설명에 앞서 토르브라우저가 무엇인지에 대해 짧게 알려드리겠습니다
tor(토르)는 The Onion Router의 약칭이며 정치인이나 기자 등 불특정 다수들이
개인 프라이버시의 익명화를 위하여 사용하는 툴입니다 하지만 토르는 블랙마켓 악의적으로 사용하는 사람들도 있지만
tor자체가 그런 악성 다크웹은 아닙니다 일반적인 포털에 노출되지않고 onion도메인을 사용하여 접근이 가능합니다
토르 브라우저는 firefox기반의 브라우저이며 개조하여 제작하였다고합니다
최근 2020년 1월부터 누군가가 토르브라우저를 통해 암호 화폐 관련 사이트에 연결하는 사용자들에게
SSL strip을 공격을 위하여 tor네트워크에 서버를 추가하였다고 합니다
이 공격은 5월까지 모든 토르브라우저의 출구릴레의 1/4까지 점령했다고 합니다
실제로 사용자에겐 어떤 영향이 미칠까요?
해커들은 토르 출구 릴레이를 통하여 이동하는 트래픽을 조작하여 중간자 공격을 이용합니다
HTTP to HTTPS리디렉션을 제거하여 웹사이트 방문시 주소창왼쪽에 볼수있는 tls 인증서 경고가 표시되지않고
일반적인 HTTP으로 연결된다고합니다 주로 암호화 화폐와 관련된어있는 웹사이트들 비트코인서비스들이 타겟인걸로 보입니다
HTTP트래픽을 악용하여 비트코인 주소를 바꿔치기하여 원래대로 전송되어야할 비트코인 주소지갑 대신 교체된 비트코인 지갑의 주소로 변경시킵니다
출처:nusenu
해커들이 제어하는 악성Tor 트래픽 출구용량
현재상황은?
보안연구원인 tor서버의 운영자가 지난 일요일에 발표한 내용에 따르면 tor측에서 이 악성네트워크를 제거하기 위하여 힘쓰고있으며
8월에는 약 10%정도 감소했다고 합니다 이 취약점들을 비트코인 서비스측에 이미 알렸지만 해커가 비트코인을 얼마나 훔친상황인지에대해서는 아직 알수없습니다
대응에 관한 팁
위에서 언급했듯이 http연결을 통한 중간자공격을 진행하기때문에
파이어폭스 브라우저의 https only mode를 사용하면 이를 해결할수있습니다
토르 네트워크에 연결된상태에서 파이어폭스를 통한 다크웹접속시 이 방법을 사용할수 있습니다
step 1
파이어폭스를 여신후 주소창에 'about:config"를 작성후 이동합니다
step 2
그러면 이런 화면이 나옵니다
'위험을 감수하고 계속 진행'을 클릭합니다
step 2
검색부분에 'dom.security.https'라고 검색합니다 그러면첫번째 https_only_mode가 나옵니다
이부분이 기본값 'false'로 설정되어있을경우 더블클릭하여 'true'로 변경합니다
step 3
true로 변경된 https_only_mode
https_only_mode를 활성화할경우 모든 안전하지 않은 연결을 자동으로 차단하며 https연결만을 허용합니다
이를통하여 http로 리디렉션되어 발생하는 중간자공격을 예방할수 있습니다
실질적인 토르에서의 예방
하지만 토르브라우저 자체에는 아직 https_only_mode가 없습니다
현재로서는 토르네트워크를 사용하여 파이어폭스의 https_only_mode만 사용하던지 추가적인 안전한 페이지만 접속해야할듯합니다
추가적으로 토르팀의 대응을 지켜봐야 할거 같습니다