Le gouvernement américain révèle des astuces pour défendre les cyberattaques via Tor

L’agence de sécurité basée aux États-Unis, nommée Cybersecurity and Infrastructure Security Agency (CISA), a récemment publié des conseils aux utilisateurs sur la façon de se protéger contre les attaques de cybercriminalité lancées via le réseau d’anonymat de Tor.

En parlant du terme Tor, il s’agit en fait d’un logiciel qui permet l’anonymat Internet en chiffrant et en redirigeant automatiquement les demandes Web d’un utilisateur via un réseau de nœuds Tor, également connu sous le nom de couches de relais.

En utilisant l’infrastructure basée sur le réseau de Tor, de nombreux esprits de cybercriminalité utilisent pour cacher leur identité et même leur emplacement en gardant leur véritable adresse IP sous la protection du nœud de sortie de Tor, alors qu’ils sont engagés dans certaines activités de cybercriminalité.

Ainsi, le nouvel avis est rendu public et a été écrit en collaboration avec le FBI via Tor permettant aux utilisateurs de prendre des mesures d’atténuation appropriées pour surveiller la connexion entrante ou sortante à partir des nœuds Tor connus, ou simplement pour les bloquer.

Comment détecter les activités malignes causées par le réseau Tor?

Sur la base d’un avis de la CISA, il est suggéré aux organisations de déterminer leurs risques individuels en évaluant la probabilité qu’un acteur de la cybercriminalité cible son système ou ses données, et les chances de succès du pirate offrent une atténuation et un contrôle supplémentaires. voici la déclaration consultative qui efface les déclarations ci-dessus:

« Cette évaluation doit prendre en compte les raisons légitimes que les utilisateurs non malveillants préfèrent ou doivent utiliser Tor pour accéder au réseau. »

Afin d’identifier les activités malveillantes ciblant les actifs, les organisations peuvent utiliser une méthode basée sur des indicateurs en recherchant des preuves de trafic inhabituel via les nœuds de sortie Tor dans Netflow, la capture de paquets et les journaux du serveur Web, ce qui pourrait potentiellement indiquer une exploitation malveillante ou une exfiltration de données. comme les comportements.

Les utilisateurs qui sont inscrits dans des réseaux en défense peuvent également adopter une méthode ou une approche basée sur le comportement qui nécessite la recherche de certains modèles opérationnels de logiciels et de protocoles clients tor comme une utilisation accrue des ports TCP ou UDP affiliés à Tor. En outre, l’incidence plus élevée de requêtes DNS pour les domaines Web se terminant par .onion ou torproject.org, etc. peut être recherchée.

Les applications Web, les pare-feu basés sur les routeurs et les systèmes de détection d’hôte sont en fait des solutions qui peuvent déjà offrir un certain niveau de mesures de détection pour découvrir divers indicateurs clés des actions malveillantes causées par le réacheminement via le réseau Tor.

Informations sur les mesures d’atténuation proposées dans l’avis

Conformément à l’avis, les organisations qui risquent d’être attaquées sont invitées à mettre en œuvre une série d’atténuations à titre de mesures défensives. Cependant, ces mesures peuvent également affecter l’accès des utilisateurs légitimes qui pourraient vouloir visiter l’organisation et ses ressources Internet, mais leur vie privée sera protégée par Tor.

Selon les recommandations de CISA, l’adoption des trois approches mentionnées ci-dessous lors de l’atténuation des activités malveillantes associées à Tor peut être utile, mais les impacts de celles-ci sur les utilisateurs légitimes de Tor peuvent également varier en fonction des approches. Ici, les approches sont discutées:

  • Approches les plus restrictives: selon cette technique, il bloque tout le trafic Web en provenance et à destination des nœuds publics d’entrée et de sortie de Tor.
  • Approches moins restrictives: dans cette méthode, un système de surveillance sur mesure est mis en œuvre pour analyser et bloquer le trafic Web depuis et vers les nœuds d’entrée / sortie Tor. Ceci est en fait utile pour les organisations qui ne souhaitent pas bloquer les utilisateurs légitimes de Tor.
  • Approche mixte: Cela permet de bloquer tout le trafic Tor vers certaines ressources, d’autoriser et de surveiller d’autres. Ainsi, en utilisant cette mesure, les organisations auraient besoin d’une réévaluation continue car une entité considère sa propre tolérance au risque associée à diverses applications. Ainsi, le niveau d’effort requis pour mettre en œuvre cette approche est très élevé.