情境示意圖,original photo by Burhan Rexhepi on unsplash

一名代號為Nusenu的獨立安全研究人員在本周指出,Tor網路中存在著大量的惡意出口節點,藉由SSL Strip中間人攻擊取得HTML流量,而且只在發現造訪目標為Bitcoin Mixer服務時發動攻擊,並將使用者所輸入的錢包位址置換成自己的。

Tor網路是個開源的匿名傳輸架構,藉由3道加密程序與3個節點來傳送流量,這3個節點依序是入口節點、中繼節點與出口節點,從使用者端到出口節點之間的流量都是加密的,只有入口節點知道流量的來源,也只有出口節點知道流量的目的,且從出口節點到目標網站之間的連結並未加密。Tor網路上的節點是由志工組成,估計全球至少有7,000個節點。

然而,Nusenu卻發現,由於Tor專案並未嚴格審核該網路上的節點,使得駭客得以部署惡意的出口節點,挾持使用者連至網站的流量,在今年5月下旬時,駭客控制了Tor網路上24%的出口流量,即便是在他提出警告之後,截至今年的8月8日,仍有超過10%的出口流量被駭客操縱。

駭客只透過SSL Strip手法攻擊那些連向Bitcoin Mixer服務的流量,Bitcoin Mixer服務讓使用者把比特幣從一個錢包轉移到另一個錢包,但當中會先將比特幣打散,先傳輸到數以千計的臨時錢包,再轉移到目標錢包;SSL Strip指的是駭客介入了將HTTP流量變更為HTTPS流量的過程,移除了將HTTP流量重新定向為HTTPS流量的能力,讓駭客得以存取未加密的HTTP流量,置換Tor用戶所輸入的目標錢包位址,用偷天換日的方式盜走比特幣。

Nusenu說,他在去年底就曾知會Tor專案,當時該專案原本要指派專人來改善此事,然而,隨著武漢肺炎(COVID-19)疫情的爆發,人力的裁減讓該計畫不了了之。

由於最終連向Bitcoin Mixer服務網站的流量是採用HTTP協定,因此只要這些網站啟用HSTS(HTTP Strict Transport Security)或HTTPS Everywhere,都能避免相關的攻擊,但在Nusenu察覺攻擊行動的當下,並未有任何Bitcoin Mixer網站採行HSTS與HTTPS Everywhere政策。


熱門新聞

Advertisement