El autor del proyecto OrNetRadar, que monitorea la conexión de nuevos grupos de nodos a la red anónima de Tor, publicó un informe sobre la identificación de un gran operador de nodos de salida Tor maliciosos, que está tratando de manipular el tráfico de usuarios.
Según estas estadísticas, el 22 de mayo se fijó la conexión a la red Tor del gran grupo de hosts maliciosos, en el que un atacante para hacerse con el control del tráfico, cubría el 23,95% de todas las llamadas a través de los nodos de salida.
En diciembre de 2019 escribí sobre el creciente problema de los relés maliciosos en la red Tor con la motivación de crear conciencia y mejorar la situación con el tiempo. Desafortunadamente, en lugar de mejorar, las cosas han empeorado, específicamente cuando se trata de actividad maliciosa de retransmisión de salida de Tor.
En su apogeo, el grupo malicioso constaba de unos 380 nodos. Al vincular nodos basados en correos electrónicos de contacto enumerados en servidores con actividad maliciosa, los investigadores pudieron identificar al menos 9 grupos diferentes de nodos de salida maliciosos que han estado activos durante aproximadamente 7 meses.
Los desarrolladores de Tor intentaron bloquear los hosts maliciosos, pero los atacantes recuperaron rápidamente su actividad. Actualmente, la cantidad de sitios maliciosos ha disminuido, pero más del 10% del tráfico aún pasa por ellos.
Existen contramedidas establecidas, como por ejemplo precarga de HSTS y HTTPS en todas partes, pero en la práctica, muchos operadores de sitios web no los implementan y dejan a sus usuarios vulnerables a este tipo de ataque.
Este tipo de ataque no es específico del navegador Tor. Los relés maliciosos solo se utilizan para obtener acceso al tráfico de usuarios y para dificultar la detección, la entidad maliciosa no atacó a todos los sitios web por igual.
Parece que buscan principalmente sitios web relacionados con criptomonedas, es decir, múltiples servicios de mezcla de bitcoins.
Reemplazaron las direcciones de bitcoin en el tráfico HTTP para redirigir las transacciones a sus billeteras en lugar de la dirección de bitcoin proporcionada por el usuario. Los ataques de reescritura de direcciones de Bitcoin no son nuevos, pero la escala de sus operaciones sí lo es. No es posible determinar si participan en otros tipos de ataques.
La eliminación selectiva de redireccionamientos a variantes HTTPS de sitios de la actividad registrada en nodos de salida maliciosos se observa en el acceso inicial a un recurso sin cifrado a través de HTTP, lo que permite a los atacantes interceptar el contenido de las sesiones sin falsificar certificados TLS (ataque de «eliminación de SSL»).
Un enfoque similar funciona para los usuarios que escriben la dirección del sitio sin indicar explícitamente «https://» delante del dominio y después de abrir la página no se centran en el nombre del protocolo en la barra de direcciones del navegador Tor. Para protegerse contra el bloqueo de redirecciones a sitios HTTPS, se recomienda utilizar la precarga de HSTS.
Me comuniqué con algunos de los sitios de bitcoins afectados conocidos, para que puedan mitigar esto a nivel técnico utilizando la precarga de HSTS. Alguien más envió las reglas HTTPS-Everywhere para los dominios afectados conocidos (HTTPS Everywhere se instala de forma predeterminada en el navegador Tor). Desafortunadamente, ninguno de estos sitios tenía habilitada la precarga de HSTS en ese momento. Al menos un sitio web de bitcoin afectado implementó la precarga de HSTS después de conocer estos eventos.
Después de la publicación del blog de diciembre de 2019, el Proyecto Tor tenía algunos planes prometedores para 2020 con una persona dedicada a impulsar mejoras en esta área, pero debido a los recientes despidos relacionados con COVID19, esa persona fue asignada a otra área.
Además de eso, las autoridades del directorio Tor aparentemente ya no están eliminando los relés que solían eliminar desde hace algunas semanas.
No está claro qué desencadenó este cambio de política, pero aparentemente a alguien le gusta y está agregando grupos de retransmisión no declarados.
Finalmente si quieres conocer mas al respecto puedes consultar los detalles en el siguiente enlace.
Fuente: desdelinux
