Autor projekta OrNetRadar, koji nadzire vezu novih grupa čvorova s anonimnom mrežom Tor, objavio izvještaj na identificiranju izvrsnog operatora izlaznog čvora Zlonamjerni Tor, koji pokušava manipulirati korisničkim prometom.
Prema tim statistikama, 22. maPopravio sam vezu s mrežom Tor velike skupine zlonamjernih hostova, u kojem je napadač kako bi stekao kontrolu nad prometom pokrio 23,95% svih poziva kroz izlazne čvorove.
U prosincu 2019. pisao sam o rastućem problemu zlonamjernih releja na mreži Tor s motivacijom za podizanje svijesti i poboljšanje situacije s vremenom. Nažalost, umjesto da se poprave, stvari su se pogoršale, posebno kada je riječ o zlonamjernoj aktivnosti Tor izlaznog releja.
Na vrhuncu, zlonamjerna skupina sastojala se od oko 380 čvorova. Povezujući čvorove na temelju e-adresa za kontakt navedene na poslužiteljima s zlonamjernom aktivnošću, istraživači Uspjeli su identificirati najmanje 9 različitih skupina zlonamjernih izlaznih čvorova koji su aktivni oko 7 mjeseci.
Programeri Tor pokušali su blokirati zlonamjerne hostove, ali napadači su se brzo oporavili. Trenutno se smanjio broj zlonamjernih web-mjesta, ali više od 10% prometa i dalje prolazi kroz njih.
Postoje uspostavljene protumjere, poput predopterećenja HSTS-a i HTTPS-a svugdje, posvuda, ali u praksi, mnogi operateri web stranica ne provode ih a svoje korisnike ostavljaju ranjivima na ovu vrstu napada.
Ova vrsta napada nije specifična za preglednik Tor. Zlonamjerni releji koriste se samo za dobivanje pristupa korisničkom prometu i da bi otežali otkrivanje, zlonamjerni entitet nije jednako napao sve web stranice.
Čini se da prvenstveno traže web stranice povezane s kriptovalutomtj. višestruke usluge miješanja bitcoina.
Zamijenili su bitcoin adrese u HTTP prometu kako bi preusmjeravali transakcije u svoje novčanike umjesto bitcoin adrese koju je naveo korisnik. Napadi na prepisivanje bitcoin adresa nisu novi, ali opseg njihovih operacija jest. Nije moguće utvrditi sudjeluju li u drugim vrstama napada.
Ciljano uklanjanje preusmjeravanja na HTTPS inačice web lokacija aktivnosti zabilježenih na zlonamjernim izlaznim čvorovima vidi se pri početnom pristupu nešifriranom resursu putem HTTP-a, omogućavajući napadačima presretanje sadržaja sesije bez falsificiranja certifikata TLS (napad "uklanjanje SSL-a").
Sličan pristup djeluje i za korisnike koji upisuju adresu web lokacije bez izričitog navođenja "https: //" ispred domene, a nakon otvaranja stranice ne fokusiraju se na naziv protokola u adresnoj traci preglednika Tor. Da biste se zaštitili od blokiranja preusmjeravanja na HTTPS web stranice, preporučuje se upotreba HSTS predopterećenja.
Posegnuo sam za nekim poznatim bitcoin web lokacijama kako bi to mogli ublažiti na tehničkoj razini pomoću HSTS predopterećenja. Netko je drugi objavio pravila HTTPS-Everywhere za poznate zahvaćene domene (HTTPS Everywhere instaliran je prema zadanim postavkama u pregledniku Tor). Nažalost, niti na jednoj od tih web lokacija u to vrijeme nije bilo omogućeno predučitavanje HSTS. Najmanje jedna pogođena web lokacija bitcoin implementirala je HSTS predučitavanje nakon što je saznala za ove događaje.
Nakon objave na blogu u prosincu 2019., Projekt Tor imao je neke obećavajuće planove za 2020. godinu s osobom posvećenom poboljšanjima u vožnji u ovom području, ali zbog nedavnih otpuštanja povezanih s COVID19, ta je osoba raspoređena u drugo područje.
Povrh toga, vlasti Tor imenika očito više ne uklanjaju releje koje su uklanjale nekoliko tjedana.
Nejasno je što je pokrenulo ovu promjenu pravila, ali očito se nekome sviđa i dodaje neprijavljene skupine releja.
Napokon, ako želite znati više o tome, detalje možete provjeriti u sljedeći link.