Tor Project устранит баг, который годами использовался для DDoS-атак

Tor Project устранит баг, который годами использовался для DDoS-атак

Tor Project устранит баг, который годами использовался для DDoS-атак

Разработчики Tor Project готовятся устранить баг, который в последние годы использовался для запуска DDoS-атак на веб-ресурсы в даркнете (.onion). Предполагается, что данная проблема будет решена с выходом протокола Tor версии 0.4.2.

Брешь в безопасности позволяет злоумышленнику нарушить работу сервиса Onion, запущенного на веб-сервере, который выступает хостингом для .onion-сайта. Другими словами, атакующий может создать тысячи подключений к атакуемому ресурсу.

Стоит учитывать, что для каждого соединения Onion-сервис должен создать сложную цепь через сеть Tor, которая защитит соединение между удаленным пользователем и сервером. Этот процесс требует использования ресурсов CPU.

Таким образом, если инициировать много подключений, процессор сервера будет загружен на 100% и не сможет больше принимать новые подключения.

Это довольный старый баг, о котором разработчикам Tor известно уже много лет. Устранить уязвимость не могли из-за «нехватки человеческих ресурсов», а также по причине отсутствия легкого способа решения этой проблемы.

Эта брешь использовалась в DDoS-атаках на популярный рынок даркнета Dream Market. А позже на такие площадки, как Empire Market и Nightmare Market.

Атаки были настолько серьезными, что некоторые площадки перешли с Tor на I2P (менее популярный и не такой раскрученный аналог Tor). Проблему также отягощал факт наличия открытого кода инструмента для совершения таких атак — он размещен на GitHub.

Selectel первым получил аттестат ФСТЭК по новым требованиям приказа №117

Selectel сообщил о получении аттестата соответствия обновленным требованиям приказа ФСТЭК России №117. В компании заявляют, что стали первым облачным провайдером, публично подтвердившим соответствие новым правилам для информационных систем первого класса защищенности — К1.

Приказ №117 вступил в силу в марте 2026 года и заменил прежний приказ №17. Главное изменение — требования теперь касаются не только государственных информационных систем, но и других систем госсектора.

Кроме того, под действие правил могут попадать коммерческие компании, если они работают с защищаемыми системами, государственными заказчиками или участвуют в госконтрактах.

Для бизнеса это означает простую вещь: если компания работает с чувствительными данными или проектами для государства, требования к инфраструктуре становятся жестче. И закрывать их придется не «когда-нибудь потом», а уже в рамках новых правил.

Аттестат Selectel подтверждает, что облачную платформу провайдера можно использовать для размещения систем, подпадающих под требования приказа №117. Клиенты также смогут использовать такую инфраструктуру при прохождении собственной аттестации. Средства защиты информации при этом предоставляются по подписочной модели, без отдельной закупки и внедрения.

Аналогичная возможность аттестации доступна и для выделенных серверов Selectel в рамках аттестованных сегментов ЦОД.

По данным компании, спрос на защищенную инфраструктуру растет. Выручка от аттестованной облачной инфраструктуры по итогам 2025 года увеличилась почти втрое год к году. Быстрее всего потребление облаков росло у клиентов из финансового сектора — в 2,1 раза, в ритейле — в 1,5 раза, в медиа — в 1,4 раза.

В Selectel связывают этот рост с усилением регуляторной нагрузки, дефицитом экспертизы по аттестации и переходом регулируемых отраслей в облака.

Отдельно компания отмечает, что защищенная инфраструктура становится важной не только для выполнения требований ФСТЭК, но и для проектов с искусственным интеллектом, где вопросы безопасности и контроля данных всё чаще выходят на первый план.

RSS: Новости на портале Anti-Malware.ru