Атака на пользователей Tor, в которую вовлечено четверть мощности выходных узлов
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Автор проекта OrNetRadar, занимающегося мониторингом подключения новых групп узлов к анонимной сети Tor, опубликовал отчёт о выявлении крупного оператора вредоносных выходных узлов Tor, который пытается манипулировать трафиком пользователей. В соответствии с приведённой статистикой 22 мая было зафиксировано подключение к сети Tor большой группы вредоносных узлов, в результате которого атакующие получили контроль за трафиком, охватывающим 23.95% от всех обращений через выходные узлы.
В пик своей активности вредоносная группа насчитывала около 380 узлов. Связав узлы на основе контактных email, указанных на серверах с вредоносной активностью, исследователям удалось выявить как минимум 9 разных кластеров вредоносных выходных узлов, действующих около 7 месяцев. Разработчики Tor попытались заблокировать вредоносные узлы, но атакующие быстро восстановили свою активность. В настоящее время число вредоносных узлов снизилось, но через них по-прежнему проходит более 10% трафика.
Из зафиксированной на вредоносных выходных узлах активности отмечается выборочное удаление перенаправлений
на HTTPS-варианты сайтов при изначальном обращении к ресурсу без шифрования по HTTP, что позволяет злоумышленникам перехватывать содержимое сеансов без подмены TLS-сертификатов (атака "ssl stripping"). Подобный подход срабатывает у пользователей, которые набирают адрес сайта без явного указания "https://" перед доменом и после открытия страницы не акцентируют внимание на название протокола в адресной строке Tor Browser.
Для затруднения выявления вредоносной активности подмена осуществляется выборочно на отдельных сайтах, в основном связанных с криптовалютами. Если в незащищённом трафике выявляется bitcoin-адрес, то в трафик вносятся изменения для замены bitcoin-адреса и перенаправления транзакции на свой кошелёк. Для защиты от блокирования перенаправления на HTTPS сайтам рекомендуется использовать HSTS preloading.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://medium.com/@nusenu/how...)
- OpenNews: Представлен Tor2web 2.0, проект по созданию анонимных web-сервисов на базе технологий Tor
- OpenNews: Массовая атака на уязвимые почтовые серверы на основе Exim
- OpenNews: Выпуск новой стабильной ветки Tor 0.4.2
- OpenNews: Новый вид теоретической атаки по деанонимизации в Tor
- OpenNews: Предупреждение об атаках на Tor Browser с применением неисправленной уязвимости
Похожие новости:
- [MySQL, Облачные вычисления, MongoDB, Kubernetes] Как собрать гибридное облако с помощью Kubernetes, которое может заменить DBaaS
- [Машинное обучение, Искусственный интеллект] Обманываем нейросети при помощи шума (перевод)
- [Информационная безопасность, IT-компании] Cистема онлайн-прокторинга ProctorU подтвердила факт утечки 444 тыс. данных пользователей сервиса
- [Программирование, .NET, ASP, C#] Три мушкетара — Event Sourcing, Event Storming и Event Store — вступают в бой: Часть 1 — пробуем Event Store ДБ
- [Разработка под iOS, Смартфоны, IT-компании] Apple подтвердила, что облачные сервисы по типу xCloud и Stadia нарушают условия AppStore и поэтому запрещены
- [Высокая производительность, C++, Алгоритмы, Параллельное программирование, GitHub] C++ template аллокатора с потокобезопасным циклическим буфером
- [Python, Проектирование и рефакторинг] Мониторинг демон на Asyncio + Dependency Injector — руководство по применению dependency injection
- [Системное администрирование, Серверное администрирование, DevOps, Kubernetes] New Relic меняет бизнесь модель — открывает код агентов и инструментария (перевод)
- [PostgreSQL] Павел Труханов. Мониторинг Postgres по USE и RED. Расшифровка с PGConf.Russia
- [Монетизация мобильных приложений] Как Apple при помощи нерыночных методов занимается вымогательством у разработчиков (перевод)
Теги для поиска: #_tor
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:06
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Автор проекта OrNetRadar, занимающегося мониторингом подключения новых групп узлов к анонимной сети Tor, опубликовал отчёт о выявлении крупного оператора вредоносных выходных узлов Tor, который пытается манипулировать трафиком пользователей. В соответствии с приведённой статистикой 22 мая было зафиксировано подключение к сети Tor большой группы вредоносных узлов, в результате которого атакующие получили контроль за трафиком, охватывающим 23.95% от всех обращений через выходные узлы.  В пик своей активности вредоносная группа насчитывала около 380 узлов. Связав узлы на основе контактных email, указанных на серверах с вредоносной активностью, исследователям удалось выявить как минимум 9 разных кластеров вредоносных выходных узлов, действующих около 7 месяцев. Разработчики Tor попытались заблокировать вредоносные узлы, но атакующие быстро восстановили свою активность. В настоящее время число вредоносных узлов снизилось, но через них по-прежнему проходит более 10% трафика.  Из зафиксированной на вредоносных выходных узлах активности отмечается выборочное удаление перенаправлений на HTTPS-варианты сайтов при изначальном обращении к ресурсу без шифрования по HTTP, что позволяет злоумышленникам перехватывать содержимое сеансов без подмены TLS-сертификатов (атака "ssl stripping"). Подобный подход срабатывает у пользователей, которые набирают адрес сайта без явного указания "https://" перед доменом и после открытия страницы не акцентируют внимание на название протокола в адресной строке Tor Browser. Для затруднения выявления вредоносной активности подмена осуществляется выборочно на отдельных сайтах, в основном связанных с криптовалютами. Если в незащищённом трафике выявляется bitcoin-адрес, то в трафик вносятся изменения для замены bitcoin-адреса и перенаправления транзакции на свой кошелёк. Для защиты от блокирования перенаправления на HTTPS сайтам рекомендуется использовать HSTS preloading. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:06
Часовой пояс: UTC + 5