Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

il 27% dei Relay TOR spia gli utenti.

Redazione RHC : 10 Maggio 2021 14:14

Ne avevamo già parlato in passato relativamente al traffico in uscita dei relay TOR, ma di recente dei criminali informatici sconosciuti sono riusciti a controllare oltre il 27% dell’intera capacità di uscita dalla rete Tor, questo è stato rilevato da un nuovo studio sull’infrastruttura del dark web.

Tor è un software open source che permette di comunicare in modo anonimo su Internet. Offusca l’origine e la destinazione di una richiesta web indirizzando il traffico di rete attraverso una serie di relè al fine di mascherare l’indirizzo IP, la posizione e l’utilizzo di un utente dalle attività di sorveglianza o dalle analisi del traffico.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Mentre gli Entry/Guard Relay si occupano tipicamente di ricevere il traffico sulla rete Tor e lo trasmettono al suo interno, un Exit Relay è il nodo finale attraverso il quale il traffico Tor passa prima di raggiungere la sua destinazione, uscendo di fatto dal modello di cifratura della rete Onion accedendo al clear web.

    Un ricercatore di sicurezza indipendente chiamato nusenu, ha scritto due articoli su medium, dal titolo “Tracking One Year of Malicious Tor Exit Relay Activities” parteI e Parte II, uno di agosto del 2020 e il secondo, l’ultimo uscito qualche giorno fa.

    Nell’ultimo uscito il 9 di maggio (per chi legge oggi ieri), ha riportato quanto segue:

    “La frazione di uscita media controllata da questa entità è stata superiore al 14% negli ultimi 12 mesi”.

    Si tratta di un numero impressionante di Relay TOR gestiti, anche considerando che la rete è completamente decentralizzata. Gli attacchi, da quanto viene riportato, sono iniziati da gennaio 2020 e sono stati documentati ed esposti per la prima volta dallo stesso ricercatore nel primo report del 9 agosto 2020, dove aveva concluso che la percentuale di controllo da parte dei criminali informatici era pari al 23% del totale dei Relay TOR.


    Monitoraggio Relay TOR dannosi da Settembre 2020 ad Aprile 2021

    I nodi di uscita sulla rete Tor sono stati in passato utilizzati per iniettare malware come OnionDuke, ma questa è la prima volta che un singolo attore di minaccia non identificato è riuscito a controllare una frazione così ampia dei nodi di uscita.

    Lo scopo principale, secondo nusenu, è quello di eseguire degli attacchi “person-in-the-middle” verso gli utenti Tor manipolando il traffico mentre scorre verso la rete in uscita.

    In particolare, l’attaccante sembra eseguire quello che viene chiamato SSL stripping per eseguire il downgrade del traffico verso i servizi di mixer Bitcoin da HTTPS a HTTP nel tentativo di sostituire gli indirizzi bitcoin e reindirizzare le transazioni ai loro portafogli invece che all’indirizzo bitcoin dell’utente.

    “Se un utente visitasse la versione HTTP (ovvero la versione non crittografata e non autenticata) di uno di questi siti, impedirebbe al sito di reindirizzare l’utente alla versione HTTPS (ovvero la versione crittografata e autenticata) del sito”

    Ed ecco che in questo caso si potrebbe passare alla successiva iniezione.

    i manutentori di Tor Project hanno spiegato lo scorso agosto:

    “Se l’utente non si è accorto di non essere finito sulla versione HTTPS del sito (nessuna icona di blocco nel browser) e ha proceduto a inviare o ricevere informazioni sensibili, queste informazioni potrebbero essere intercettate dall’aggressore.”

    Per mitigare tali attacchi, il progetto Tor ha delineato una serie di raccomandazioni, tra cui esortare gli amministratori dei siti Web ad abilitare HTTPS per impostazione predefinita e creare siti .onion, per evitare che si possa uscire dalla rete, aggiungendo che sta lavorando a una “correzione completa” per disabilitare il semplice HTTP in Tor Browser.

    Di seguito i punti salienti della ricerca:

    • The entity attacking tor users, originally disclosed in August 2020, is actively exploiting tor users since over a year and expanded the scale of their attacks to a new record level (>27% of the tor network’s exit capacity has been under their control on 2021–02–02).
    • The average exit fraction this entity controlled was above 14% throughout the past 12 months (measured between 2020–04–24 and 2021–04–26).
    • The malicious actor actively reported non-malicious but poorly configured relays to the Tor Project’s bad-relays mailing list to find viable victims to use for operator impersonation attacks.
    • Most of the malicious tor exit capacity did not have any relay ContactInfo. Throughout the last 6 months the majority of tor exit capacity without ContactInfo was malicious.
    • The attacker primarily uses servers at the hoster OVH.
    • In early May 2021 the attacker attempted to add over 1 000 exit relays to the tor network.
    • The attacker (or one of them) likely uses the Russian language interface of gmail.com.
    • As of 2021–05–08 I estimate their exit fraction between 4-6% of the tor network’s exit capacity.
    • A new non-spoofable ContactInfo field for tor relays has been specified and has been adopted by over 20% of the network’s exit capacity so far.
    • OrNetStats has been extended to include two new graphs: exit fraction by non-spoofable ContactInfo domain and graphs showing exit fraction without ContactInfo

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Cyberattacchi senza precedenti: il Report DarkMirror di DarkLab lancia l’allarme per l’Italia

    Il report DarkMirror Q1 2025 di DarkLab, il laboratorio di Cyber Threat Intelligence di Red Hot Cyber, offre un’analisi dettagliata dell’evoluzione del ransomware in Italia e nel mondo. ...

    Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

    Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

    25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

    Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

    Le Action Figure della Cyber Security. Red Hot Cyber lancia la serie “Chiama Ammiocuggino!”

    In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...

    GPT-4 scrive un exploit prima del PoC pubblico. La corsa alla Patch non è mai stata così essenziale

    AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006