Trình duyệt internet Tor, vốn đã được sử dụng trong nhiều năm để kiểm duyệt, phá hoại và chiếm quyền điều khiển các trang web có phần mở rộng ‘củ hành’, sẽ khắc phục lỗ hổng được đề cập.
Theo báo cáo của ZDNet, Tor Project, 0.4.2 Trong bản cập nhật giao thức, nó sẽ sửa một lỗi đã được sử dụng cho các cuộc tấn công DDoS trên các trang web có phần mở rộng “củ hành” trong nhiều năm.
Trong lỗi bỏ qua dịch vụ trên các trang web có tiện ích mở rộng Onion, ai đó muốn tấn công có thể chuyển hướng hàng nghìn kết nối đến một trang web duy nhất trên web tối và tiếp tục trao đổi dữ liệu mà không làm gián đoạn kết nối. Điều này khiến máy chủ bận.
Đây là lỗi mà các nhà phát triển Tor đã biết từ lâu nhưng không thể sửa được do thiếu nhân lực. Rất khó để hiểu liệu các liên kết được gửi bởi kẻ độc hại hay bởi người dùng thông thường.
Do lỗ hổng bảo mật, các cổng web tối thường trở thành mục tiêu của các cuộc tấn công. Mặc dù một số trang web hợp pháp báo cáo các cuộc tấn công, trọng tâm của các cuộc tấn công DDoS gần đây là web đen.
Vào tháng 3 năm 2019, Dream Market, trang web đen cung cấp vốn bất hợp pháp lớn nhất vào thời điểm đó, đã thông báo rằng họ sẽ đóng cửa trang web này vì đã bị tấn công DDoS trong nhiều tháng. Các nhà điều hành trang web báo cáo rằng tin tặc đã chiếm quyền điều khiển trang web và yêu cầu số Bitcoin trị giá 400.000 USD để ngăn chặn các cuộc tấn công DDoS. Những người điều hành Dream Market cũng quyết định rằng việc đóng cửa địa điểm này là một ý tưởng tốt hơn.
Hành động trước sự leo thang của những sự kiện này, Tor đã báo cáo rằng họ sẽ khắc phục được vấn đề này. Giải pháp được lên kế hoạch sẽ không khắc phục được hoàn toàn lỗi vì nó vi phạm nguyên tắc bảo mật và quyền riêng tư của Tor, nhưng nó sẽ khiến các cuộc tấn công DDoS kém hiệu quả hơn nhiều.
Trong biện pháp bảo mật mà Tor sẽ thực hiện, sức mạnh của các cuộc tấn công nhằm vào các trang web mở rộng củ hành sẽ giảm đi nhưng kết nối sẽ chậm lại.
Nguồn: https://www.zdnet.com/article/tor-project-to-fix-bug-used-for-ddos-Attack-on-onion-sites-for-years/
