena bitcoin web stranica implementirala je HSTS preloading nakon saznanja o ovim događajima.
Nakon objave na blogu iz decembra 2019. Projekat Tor je imao neke obećavajuće planove za 2020 sa osobom posvećenom unapređenju u ovoj oblasti, ali zbog nedavnih otpuštanja vezanih za COVID19, ta osoba je raspoređena na drugo područje.
Povrh toga, autoriteti Tor imenika očigledno više ne uklanjaju releje koje su uklanjali prije nekoliko sedmica.
Nije jasno šta je pokrenulo ovu promjenu politike, ali očigledno se nekome sviđa i dodaje nedeklarirane relejne grupe.
Konačno, ako želite saznati više o tome, možete pogledati detalje u sljedeći link.