IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

HTTPS

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

سهم بیش از 25% رله های خروجی Tor در جاسوسی از فعالیت های کاربران در دارک وب

 takian.ir tor exiting relays control main

مطالعه جدیدی در مورد زیرساخت های دارک وب افشا کرده است که یک عامل تهدید ناشناخته در اوایل فوریه 2021 بیش از 27 درصد از کل ظرفیت خروجی شبکه Tor را کنترل کرده است.

یک محقق امنیتی مستقل که از او با nusenu نام برده شده است، در متنی که روز یکشنبه منتشر شده، اعلام کرده است که: "نهادی که به کاربران Tor حمله می کند، از بیش از یک سال پیش بصورت فعالانه از کاربران Tor بهره برداری می کند و دامنه حملات آنها را به سطح اطلاعاتی جدیدی ارتقا داده است. متوسط ​​نرخ خروجی که این نهاد در طول 12 ماه گذشته کنترل کرده، بالای 14٪ بوده است".

به گزارش هکرنیوز، این آخرین مورد از مجموعه تلاشهایی است که برای آشکار کردن فعالیتهای مخرب Tor از دسامبر 2019 انجام شده است. حملاتی که گفته می شود در ژانویه 2020 آغاز شده است و برای اولین بار توسط همان محقق در اوت 2020 مستندسازی و افشا شده است.

Tor یک نرم افزار متن باز برای امکان برقراری ارتباط ناشناس در اینترنت است. این مبدا و مقصد، درخواست وب را با هدایت ترافیک شبکه از طریق یک سری رله ها مخفی می کند تا آدرس IP و مکان و موارد استفاده کاربر را از هرگونه نظارت یا تجزیه و تحلیل ترافیک پنهان کند. در حالی که رله های میانی معمولاً از دریافت ترافیک در شبکه Tor مراقبت می کنند و آن را عبور می دهند، رله خروجی گره نهایی است که ترافیک Tor قبل از رسیدن به مقصد از آن عبور می کند.

گره های خروجی در شبکه Tor در گذشته برای تزریق بدافزارهایی مانند OnionDuke تحت تاثیر قرار گرفته بودند، اما این اولین بار است که یک عامل ناشناس موفق به کنترل چنین بخش بزرگی از گره های خروجی Tor می شود.

takian.ir tor exiting relays control 1

 

سازمان یا گروه هک کننده، 380 رله خروج مخرب Tor را در پیک خود در آگوست 2020 و قبل از اینکه دایرکتوری Tor مداخله کرده و گره ها را از شبکه حذف کند، نگهداری کردند. به دنبال آن فعالیت در اوایل سال جاری دوباره آغاز شد و مهاجم تلاش کرد بیش از 1000 رله خروجی را در هفته اول ماه مه، اضافه کند. همه رله های خروجی مخرب Tor که در جریان موج دوم حملات شناسایی شده بودند، حذف شده اند.

takian.ir tor exiting relays control 2

به گفته nusenu، هدف اصلی این اقدامات، انجام حملات "man-in-the-middle" بر علیه کاربران Tor و با دستکاری در ترافیک عبوری از شبکه رله های خروجی آنها است. به ویژه به نظر می رسد مهاجم از آنچه که SSL stripping شناخته میشود، برای کاهش میزان ترافیک به سمت سرور میکسر Bitcoin از HTTPS به HTTP اقدام می کند، و طی حرکتی آدرس های بیتکوین را جایگزین کرده و معاملات را به جای آدرس بیت کوین که توسط کاربر ارائه می شود، به کیف پول الکترونیکی خود هدایت کند.

محققین پشتیبانی پروژه Tor در ماه آگوست تشریح کردند که: "اگر کاربری از نسخه HTTP (یعنی نسخه رمزگذاری نشده و تأیید نشده) یکی از این سایتها بازدید کند، آنها از هدایت کاربر به نسخه HTTPS (یعنی نسخه رمزگذاری شده و تأیید شده) سایت جلوگیری می کنند. اگر کاربر متوجه نشود که در نسخه HTTPS سایت (که هیچگونه آیکون قفل در مرورگر وجود ندارد) بوده و اقدام به ارسال یا دریافت اطلاعات حساس کند، این اطلاعات توسط مهاجم قابل رهگیری میباشد".

برای کاهش چنین حملاتی، پروژه Tor توصیه های را شرح داده است؛ از جمله اصرار به مدیران وب سایت ها برای فعال کردن پیش فرض HTTPS و استقرار سایت های .onion برای ممانعت گره های خروج و اضافه کردن این برنامه به "comprehensive fix" جهت غیرفعال کردن HTTP ساده در مرورگر Tor است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در ژوئیه سال 2020 در یک توصیه اعلام کرد: "خطر آلودگی به عنوان هدف سوءاستفاده از طریق Tor برای هر سازمان منحصر به فرد است. یک سازمان باید ریسک خطر خود را با ارزیابی احتمال اینکه عامل تهدید، سیستم ها یا داده های آن را هدف قرار میدهد و احتمال اینکه موفقیت عامل حملات باعث از دست دادن کنترل و کاهش امکان مدیریت شرایط میشود، در نظر بگیرد".

این مجموعه افزود: "سازمان ها باید تصمیمات کاهش مخاطرات خود را در برابر تهدیدات سازمانی خود از طریق تهدیدهای مداوم پیشرفته (APT)، مهاجمان نسبتاً پیشرفته و هکرهای مستقل با مهارت کم که همه آنها از Tor برای انجام شناسایی و حملات در گذشته استفاده کرده اند، ارزیابی نمایند".

کروم به زودی استفاده از HTTPS را در اولویت قرار میدهد

 

اگر کاربران آدرسی را تایپ کرده و فراموش کنند که پیشوند HTTP یا HTTPS را درج نمایند، گوگل کروم به طور پیش‌فرض از HTTPS استفاده خواهد کرد.

مهندسان گوگل در طی چند سال گذشته جز سرسخت ترین ترویج کنندگان و عرضه کنندگان بسته های امنیتی در بین سایر مرورگرها بوده اند و همراه با تیم های پشتیبان مرورگرهای Firefox و Tor، اغلب در پشت پرده بسیاری از تغییراتی بوده اند که باعث شکل دادن مرورگرها به آنچه که امروز هستند، شده اند.

از ویژگی های پیشگامانه و آوانگارد آن مانند ایزولاسیون سایت و کار در پشت صحنه در فروم CA/B تا بهبود وضعیت گواهینامه تجاری TLS، همه ما مدیون تلاش های تیم کروم هستیم.

اما یکی از بزرگترین موارد مورد علاقه مهندسین کروم طی چند سال گذشته، تلاش برای ترویج استفاده از HTTPS، چه در درون مرورگر کروم، و چه در بین گردانندگان و صاحبین وبسایت ها بوده است.

به عنوان بخشی از این تلاش ها، کروم اکنون تلاش می کند تا در صورت در دسترس بودن HTTPS، سایت ها را از HTTP به HTTPS بروزرسانی کرده و ارتقا دهد.

کروم همچنین به کاربرانی که می خواهند رمز عبور یا اطلاعات کارت بانکی خود را در صفحات HTTP نا ایمن وارد کنند، از آنجا که ممکن است درون شبکه به شکل متن ساده ارسال شوند، اخطار و هشدار می دهد.

اگر نشانی اینترنتی صفحه HTTPS باشد، کروم بارگیری از منابع HTTP را نیز، برای جلوگیری از فریب کاربران در مورد ایمنی ظاهری دانلود از آن نشانی ها که در اصل امن نیستند، مسدود می کند.

تغییراتی درOMNIBOX کروم که در نسخهV90 میشوند

اما حتی اگر حدود 82٪ از کل سایت های اینترنتی با HTTPS کار کنند، این تعداد تا زمانی که بتوان ادعای امنیت اکثریت را مطرح کرد، فاصله زیادی دارد. جدیدترین تغییرات اولیه HTTPS در کروم نسخه 90 برقرار میشود که برنامه ریزی شده است تا در اواسط آوریل سال جاری منتشر شود.

این تغییر بر کروم Omnibox تأثیر بسزایی میگذارد (نامی که گوگل از آن برای توصیف نوار آدرس کروم (URL) استفاده می کند).

در نسخه های فعلی، وقتی کاربران آدرسی را در Omnibox تایپ می کنند، کروم آدرس تایپ شده را صرف نظر از پروتکل آن، بارگیری می کند. اما اگر کاربران فراموش کنند پروتکل را (HTTP یا HTTPS) تایپ کنند، کروم "http://" را جلوی متن اضافه می کند و سعی می کند دامنه را از طریق HTTP بارگیری نماید.

به عنوان مثال، تایپ چیزی مانند "domain.com" در نسخه فعلی کروم، "http://domain.com" را بارگیری می کند.

طبق گفته مهندس امنیتی کروم، امیلی استارک، این ویژگی در کروم نسخه 90 تغییر خواهد کرد. با شروع عرضه نسخه 90، Omnibox تمام دامنه هایی که بر مبنای HTTP باشند، به جای "http://"، با HTTPS بارگیری و لود خواهد کرد.

استارک این هفته در توییتر خود توضیح داد: "در حال حاضر، این طرح به صورت آزمایشی برای درصد كمی از كاربران کروم با نسخه 89 اجرا می شود و اگر کاملا طبق برنامه پیش برود، در نسخه کروم 90 به طور کامل راه اندازی خواهد شد".

کاربرانی که مایل به آزمایش این ساز و کار جدید هستند، می توانند این کار را در حال حاضر از طریق Chrome Canary انجام دهند. آنها می توانند از طریق آدرس زیر به قسمت Flag کروم مراجعه کرده و این ویژگی را فعال نمایند:

chrome://flags/#omnibox-default-typed-navigations-to-https

takian.ir chrome flags entry