Как стать автором
Обновить

Четверть выходных нод TOR под контролем злоумышленников

Время на прочтение2 мин
Количество просмотров18K

9 августа некий Nusenu, владелец выходной ноды в TOR, опубликовал пост, в котором заявил, что более 23% всех выходных нод находятся под контролем злоумышленников, которые перехватывают трафик пользователей и подменяют на лету Bitcoin кошельки в попытке увести чужие средства. Оригинал статьи находится здесь.

Истинный масштаб операций этой группы неизвестен, но их главной целью является получение прибыли. Злоумышленники осуществляют атаки man-in-the-middle на пользователей Tor и манипулируют трафиком, проходящим через подконтрольные им выходные узлы. Особенность ситуации в том, что атакующие применяли технику sslstrip, которая почему-то считается давно умершей и утратившей актуальность. Пока т.н. специалисты твердят об HTTP Strict Transport Security (= HSTS) и прочих preloaded списках доменов, сетевые злодеи вовсю эксплуатируют старую технику. В свое время Эдвард Сноуден использовал такие же приемы в своей деятельности.

Таким образом группировка подменяет биткоин-адреса внутри HTTP-трафика, связанного с миксер-сервисами. Подобные сервисы помогают «запутать следы», превращая простой перевод средств с одного аккаунта на другой в сложную схему: вместо одной транзакции сервис разбивает нужный платеж на сотни или тысячи мелких переводов, которые отправляются на разные аккаунты и проходят через множество кошельков, прежде чем достигнут истинной цели. То есть, подменяя адреса на уровне HTTP-трафика, злоумышленники эффективно перехватывают средства жертв, без ведома как самих пользователей, так и криптовалютных миксер-серсивов.

Предлагаю вам ознакомиться с двумя видео роликами. В первом рассказывается история и суть атаки sslstrip, которая позволяет обрезать https ссылки и перехватывать данные предназначенные для ssl сессии.


Во втором рассказывается о механизме HSTS, который призван предотвратить использование техники sslstrip. Кроме этого в ролике демонстрируется способ обхода HSTS при помощи инструмента Intercepter-NG и объясняется принцип действия.


Также рекомендую ознакомиться со следующим интервью, в котором затрагиваются вопросы MiTM атак и возможные способы защиты от них.

Теги:
Хабы:
Всего голосов 38: ↑22 и ↓16+18
Комментарии35

Публикации

Истории

Работа

Ближайшие события

2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань