728x90

С релизом Tor 0.4.3 создатели Tor Project собираются поправить уязвимость, от которой веб-сайты в даркнете мучались годами.

Уязвимость воображает собой дилемму отказа в обслуживании (Denial of Service, DoS) и дозволяет «положить» хоть какой onion-сайт, ценой малых усилий. Практически, благодаря этому багу, злоумышленники умеют инициировать тыщи подключений к мотивированному ресурсу и бросить них активными. Для всякого такового стыки востребовано согласовать сложноватую цепочку защищенных стыков меж удаленным юзером и сервером. Все это же просит значимых ресурсов микропроцессора, и при достаточном количестве подключений сервер оказывается так загружен, чего же наиболее перестать может устанавливать новейшие подключения.

Создатели Tor знают о данной нам дилемме многовато лет, но ее до сего времени перестать поправили по причине нехватки людских ресурсов, также в силу тамошнего, чего же перестать бытует ординарного метода отличить законные пользовательские подключения от атаки (до установления стыки).

В ближайшее время от схожих DDoS-атак мучаются перестать исключительно рядовые ресурсы, да и торговые площадки даркнета. Например, в марте 2019 года об закрытии объявила администрация большого маркетплейса Dream Market. А как оказалось, ранее веб-сайт в течение нескольких месяцев подвергался DDoS-атакам, и безизвестные вытягивали у его операторов 400 000 баксов.

Позднее от подобных DDoS-атак и вымогательства пострадали этакие торговые площадки, насколько Empire Market и Nightmare Market, также форумы Dread. Пытаясь избежать атак, операторы иного маркетплейса, Libertas Market и совсем попробовали перейти на I2P, а когда эта затея перестать увенчались фуррором, были обязаны закрыть собственный ресурс.

Наиболее тамошнего, в паутине годами были доступны инструменты для таковых атак. К примеру, на GitHub можно вакантно отыскать инструмент Stinger-Tor, который дозволяет хоть какому желающему учредить атаку на onion-сервис, запросто запустив скрипт на Python. В то же время на хакерских форумах похожие инструменты продают всевозможные хак-группы.

Пытаясь как-то предпринимать дилемму DDoS-атак, админы форума Dread даже призывали собственных юзеров пожертвовать денежки Tor Project, дабы посодействовать разрабам быстрее поправить ошибку. Похоже, них усилия все таки принесли плоды, настолько насколько один из 14 багрепортов о данной нам уязвимости сейчас отмечен насколько «спонсируемый».

Понятно, чего же запланированное исправление перестать абсолютно уберет ошибку, однако, по последней мере, изготовит атаки наименее действенными.