Gobierno de EE. UU. Revela trucos para defender ataques cibernéticos a través de Tor

La agencia de seguridad con sede en los Estados Unidos llamada Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recientemente emitió algunos consejos para los usuarios sobre cómo protegerse contra los ataques de delitos cibernéticos lanzados a través de la red de anonimato Tor.

Hablando del término Tor, en realidad es un software que permite el anonimato de Internet encriptando y redirigiendo las solicitudes web de un usuario automáticamente a través de una red de nodos Tor, que también es conocida como capas de retransmisión.

Utilizando la infraestructura basada en la red de Tor, muchas mentes maestras del cibercrimen utilizan para ocultar su identidad e incluso su ubicación manteniendo su IP real bajo la protección del nodo de salida de Tor, mientras participan en algunas actividades de cibercrimen.

Por lo tanto, el nuevo aviso se publica en público y fue escrito en colaboración con el FBI a través de Tor, lo que permite a los usuarios tomar alguna mitigación adecuada para monitorear la conexión entrante o saliente de los nodos Tor conocidos, o simplemente para bloquearlos.

¿Cómo detectar actividades malignas causadas por la red Tor?

Según las recomendaciones de CISA, se sugiere a las organizaciones que determinen sus riesgos individuales mediante la evaluación de la probabilidad de que un actor de delitos cibernéticos apunte a su sistema o datos, y la posibilidad del éxito del pirata informático ofreció más mitigación y control. Aquí está la declaración de aviso que aclara las declaraciones anteriores:

“Esta evaluación debe considerar razones legítimas por las cuales los usuarios no maliciosos pueden preferir o necesitar usar Tor para acceder a la red”.

Para identificar actividades maliciosas dirigidas a los activos, las organizaciones pueden usar un método basado en indicadores buscando evidencia de tráfico inusual a través de nodos de salida Tor en flujo de red, captura de paquetes y registros del servidor web, lo que podría indicar explotación maliciosa o exfiltración de datos como comportamientos

Los usuarios que están inscritos en las redes de defensa también pueden adoptar un método o enfoque basado en el comportamiento que necesita buscar algunos patrones operativos del software y los protocolos del cliente tor, como un mayor uso de los puertos TCP o UDP afiliados a Tor. Además, se puede buscar la mayor incidencia de consultas DNS para dominios web que terminan en .onion o torproject.org, etc.

Las aplicaciones basadas en web, los firewalls basados ​​en enrutadores y los sistemas de detección de host son en realidad las soluciones que pueden ofrecer cierto nivel de medidas de detección para descubrir varios indicadores clave de acciones maliciosas causadas por el redireccionamiento a través de la red Tor.

Información sobre medidas de mitigación ofrecidas en asesoría

Según el aviso, se aconseja a las organizaciones que corren el riesgo de ser atacadas que implementen una serie de mitigaciones como medidas defensivas. Sin embargo, estas medidas también pueden afectar el acceso de usuarios legítimos que deseen visitar la organización y sus activos de Internet, pero su privacidad estará protegida por Tor.

De acuerdo con las recomendaciones de CISA, tomar los tres enfoques mencionados a continuación al mitigar las actividades maliciosas asociadas a Tor puede ser útil, sin embargo, los impactos de aquellos en los usuarios legítimos de Tor también pueden variar según los enfoques. Aquí se discuten los enfoques:

  • Enfoques más restrictivos: bajo esta técnica, bloquea todo el tráfico web desde y hacia los nodos públicos de entrada y salida de Tor.
  • Enfoques menos restrictivos: en este método, se implementa un sistema de monitoreo personalizado para analizar y bloquear el tráfico web desde y hacia los nodos de entrada / salida de Tor. Esto es realmente útil para aquellas organizaciones que no desean bloquear a los usuarios legítimos de Tor.
  • Enfoque combinado: Esto permite bloquear todo el tráfico de Tor a algunos recursos, permitir y monitorear algunos otros. Entonces, usando esta medida, las organizaciones necesitarían una reevaluación continua ya que una entidad considera su propia tolerancia al riesgo asociada con varias aplicaciones. Entonces, el nivel de esfuerzo requerido para implementar este enfoque es muy alto.