Разработчики Tor Project констатировали факт масштабной атаки на сеть с целью деанонимизации пользователей. В данном случае использовалась комбинация из двух техник: атака с подтверждением трафика (traffic confirmation) и стандартная атака Сибиллы (создание одним лицом множества учётных записей). Злоумышленникам удалось захватить 6,4% сторожевых узлов сети, так что для многих пользователей они становились точками входа в сеть.
Атака продолжалась более пяти месяцев. Сейчас 115 вредоносных узлов удалены из сети. Все они находились в диапазонах 50.7.0.0/16 и 204.45.0.0/16 и отличались высокой пропускной способностью.
Владельцам остальных узлов следует обновить программное обеспечение Tor. В обновленной версии изменились правила маршрутизации трафика, так что теперь «новичкам» труднее будет получить такие полномочия.
«4 июля 2014 года мы обнаружили группу узлов, которые пытались деанонимизировать посетителей скрытых сервисов. Атака предусматривала модификацию служебных заголовков Tor в сетевых пакетах», — сказано в официальном сообщении. Подчёркивается, что среди них не замечено ни одной точки выхода. Тем не менее, каждый из них в заголовке пакета кодировал название скрытого сервиса, к которому идёт запрос.
Вредоносные узлы подключились к сети Tor 30 января 2014 года и работали до 4 июля. Таким образом, все те, кто использовал Tor в указанный промежуток времени, могут считать свою защиту скомпрометированной. В момент подключения операторы сети заметили массовое подключение новых узлов, но не сочли его опасным.
Не совсем понятно, какую информацию могли получить злоумышленники. Они могли видеть, к каким конкретно дескрипторам скрытых сервисов обращаются пользователи. Но вряд ли они могли отслеживать дальнейший трафик на уровне приложений, то есть загруженные страницы с сайта. Возможно, целью атаки было выявить расположение скрытых сервисов.
Всем владельцам рилеев нужно установить последнюю версию Tor (0.2.4.23 или 0.2.5.6-alpha), чтобы закрыть конкретную уязвимость протокола, которую использовали злоумышленники.