OrNetRadarプロジェクトの作成者、 Torの匿名ネットワークへのノードの新しいグループの接続を監視します。 レポートを公開 優れた出口ノードオペレーターの特定について ユーザートラフィックを操作しようとしている悪意のあるTor。
これらの統計によると、maの22に悪意のあるホストの大規模なグループからTorネットワークへの接続を修正しました。 攻撃者がトラフィックを制御するために、出口ノードを介したすべての呼び出しの23,95%をカバーしました。
2019年XNUMX月、私はTorネットワーク上で増大する悪意のあるリレーの問題について書きました。その動機は、時間の経過とともに意識を高め、状況を改善することです。 残念ながら、特に悪意のあるTorアウトバウンドリレーアクティビティに関しては、状況は良くなる代わりに悪化しています。
ピーク時には、 悪意のあるグループは約380ノードで構成されていました。 悪意のあるアクティビティを持つサーバーにリストされている連絡先メールに基づいてノードをリンクすることにより、研究者 彼らは、約9か月間アクティブであった悪意のある出口ノードの少なくとも7つの異なるグループを識別することができました。
Tor開発者は悪意のあるホストをブロックしようとしました、しかし攻撃者はすぐに彼らの活動を回復しました。 現在、悪意のあるサイトの数は減少していますが、トラフィックの10%以上が依然としてそれらを通過しています。
HSTSやHTTPSのプリロードなどの対策が確立されています どこにでも、 しかし実際には、 多くのウェブサイト運営者 彼らはそれらを実装していません そして、ユーザーをこのタイプの攻撃に対して脆弱なままにします。
このタイプの攻撃は、Torブラウザに固有のものではありません。 悪意のあるリレーは、ユーザートラフィックへのアクセスを取得し、検出を困難にするためにのみ使用されます。悪意のあるエンティティは、すべてのWebサイトを均等に攻撃しませんでした。
彼らは主に暗号通貨関連のウェブサイトを検索しているようですつまり、複数のビットコインミキシングサービス。
HTTPトラフィックのビットコインアドレスを置き換えて、トランザクションをウォレットにリダイレクトしました ユーザーが提供するビットコインアドレスの代わりに。 ビットコインアドレス書き換え攻撃は新しいものではありませんが、その操作の規模は新しいものです。 彼らが他の種類の攻撃に参加しているかどうかを判断することはできません。
悪意のある出口ノードに記録されたアクティビティのサイトのHTTPSバリアントへのリダイレクトのターゲットを絞った削除は、HTTPを介した暗号化されていないリソースへの最初のアクセスで見られ、攻撃者は証明書を改ざんすることなくセッションコンテンツを傍受できますTLS(「SSLキル」攻撃)。
ドメインの前に「https://」を明示的に示さずにサイトアドレスを入力し、ページを開いた後、Torブラウザのアドレスバーのプロトコル名に焦点を合わせないユーザーに対しても、同様のアプローチが機能します。 HTTPSサイトへのリダイレクトのブロックを防ぐために、HSTSプリロードを使用することをお勧めします。
影響を受ける既知のビットコインサイトのいくつかに連絡したので、HSTSプリロードを使用して技術レベルでこれを軽減できます。 他の誰かが、影響を受ける既知のドメインのHTTPS-Everywhereルールを投稿しました(HTTPS EverywhereはデフォルトでTorブラウザーにインストールされます)。 残念ながら、これらのサイトのいずれも、その時点でHSTSプリロードを有効にしていませんでした。 影響を受ける少なくともXNUMXつのビットコインWebサイトは、これらのイベントを学習した後、HSTSプリロードを実装しました。
2019年XNUMX月のブログ投稿の後、 Project Torには、2020年に向けていくつかの有望な計画がありました この分野の改善を推進することに専念する人と、 しかし、COVID19に関連する最近のレイオフのため、その人は別のエリアに割り当てられました。
その上、Torディレクトリ当局は、数週間削除していたリレーを削除していないようです。
このポリシー変更のきっかけは不明ですが、誰かがそれを気に入っており、宣言されていないリレーグループを追加しているようです。
最後に、それについてもっと知りたい場合は、で詳細を確認することができます 次のリンク。