Автор проекту OrNetRadar, який контролює підключення нових груп вузлів до анонімної мережі Tor, опублікував звіт щодо визначення чудового оператора вузла виходу Шкідливий Tor, який намагається маніпулювати користувацьким трафіком.
Згідно з цією статистикою, 22-го маЯ виправив підключення до мережі Tor великої групи зловмисних хостів, в якому зловмисник, щоб отримати контроль над трафіком, охопив 23,95% усіх дзвінків через вихідні вузли.
У грудні 2019 року я писав про зростаючу проблему шкідливих реле в мережі Tor з мотивацією підвищити обізнаність та покращити ситуацію з часом. На жаль, замість того, щоб покращитися, ситуація погіршилася, зокрема, коли мова йде про шкідливу активність вихідних реле Tor.
На піку, зловмисна група складалася приблизно з 380 вузлів. Пов’язуючи вузли на основі контактних електронних листів, перелічених на серверах, із шкідливою діяльністю, дослідники Вони змогли ідентифікувати щонайменше 9 різних груп шкідливих вузлів виходу, які працювали близько 7 місяців.
Розробники Tor намагалися заблокувати зловмисні хости, але зловмисники швидко відновили свою активність. В даний час кількість шкідливих веб-сайтів зменшилася, але понад 10% трафіку все ще проходить через них.
Існують встановлені контрзаходи, такі як попереднє завантаження HSTS та HTTPS скрізь, але на практиці, багато операторів веб-сайтів вони їх не реалізують і вони залишають своїх користувачів вразливими до цього типу атак.
Цей тип атаки не характерний для браузера Tor. Шкідливі ретранслятори використовуються лише для отримання доступу до користувацького трафіку та для ускладнення виявлення, зловмисна сутність не атакувала однаково всі веб-сайти.
Здається, вони в першу чергу шукають веб-сайти, пов'язані з криптовалютоютобто кілька служб змішування біткойнів.
Вони замінили біткойн-адреси в HTTP-трафіку, щоб перенаправити транзакції на свої гаманці замість адреси біткойна, наданої користувачем. Атаки переписування біткойн-адрес не є новиною, але масштаби їхніх операцій є. Неможливо визначити, чи беруть вони участь в інших видах атак.
Цільове видалення переспрямувань на варіанти HTTPS сайтів активності, зареєстрованих на шкідливих вихідних вузлах, спостерігається при початковому доступі до незашифрованого ресурсу через HTTP, що дозволяє зловмисникам перехоплювати вміст сеансу без підробки сертифікатів TLS (атака "Видалення SSL").
Подібний підхід працює для користувачів, які вводять адресу сайту, не вказуючи прямо "https: //" перед доменом, а після відкриття сторінки не фокусуються на назві протоколу в адресному рядку браузера Tor. Для захисту від блокування переспрямувань на сайти HTTPS рекомендується використовувати попереднє завантаження HSTS.
Я зв’язався з деякими відомими сайтами, що постраждали від біткойнів, тому вони можуть пом’якшити це на технічному рівні, використовуючи попереднє завантаження HSTS. Хтось інший опублікував правила HTTPS-Everywhere для відомих уражених доменів (HTTPS Everywhere встановлюється за замовчуванням у браузері Tor). На жаль, на жодному з цих сайтів на той час не було ввімкнено попереднє завантаження HSTS. Принаймні один постраждалий веб-сайт біткойн застосував попереднє завантаження HSTS після дізнання про ці події.
Після публікації в блозі в грудні 2019 року, Проект Tor мав кілька перспективних планів на 2020 рік з людиною, яка займається вдосконаленням водіння в цій галузі, але через нещодавні звільнення, пов'язані з COVID19, ця особа була призначена в іншу область.
На додачу до цього, керівництво каталогу Tor, очевидно, більше не знімає реле, яке раніше виймало протягом декількох тижнів.
Незрозуміло, що спричинило цю зміну політики, але, мабуть, комусь це подобається і додає незадекларовані групи реле.
Нарешті, якщо ви хочете дізнатись більше про це, ви можете перевірити деталі в наступне посилання.