Autorul proiectului OrNetRadar, care monitorizează conexiunea noilor grupuri de noduri la rețeaua anonimă a lui Tor, a publicat un raport la identificarea unui mare operator de nod de ieșire Tor rău intenționat, care încearcă să manipuleze traficul utilizatorilor.
Conform acestor statistici, pe data de 22 maAm reparat conexiunea la rețeaua Tor a grupului mare de gazde rău intenționate, în care un atacator pentru a obține controlul traficului, a acoperit 23,95% din toate apelurile prin nodurile de ieșire.
În decembrie 2019 am scris despre problema tot mai mare a relelor rău intenționate din rețeaua Tor cu motivația de a sensibiliza și a îmbunătăți situația în timp. Din păcate, în loc să se îmbunătățească, lucrurile s-au înrăutățit, mai ales atunci când vine vorba de activități de releu de ieșire Tor dăunătoare.
La vârf, grupul rău intenționat era format din aproximativ 380 de noduri. Cercetând prin conectarea nodurilor pe baza e-mailurilor de contact listate pe servere cu activități dăunătoare Aceștia au reușit să identifice cel puțin 9 grupuri diferite de noduri de ieșire rău intenționate care au fost active de aproximativ 7 luni.
Dezvoltatorii Tor au încercat să blocheze gazde rău intenționate, dar atacatorii și-au recuperat rapid activitatea. În prezent, numărul de site-uri rău intenționate a scăzut, dar peste 10% din trafic încă trece prin ele.
Există contramăsuri stabilite, cum ar fi preîncărcarea HSTS și HTTPS pretutindeni, dar în practică, mulți operatori de site-uri web nu le pun în aplicare și își lasă utilizatorii vulnerabili la acest tip de atac.
Acest tip de atac nu este specific browserului Tor. Releele rău intenționate sunt folosite numai pentru a obține acces la traficul utilizatorilor și pentru a face dificilă detectarea, entitatea rău intenționată nu a atacat toate site-urile în mod egal.
Se pare că sunt în principal în căutare de site-uri web legate de criptomonedeadică mai multe servicii de mixare bitcoin.
Au înlocuit adresele bitcoin din traficul HTTP pentru a redirecționa tranzacțiile către portofelele lor în loc de adresa bitcoin furnizată de utilizator. Atacurile de rescriere a adreselor Bitcoin nu sunt noi, dar amploarea operațiunilor lor este. Nu este posibil să se determine dacă participă la alte tipuri de atacuri.
Eliminarea direcționată a redirecționărilor către variantele HTTPS ale site-urilor de activitate conectate la nodurile de ieșire rău intenționate este văzută la accesul inițial la o resursă necriptată prin HTTP, permițând atacatorilor să intercepteze conținutul sesiunii fără a falsifica certificatele. TLS (atac „Eliminarea SSL”).
O abordare similară funcționează pentru utilizatorii care introduc adresa site-ului fără a indica în mod explicit „https: //” în fața domeniului și, după deschiderea paginii, nu vă concentrați pe numele protocolului din bara de adrese a browserului Tor. Pentru a vă proteja împotriva blocării redirecționărilor către site-urile HTTPS, se recomandă utilizarea preîncărcării HSTS.
Am contactat unele dintre site-urile Bitcoin afectate cunoscute, astfel încât să poată atenua acest lucru la nivel tehnic folosind preîncărcarea HSTS. Altcineva a postat regulile HTTPS-Everywhere pentru domeniile afectate cunoscute (HTTPS Everywhere este instalat implicit în browserul Tor). Din păcate, niciunul dintre aceste site-uri nu avea activată preîncărcarea HSTS la momentul respectiv. Cel puțin un site web Bitcoin afectat a implementat preîncărcarea HSTS după aflarea acestor evenimente.
După postarea pe blog din decembrie 2019, Proiectul Tor avea planuri promițătoare pentru 2020 cu o persoană dedicată îmbunătățirilor conducerii în acest domeniu, dar din cauza concedierilor recente legate de COVID19, acea persoană a fost repartizată într-o altă zonă.
În plus, se pare că autoritățile din directorul Tor nu mai îndepărtează relele pe care le eliminau timp de câteva săptămâni.
Nu este clar ce a declanșat această modificare a politicii, dar se pare că cineva îi place și adaugă grupuri de relee nedeclarate.
În cele din urmă, dacă doriți să aflați mai multe despre aceasta, puteți verifica detaliile în următorul link.