为了监控犯罪分子的行踪,执法部门和情报机构常常会对暗网及其服务发起渗透攻击。最近暗网匿名邮件服务商SIGAINT向他的用户发送了警告邮件,声称受到了来自疑似执法机构的攻击——大约一周前,暗网邮件服务SIGAINT遭到攻击,攻击者使用了近70个恶意出口节点。
为什么是SIGAINT?
SIGAINT是一个存在于Tor匿名网络中的邮件服务,主要是向暗网用户提供邮件隐私,邮件服务的用户包括注重安全的记者、异见分子和网络罪犯。可能正因为如此,SIGAINT邮件服务被情报部门盯上了。
SIGAINT使用了Tor匿名网络,这就意味着当邮件从某个用户发送至任何地方时,邮件会经过多个节点,这些节点不知道发送者的身份,而处理这些邮件的最后一台机器就是所谓的Tor出口节点。收到邮件的用户能够看到的是出口节点的IP地址,而非真正发送者的IP。这就是SIGAINT能让你在不暴露你真实身份和地址的情况下收发邮件的原因。
使用恶意节点实施中间人攻击
一开始,SIGAINT管理员认为攻击者使用了58个恶意Tor出口节点。但是Tor项目成员Philipp Winter又发现12个出口节点,也就是一共有70个恶意节点。
“在过去的几个月中攻击者一直在尝试使用不同的漏洞利用程序(EXP)攻击我们。”目前所有的恶意节点都被管理员列入和名单,暂时无法再构成威胁。尽管SIGAINT管理员相信还有更多的恶意出口节点。
当SIGAINT用户经由70个恶意节点连接sigaint.org网站时,攻击者就会进行中间人攻击。
“我们很确定他们没有完全入侵,但他们修改了sigaint.org上的.onion链接成了他们自己的,以实施中间人攻击。”
SIGAINT管理员认为,虽然服务的基础设施没有受到影响。但是某些用户的密码可能被窃取了。目前尚不清楚多少SIGAINT用户在这次攻击中受到影响,但是攻击者似乎是在收集用户的密码。
目前SIGAINT正在考虑启用加密功能,或者将sigaint.org上的.onion链接移除。虽然对于一般网站启用SSL并不能起到多大的作用,但是这会加大攻击的难度。同时SIGAINT官方建议所有通过访问Sigaint.org获取暗网链接的用户们尽快更改密码。
