Аутор пројекта ОрНетРадар, који надгледа везу нових група чворова са анонимном мрежом Тор, објавио извештај на идентификовању сјајног оператора излазног чвора Злонамерни Тор, који покушава да манипулише корисничким саобраћајем.
Према овим статистикама, 22. мајаПоправио сам везу са Тор мрежом велике групе злонамерних хостова, у коме је нападач да би стекао контролу над саобраћајем покрио 23,95% свих позива кроз излазне чворове.
У децембру 2019. писао сам о растућем проблему злонамерних релеја на мрежи Тор са мотивацијом за подизање свести и побољшање ситуације током времена. На жалост, уместо да се поправе, ствари су се погоршале, посебно када је реч о злонамерној активности Тор излазног релеја.
На врхунцу, злонамерна група се састојала од око 380 чворова. Повезивањем чворова на основу контакт е-адреса наведених на серверима са злонамерним активностима, истраживачи Успели су да идентификују најмање 9 различитих група злонамерних излазних чворова који су активни око 7 месеци.
Програмери Тор покушали су да блокирају злонамерне хостове, али су се нападачи брзо опоравили. Тренутно се смањио број злонамерних веб локација, али више од 10% промета и даље пролази кроз њих.
Постоје успостављене противмере, као што је претходно учитавање ХСТС-а и ХТТПС-а свуда, али у пракси, многи оператери веб локација не спроводе их и остављају своје кориснике рањивим на ову врсту напада.
Ова врста напада није специфична за прегледач Тор. Злонамерни релеји се користе само за добијање приступа корисничком саобраћају и да би отежали откривање, злонамерни ентитет није напао све веб локације подједнако.
Чини се да првенствено претражују веб локације повезане са криптовалутомодносно вишеструке услуге мешања биткоина.
У ХТТП саобраћају заменили су битцоин адресе да би преусмерили трансакције у новчанике уместо битцоин адресе коју је навео корисник. Напади на преписивање битцоин адреса нису нови, али обим њихових операција јесте. Није могуће утврдити да ли учествују у другим врстама напада.
Циљано уклањање ХТТПС варијанте преусмеравања активности евидентираних на злонамерним излазним чворовима види се при почетном приступу нешифрованом ресурсу преко ХТТП-а, омогућавајући нападачима да пресретну садржај сесије без фалсификовања сертификата ТЛС (напад „ССЛ уклањање“).
Сличан приступ делује и за кориснике који укуцају адресу странице без изричитог навођења „хттпс: //“ испред домена, а након отварања странице не фокусирају се на име протокола у траци за адресу прегледача Тор. Да бисте се заштитили од блокирања преусмеравања на ХТТПС локације, препоручује се употреба ХСТС предоптерећења.
Досегао сам до неких познатих погођених битцоин локација, тако да то могу ублажити на техничком нивоу помоћу ХСТС предоптерећења. Неко други је објавио ХТТПС-Еверивхере правила за познате погођене домене (ХТТПС Еверивхере је подразумевано инсталиран у прегледачу Тор). На жалост, ниједна од ових локација у то време није имала омогућено ХСТС унапред учитавање. Најмање једна погођена битцоин веб локација је применила ХСТС предоптерећење након сазнања за ове догађаје.
После објаве на блогу у децембру 2019, Пројекат Тор је имао неке обећавајуће планове за 2020. годину са особом посвећеном побољшањима у вожњи у овој области, али због недавних отпуштања повезаних са ЦОВИД19, та особа је распоређена у другу област.
Поврх тога, власти Тор директорија очигледно више не уклањају релеје које су некад уклањале неколико недеља.
Нејасно је шта је покренуло ову промену политике, али очигледно се то некоме свиђа и додаје непријављене релејне групе.
Коначно, ако желите да сазнате више о томе, детаље можете погледати у следећи линк.