ב- Tor נרשמה התקפה שניסתה לתפעל את תנועת המשתמשים

מחבר פרויקט OrNetRadar, המפקח על חיבור קבוצות צמתים חדשות לרשת האנונימית של טור, פרסם דוח על זיהוי מפעיל נהדר של צומת יציאה Tor זדוני, שמנסה לתפעל את תעבורת המשתמשים.

על פי נתונים סטטיסטיים אלה, ב 22- מהמאתיקנתי את החיבור לרשת Tor מקבוצה גדולה של מארחים זדוניים, שבו תוקף להשיג שליטה בתנועה, כיסה 23,95% מכל השיחות דרך צמתי היציאה.

בדצמבר 2019 כתבתי על הבעיה ההולכת וגוברת של ממסרים זדוניים ברשת Tor עם המוטיבציה להעלות את המודעות ולשפר את המצב לאורך זמן. לרוע המזל, במקום להשתפר, הדברים החמירו, במיוחד כשמדובר בפעילות ממסר זדונית של טור.

בשיאו, הקבוצה הזדונית כללה כ -380 צמתים. על ידי קישור צמתים על סמך הודעות דוא"ל ליצירת קשר המופיעות בשרתים עם פעילות זדונית, חוקרים הם הצליחו לזהות לפחות 9 קבוצות שונות של צמתי יציאה זדוניים שהיו פעילים מזה 7 חודשים.

מפתחי Tor ניסו לחסום מארחים זדוניים, אך התוקפים התאוששו במהירות מפעילותם. נכון לעכשיו מספר האתרים הזדוניים פחת, אך יותר מ -10% מהתנועה עדיין עוברת דרכם.

יש אמצעי נגד מבוססים, כגון טעינה מראש של HSTS ו- HTTPS בכל מקום, אבל בפועל, מפעילי אתרים רבים הם לא מיישמים אותם והם משאירים את המשתמשים שלהם חשופים להתקפות מסוג זה.

סוג התקפה זה אינו ספציפי לדפדפן Tor. ממסרים זדוניים משמשים רק כדי להשיג גישה לתעבורת משתמשים וכדי להקשות על הגילוי, הישות הזדונית לא תקפה את כל האתרים באופן שווה.

נראה שהם מחפשים בעיקר אתרים הקשורים לקריפטוכלומר שירותי ערבוב ביטקוין מרובים.

הם החליפו כתובות ביטקוין בתעבורת HTTP להפניית עסקאות לארנקים שלהם במקום כתובת הביטקוין שמספק המשתמש. התקפות כתיבת כתיבת ביטקוין אינן חדשות, אך היקף פעולותיהן הוא. לא ניתן לקבוע אם הם משתתפים בסוגים אחרים של התקפות.

הסרה ממוקדת של הפניות מחדש לגרסאות HTTPS של אתרי פעילות המחוברים לצמתי יציאה זדוניים ניכרת בגישה ראשונית למשאב לא מוצפן באמצעות HTTP, מה שמאפשר לתוקפים ליירט תוכן הפעלה מבלי לזייף אישורי TLS (התקפת "SSL kill").

גישה דומה עובדת עבור משתמשים המקלידים את כתובת האתר מבלי לציין במפורש "https: //" מול הדומיין, ולאחר פתיחת הדף אין להתמקד בשם הפרוטוקול בשורת הכתובת של דפדפן Tor. כדי להגן מפני חסימת הפניות מחדש לאתרי HTTPS, מומלץ להשתמש בטעינה מוקדמת של HSTS.

הגעתי לכמה מאתרי הביטקוין המושפעים הידועים, כדי שיוכלו למתן זאת ברמה הטכנית באמצעות טעינה מוקדמת של HSTS. מישהו אחר פרסם את כללי HTTPS-Everywhere עבור התחומים המושפעים הידועים (HTTPS Everywhere מותקן כברירת מחדל בדפדפן Tor). למרבה הצער, אף אחד מהאתרים הללו לא הפעיל את טעינת הקדם של HSTS באותה עת. לפחות אתר ביטקוין אחד שהושפע מיושם טעינה מוקדמת של HSTS לאחר שנודע על אירועים אלה.

לאחר הפוסט בבלוג בדצמבר 2019, לפרויקט טור היו כמה תוכניות מבטיחות לשנת 2020 עם אדם המוקדש לשיפור הנהיגה בתחום זה, אך עקב פיטורים אחרונים הקשורים ל- COVID19, אותו אדם הוקצה לאזור אחר.

נוסף על כך, ככל הנראה רשויות מדריכי Tor כבר אינן מסירות את הממסרים שהיו נהגים להסיר במשך כמה שבועות.

לא ברור מה גרם לשינוי מדיניות זה, אך כנראה שמישהו אוהב את זה ומוסיף קבוצות ממסר שלא הוכרזו.

לבסוף, אם ברצונך לדעת יותר על כך, תוכל לבדוק את הפרטים ב הקישור הבא.


היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.