L'autor del projecte OrNetRadar, que monitoritza la connexió de nous grups de nodes a la xarxa anònima de Tor, publicar un informe sobre la identificació d'un gran operador de nodes de sortida Tor maliciosos, que està tractant de manipular el trànsit dusuaris.
Segons aquestes estadístiques, el 22 de maigjo es va fixar la connexió a la xarxa Tor del gran grup de hosts maliciosos, en què un atacant per aconseguir el control del trànsit, cobria el 23,95% de totes les trucades a través dels nodes de sortida.
El desembre del 2019 vaig escriure sobre el creixent problema dels relés maliciosos a la xarxa Tor amb la motivació de crear consciència i millorar la situació amb el temps. Malauradament, en comptes de millorar, les coses han empitjorat, específicament quan es tracta d'activitat maliciosa de retransmissió de sortida de Tor.
Al seu apogeu, el grup maliciós constava d?uns 380 nodes. En vincular nodes basats en correus electrònics de contacte enumerats en servidors amb activitat maliciosa, els investigadors van poder identificar almenys 9 grups diferents de nodes de sortida maliciosos que han estat actius durant aproximadament 7 mesos.
Els desenvolupadors de Tor van intentar bloquejar els hosts maliciosos, però els atacants van recuperar ràpidament la seva activitat. Actualment, la quantitat de llocs maliciosos ha disminuït, però més del 10% del trànsit encara hi passa.
Hi ha contramesures establertes, com per exemple precàrrega de HSTS i HTTPS a tot arreu, però a la pràctica, molts operadors de llocs web no els implementen i deixen els usuaris vulnerables a aquest tipus d'atac.
Aquest tipus datac no és específic del navegador Tor. Els relés maliciosos només sutilitzen per obtenir accés al trànsit dusuaris i per dificultar la detecció, lentitat maliciosa no va atacar a tots els llocs web per igual.
Sembla que busquen principalment llocs web relacionats amb criptomonedes, és a dir, múltiples serveis de barreja de bitcoins.
Van reemplaçar les adreces de bitcoin al trànsit HTTP per redirigir les transaccions a les seves bitlleteres en lloc de l'adreça de bitcoin proporcionada per l'usuari. Els atacs de reescriptura d'adreces de Bitcoin no són nous, però l'escala de les operacions sí que ho és. No és possible determinar si participen en altres atacs.
L'eliminació selectiva de redireccionaments a variants HTTPS de llocs de l'activitat registrada en nodes de sortida maliciosos s'observa a l'accés inicial a un recurs sense xifratge a través d'HTTP, cosa que permet als atacants interceptar el contingut de les sessions sense falsificar certificats TLS (atac d'eliminació de SSL).
Un enfocament similar funciona per als usuaris que escriuen l'adreça del lloc sense indicar explícitament "https://" davant del domini i després d'obrir la pàgina no se centren en el nom del protocol a la barra d'adreces del navegador Tor. Per protegir-vos contra el bloqueig de redireccions a llocs HTTPS, es recomana utilitzar la precàrrega de HSTS.
Em vaig comunicar amb alguns dels llocs de bitcoins afectats coneguts, perquè puguin mitigar això a nivell tècnic fent servir la precàrrega de HSTS. Algú més va enviar les regles HTTPS-Everywhere per als dominis afectats coneguts (HTTPS Everywhere s'instal·la per defecte al navegador Tor). Malauradament, cap d'aquests llocs no tenia habilitada la precàrrega de HSTS en aquell moment. Almenys un lloc web de bitcoin afectat va implementar la precàrrega de HSTS després de conèixer aquests esdeveniments.
Després de la publicació del bloc de desembre de 2019, el Projecte Tor tenia alguns plans prometedors per al 2020 amb una persona dedicada a impulsar millores en aquesta àrea, però a causa dels recents acomiadaments relacionats amb COVID19, aquesta persona va ser assignada a una altra àrea.
A més d'això, les autoritats del directori Tor aparentment ja no estan eliminant els relés que solien eliminar des de fa algunes setmanes.
No és clar què va desencadenar aquest canvi de política, però aparentment a algú li agrada i està afegint grups de retransmissió no declarats.
Finalment si vols conèixer més sobre això pots consultar els detalls al següent enllaç.