無畏曝光，繼續(xù)攻擊Tor(The Onion Router，洋蔥路由)是一個(gè)成熟的匿名上網(wǎng)工具，可以幫助用戶匿名上網(wǎng)，同時(shí)可以提供服務(wù)器端的匿名，所以 Tor 既可以用來瀏覽普通網(wǎng)絡(luò)也可以訪問暗網(wǎng)。薩里大學(xué)教授兼歐洲刑警組織網(wǎng)絡(luò)犯罪部門顧問 Alan Woodward 指出，在斯諾登事件之前，訪問 Tor 網(wǎng)絡(luò)的人數(shù)大約有 100 萬(wàn)，之后，這一數(shù)字飆升到了 600 萬(wàn)。

去年 8 月，一位叫 Nusenu 的安全研究人員和 Tor 節(jié)點(diǎn)運(yùn)營(yíng)商 首次記錄 并曝光了這些攻擊。攻擊者有選擇地刪除 HTTP 到 HTTPS 重定向，以完全訪問普通的未加密 HTTP 信息，而不會(huì)引起 TLS 證書警告，并用他們自己的地址來替代加密貨幣地址，然后劫持交易為自己牟利。

在研究發(fā)表前，攻擊者已經(jīng)三次用惡意的 Tor 出口中繼充斥 Tor 網(wǎng)絡(luò)，每次被 Tor 團(tuán)隊(duì)關(guān)閉之前，他們的攻擊都會(huì)達(dá)到 Tor 網(wǎng)絡(luò)出口總?cè)萘康募s 23%。惡意攻擊在去年 5 月 22 日達(dá)到 380 臺(tái)服務(wù)器的峰值，當(dāng)時(shí)該組控制了所有 Tor 出口中繼的 23.95%，使 Tor 用戶有四分之一的機(jī)會(huì)登陸到惡意出口中繼。

“比特幣地址重寫攻擊并不新鮮，但其操作規(guī)模卻很大。”Nusenu 表示，根據(jù)用于惡意服務(wù)器的聯(lián)系電子郵件地址，駭客跟蹤了至少七個(gè)不同的惡意 Tor 出口中繼群集，這些群集是在七個(gè)月內(nèi)被添加的。

與上次攻擊一樣，Nusenu 最新檢測(cè)到的這次攻擊也是從 Tor 網(wǎng)絡(luò)中刪除惡意 Tor 出口中繼。不過攻擊行為一直都在進(jìn)行，大概已經(jīng)持續(xù)一年之久。

來源: Nusenu

Nusenu 推測(cè)，駭客攻擊行為一直沒有被發(fā)現(xiàn)的主要原因在于，他們每次添加惡意出口中繼的數(shù)量都很小，以便通過雷達(dá)的監(jiān)控，但這些都會(huì)隨著時(shí)間慢慢積累。

但本月早些時(shí)候，駭客改變了策略，很可能是因?yàn)樗麄兊幕A(chǔ)設(shè)施再次被摧毀，他們?cè)噲D讓所有服務(wù)器同時(shí)上線。

最近的一次攻擊是在 Tor 網(wǎng)絡(luò)的出口容量從每日 1500 次左右增加到超過 2500 次之后的一天內(nèi)被發(fā)現(xiàn)的，這個(gè)峰值在 Tor 內(nèi)部任何人都無法忽視。

但盡管有超過 1000 臺(tái)服務(wù)器被關(guān)閉，Nusenu 表示，截至 2021 年 5 月 5 日，攻擊者仍然控制著整個(gè) Tor 網(wǎng)絡(luò)退出能力的 4% 至 6%，SSLStrip 攻擊仍在繼續(xù)。

此外，Nusenu 還表示，自去年以來，攻擊者似乎還在 SSLStrip 攻擊后進(jìn)行下載修改，但尚不清楚他們究竟篡改了什么，或攻擊者是否使用了其他技術(shù)。

短期難解決

去年，為了減輕此類攻擊，Tor 就表示網(wǎng)站將啟用 HTTPS(經(jīng)加密，身份驗(yàn)證的版本)，并添加一個(gè)“全面修復(fù)”功能來禁用 Tor 瀏覽器中的普通 HTTP(未加密、未經(jīng)身份驗(yàn)證的版本)。

同時(shí)，Tor 表示將加強(qiáng)監(jiān)控，一旦發(fā)現(xiàn)惡意中繼便會(huì)立即處理。但會(huì)面臨兩個(gè)問題：

• 很難判斷一個(gè)未知中繼是否惡意，這導(dǎo)致在沒有觀察到攻擊行為情況下是否應(yīng)該對(duì)其保留成為一個(gè)問題。
• 給定一組未知的中繼，很難判斷它們是否相關(guān)，即是否屬于 Sybil 攻擊。

2019 年，Tor 創(chuàng)建了一個(gè)監(jiān)控網(wǎng)絡(luò)情況的 Network Health 團(tuán)隊(duì)，該團(tuán)隊(duì)可以幫助更快、更全面地識(shí)別惡意中繼。但由于疫情影響，Tor 公司裁員三分之一，該監(jiān)控團(tuán)隊(duì)也被解散。目前，Tor 沒有足夠的人力來專門解決這個(gè)事情。

美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 在 2020 年 7 月的一份報(bào)告中表示，成為通過 Tor 路由的惡意活動(dòng)目標(biāo)的風(fēng)險(xiǎn)是每個(gè)組織特有的。一個(gè)組織應(yīng)該通過評(píng)估攻擊者將其系統(tǒng)或數(shù)據(jù)作為目標(biāo)的可能性，以及在當(dāng)前控制措施下攻擊者成功的可能性，并以此來確定個(gè)人風(fēng)險(xiǎn)。

其實(shí)，早在 2018 年發(fā)生了類似的對(duì) Tor 的攻擊，但當(dāng)時(shí)針對(duì)的 Tor-to-web(Tor2Web)代理 - 公共互聯(lián)網(wǎng)上的 Web 門戶，而非 Tor 出口中繼。

當(dāng)時(shí)的美國(guó)安全公司 Proofpoint 報(bào)告稱，至少有一個(gè) Tor-to-web 代理運(yùn)營(yíng)商正在悄悄地為訪問打算支付贖金要求的勒索軟件支付門戶的用戶替換比特幣地址。這樣攻擊者可以有效劫持付款，使受害者即使支付了贖金也沒有解密密鑰。

Tor 雖被認(rèn)為是互聯(lián)網(wǎng)上用于保護(hù)隱私最有力的工具之一，但安全問題也是不可忽略的。