ahmia.fi 创始人努尔米指出有人正在克隆并诱杀数百个暗网站点,同时还改写了某些内容。
“ahmia.fi”项目通过索引Tor网络中出现的内容来提供搜索引擎功能。努尔米注意到,存在异常数量的数百个其他暗网站点的克隆行为,包括DuckDuckGo 及他的ahmia.fi.
“你好,前不久我意识到有一个Ahmia的克隆网站。现在我意识到,有人确实在给所有的流行洋葱网站生成类似的洋葱域名,然后重新编写里面的一些内容。比如:
真正的Ahmia: http://msydqstlz2kzerdg.onion/search/?q=duckduckgo
假的Ahmia: http://msydqjihosw2fsu3.onion/search/?q=duckduckgo
仔细看他们的不同:
真的DDG: http://3g2upl4pq6kufc4m.onion/
假的DDG: http://3g2up5afx6n5miu4.onion/
看起来情况是这样的:未知攻击者试图引导使用者访问假网站。这些攻击者管理很多与那些流行网站相似的克隆网址。这些网站实际上是真网站的代理网站。但是,这些网站作为中间攻击人攻击网站并且重新编写其内容。这些攻击者可能是在搜集信息, 包括访问者的用户名和密码。我进行过一些数据挖掘并且与Ahmia.fi比较,发现似乎至少有255个镜像站点。看这个网址http://pastebin.com/iHPwhCeH” 。怒米尔将这个网址写在Tor-Talk 邮件列表里。
D由于URL的结构,那些攻击者很有意通过传播合法暗网网址的假网站来诱导Tor的访问者访问那些假网站。没有人能够记住一个网站的URL,让我们以DuckDuckGo的一次事件为例:
http://3g2upl4pq6kufc4m.onion/ (真网站)
http://3g2up5afx6n5miu4.onion/ (假网站)
努米尔认为,假暗网不只是真网站的简单复制,而是为他们代理(至少是能够后台进入网站),这就使那些攻击者能够进行中间人攻击,窃取敏感数据或者是输入恶意代码,这些代码能够使Tor使用者泄露信息。
用户名为“garpamp”的用户说,这已经持续了好几年。他称Tor的退出节点被用来恶意修改list.onion网址。用户“gargamp”称,他已经注意到那些退出节点被用来恶意修改一些常用网站的网页。他确信,一个恶意退出节点的确被用来重写努米尔张贴的网页网址。
“我也注意到有节点在重写基于clearnet的网址。”
[1]像****后面的******就是对pastebine网站的修改。185.77.129.189 dc914d754b27e1a0f196330bec599bc9d640f30c
罗杰丁格尔丁,Tor开发项目负责人,确认用户“garpamp”发现的恶意退出节点现在已经被标注“恶意节点”标志,这就意味着他们不能作为退出节点运行。
就现在而言,关于谁是假网站背后操作人,谁在用退出节点修改真网站的网址以及他们的行动动机,我们一无所知。
雷锋网将为大家带来后续报道。有关暗网可通过雷锋网此前发布的《“暗网”江湖:另一个平行的互联网世界》一文进行解。