Tor和第三方安全研究人员表示,使用Tor匿名网络的客户数量激增可能是由僵尸网络造成的。
8月20日左右,托尔客户的数量增长。现在有几百万的新的Tor客户数量继续上升,说的Tor项目负责人罗杰·丁格莱丁,写为“阿马”在一篇博文中星期四。尖峰很可能是由僵尸网络造成的,写Dingledine,谁往往是“阿马”手柄下的博客,是Tor的原始开发商之一。
Tor,就通过一系列的加密志愿者继电器,在随机选择路由流量掩盖了一个用户的IP地址。人们一直在使用它在网上保护自己的隐私,但相同的特性使它成为那些更不怀好意的吸引力。
“一些人猜测,用户的增长来自叙利亚、俄罗斯、美国或其他一些国家的活动人士,这些国家最近有充分的理由让活动人士和记者集体收养婴儿。雷竞技比分还有人猜测,这是因为盗版浏览器的大量使用(Tor捆绑浏览器版本抛弃了大部分Tor的安全和隐私功能)。”
“事实是,像这样一个增长曲线,也基本上没有办法,有这些新的Tor客户的背后一个新的人,” Dingledine写道。
客户端被安装到数百万台电脑几乎一夜。由于没有大型软件或操作系统厂商纷纷出面表示,他们只是捆绑的Tor他们所有的产品,这叶子一个结论:人感染了数百万台计算机和他们的计划,他们安装的Tor客户对他们的一部分,Dingledine写道。
在使用Tor的摄取是由僵尸网络引起怀疑是由荷兰安全公司狐IT共享。
“我们发现这很可能是一个僵尸网络,”该公司的董事和联合创始人罗纳德•普林斯(Ronald Prins)表示。
“这似乎是一个通用的僵尸网络,”普林斯说,与通用僵尸网络经常被用来收割数据,如登录以后可以使用,或出售给其他方凭据。但是僵尸网络正在努力实现的是在这一点上未知的,他说。
使用Tor来控制僵尸网络可以方便,因为它使得它很难检测,普林斯说。僵尸网络的指挥和控制(C&C)服务器是通过Tor隐匿,他指出。“这阻碍了取下来非常多,”他说。
虽然托尔可以是有益的,它也有一个缺点显著,普林斯说:“交通是非常缓慢的。”
福克斯-IT研究人员表示,僵尸网络的名称可能是“Mevade.A。”但他们也发现旧引用暗示的名称是“Sefnit”,其历史可以追溯到至少2009年和也包括Tor的连接,他们在说博客文章。
他们写道:“我们发现了许多证据,表明该恶意软件在内部被称为SBC,其运营商也知道这一点。”他们还表示,他们认为该恶意软件来自一个讲俄语的地区,很可能与金融犯罪有关。研究人员没有具体说明他们是在哪里找到这些参考文献的。
Tor同样认为这是合理的,僵尸网络正在运行其C&C点作为隐藏的服务,根据Dingledine。
虽然Tor网络仍然是现在的工作,僵尸网络可能会引起麻烦,根据Tor的。
最大的问题是不添加到网络中的业务量造成的,而是由正在作出新的电路,Dingledine写道。
“托尔客户打造电路先发制人,以及数以百万计的客户Tor的手段百万电路,每一个电路需要继电器做昂贵的公钥操作,我们的许多继电器现在都刷爆了CPU的负荷,” Dingledine写道。
这就建立了一个可能的危险的恶性循环。“当一个客户端试图建立一个电路,但失败了,它再次尝试。所以,如果继电器是如此不堪重负,他们每下降一半,他们得到的请求,那么一半以上的企图电路将失败(因为所有的继电器电路必须成功),产生更多电路的要求,” Dingledine写道。
为了解决这些问题,Tor采取了一些临时措施来缓解问题。但Dingledine说,未来还需要探索其他的选择。例如,Tor可以限制电路创建请求,或者学会识别机器人客户端的电路构建签名。
“如果僵尸网络研究人员能够识别出僵尸网络的特定特征,并开始寻找关闭僵尸网络的方法(或者至少让它脱离Tor),那就太好了,”Dingledine说。
“最后,我仍然认为,如果你有一个多亿节点的僵尸网络,这是愚蠢到试图隐藏其4000中继Tor网络的背后,这些人应该用自己的僵尸网络作为一个对等网络匿名系统本身,” Dingledine写道。
Loek是阿姆斯特丹记者和封面在线隐私,知识产权,开源和对IDG新闻服务的在线支付问题。按照他的Twitter上@loekessers或电子邮件提示和意见loek_essers@idg.com