A rede Tor continua sob ataque de pessoas ou instituições interessados em descobrir a origem do tráfego que circula por ela: os administradores da rede publicaram hoje um post (link no final do texto) informando que esses relays entraram na rede em 30 de janeiro de 2014 e foram removidos pela equipe do Tor em 4 de julho. Embora não se saiba quando eles começaram a fazer o ataque, é certo que os usuários que operaram ou acessaram serviços ocultos entre o início de fevereiro e 04 de julho devem assumir que foram afetados – ou descobertos.
Infelizmente, diz o comunicado dos administradores do Tor, ainda não está claro o que significa afetado. “Sabemos que o ataque procurou os usuários que buscavam descritores de serviços ocultos, mas os atacantes provavelmente não foram capazes de ver todo o tráfego ao nível da aplicação (por exemplo, as páginas que foram carregadas ou mesmo se os usuários visitaram o serviço oculto que procuravam). O ataque provavelmente também tentou entender quem publicou descritores de serviços ocultos, o que permitiria saber também a localização do serviço. Em tese, o ataque também pode ser usado para verificar a associação entre usuários e destinos em circuitos Tor normais – mas não encontramos nenhuma evidência de que os atacantes operaram quaisquer relays de saída, o que torna esta suposição menos provável. Finalmente, nós não sabemos a quantidade de dados que os atacantes gravaram, e devido à forma como o ataque foi implantado, as modificações no cabeçalho do protocolo podem ter ajudado outros atacantes a também identificar usuários.
https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack