无畏暴露,继续攻击可以提供服务器端匿名性,所以Tor既可以浏览普通网络,也可以浏览暗网。萨里大学教授、欧洲刑警组织网络犯罪部门顾问艾伦伍德沃德指出,在斯诺登事件发生之前,大约有100万人访问了Tor网络,此后这一数字飙升至600万。去年8月,一位名为Nusenu的安全研究员和Tor节点操作员首次记录并揭露了这些攻击。攻击者有选择地删除HTTP到HTTPS重定向以获得对普通未加密HTTP消息的完全访问权限,而不会导致TLS证书警告,并用他们自己的地址替换加密货币地址,然后劫持交易以谋取私利。在研究发表之前,攻击者已经用恶意的Tor出口中继淹没了Tor网络3次,每次他们的攻击都达到Tor网络总出口容量的大约23%,然后才被Tor团队关闭。去年5月22日,恶意攻击在380台服务器上达到顶峰,当时该组织控制了所有Tor出口中继的23.95%,使Tor用户有四分之一的机会登陆恶意出口中继。“比特币地址重写攻击并不新鲜,但他们的行动规模巨大。”Nusenu表示,根据用于恶意服务器的联系人电子邮件地址,黑客追踪了至少七个不同的恶意Tor出口中继集群,这些集群是在七个月的时间内添加的。与之前的攻击一样,Nusenu检测到的这次最新攻击也从Tor网络中删除了恶意的Tor出口中继。但攻击一直在进行,可能持续了一年左右。资料来源:NusenuNusenu推测黑客未被发现的主要原因是他们每次都添加少量恶意出口中继以躲避雷达,但随着时间的推移,这些累积起来。但本月早些时候,黑客改变了策略,可能是因为他们的基础设施再次遭到破坏,他们试图让所有服务器同时上线。最新的攻击是在Tor网络的出口容量从每天约1,500次增加到超过2,500次之后的一天内发现的,这是Tor内部任何人都无法忽视的一个峰值。但尽管有超过1000台服务器被关闭,但Nusenu表示,截至2021年5月5日,攻击者仍控制着整个Tor网络4%到6%的出口能力,SSLStrip攻击仍在继续。此外,Nusenu还表示,从去年开始,攻击者似乎也在SSLStrip攻击后修改下载,但不清楚他们篡改了什么,也不清楚攻击者是否使用了其他技术。短期修复去年,为了减轻此类攻击,Tor表示站点将启用HTTPS(加密的、经过身份验证的版本)并添加了“完整修复”以在Tor浏览器中禁用纯HTTP(未加密的、未加密的)。认证版本)。同时,Tor表示将加强监控,一旦发现恶意中继将第一时间处理。但是有两个问题:未知中继是否是恶意的很难判断,这就产生了如果没有观察到攻击行为是否应该保留的问题。给定一组未知中继,很难判断它们是否相关,即是否属于Sybil攻击。2019年,Tor创建了一个网络健康团队,负责监控网络状况,可以帮助更快、更全面地识别恶意中继。但受疫情影响,Tor公司裁员三分之一,监控团队也被解散。目前,Tor没有足够的人力专门处理此事。美国网络安全和基础设施安全局(CISA)在2020年7月的一份报告中表示,通过Tor路由的恶意活动成为目标的风险对于每个组织都是独一无二的。组织应通过评估攻击者以其系统或数据为目标的可能性,以及攻击者在当前控制下成功的可能性来确定个人风险。事实上,早在2018年就发生了针对Tor的类似攻击,但当时它针对的是Tor到网络(Tor2Web)代理——公共互联网上的门户网站,而不是Tor出口中继。当时,美国安全公司Proofpoint报告说,至少有一个tor-to-web代理运营商正在悄悄地为访问勒索软件支付门户网站以支付赎金要求的用户替换比特币地址。这使得攻击者可以有效地劫持支付,即使受害者支付了赎金,也不会让受害者获得解密密钥。尽管Tor被认为是保护Internet隐私的最强大工具之一,但安全问题也不容忽视。
