Il governo degli Stati Uniti rivela trucchi per difendere gli attacchi informatici tramite Tor

L’agenzia di sicurezza con sede negli Stati Uniti denominata Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente pubblicato alcuni suggerimenti per gli utenti su come proteggersi dagli attacchi di criminalità informatica lanciati attraverso la rete di anonimato Tor.

Parlando del termine Tor, in realtà è un software che abilita l’anonimato di Internet crittografando e reindirizzando automaticamente le richieste Web di un utente tramite una rete di nodi Tor che è anche noto come livelli di inoltro.

Usando l’infrastruttura basata sulla rete di Tor, molte menti dei criminali informatici usano per nascondere la loro identità e persino la loro posizione mantenendo il loro IP reale sotto la protezione del nodo di uscita di Tor, mentre sono impegnati in alcune attività di criminalità informatica.

Quindi, il nuovo advisory è stato pubblicato in pubblico ed è stato scritto in collaborazione con l’FBI tramite Tor, consentendo agli utenti di adottare una soluzione adeguata per monitorare la connessione in entrata o in uscita da nodi Tor noti o semplicemente per bloccarli.

Come rilevare attività maligne causate dalla rete Tor?

Sulla base della consulenza CISA, si suggerisce alle organizzazioni di determinare i propri rischi individuali valutando la probabilità che un attore di cyber criminalità prenderà di mira i propri sistemi o dati e la possibilità del successo dell’hacker offerto ulteriore mitigazione e controllo. ecco la dichiarazione in advisory che cancella le dichiarazioni di cui sopra:

“Questa valutazione dovrebbe considerare le ragioni legittime che gli utenti non malintenzionati potrebbero preferire o utilizzare Tor per accedere alla rete.”

Al fine di identificare attività dannose destinate a risorse, le organizzazioni possono utilizzare un metodo basato su indicatori cercando prove di traffico insolito attraverso i nodi di uscita Tor nei registri netflow, acquisizione pacchetti e web server, che potrebbero potenzialmente indicare sfruttamento dannoso o esfiltrazione di dati come comportamenti.

Gli utenti iscritti a reti di difesa possono anche adottare alcuni metodi o approcci basati sul comportamento che richiedono la ricerca di alcuni schemi operativi del software client e dei protocolli come un maggiore utilizzo delle porte TCP o UDP affiliate a Tor. Inoltre, è possibile cercare la maggiore incidenza di query DNS per domini Web che terminano con .onion o torproject.org, ecc.

Le applicazioni basate sul Web, i firewall basati su router e i sistemi di rilevamento degli host sono in realtà le soluzioni che potrebbero già offrire un certo livello di misure di rilevamento per scoprire vari indicatori chiave di azioni dannose causate dal reinstradamento tramite la rete Tor.

Informazioni sulle misure di mitigazione offerte in consulenza

Secondo la consulenza, si consiglia alle organizzazioni che sono a rischio di essere attaccate di attuare una serie di mitigazioni come misure difensive. Tuttavia, queste misure possono anche influire sull’accesso degli utenti legittimi che potrebbero voler visitare l’organizzazione e le sue risorse Internet, ma la loro privacy sarà protetta da Tor.

Secondo le raccomandazioni della CISA, può essere utile adottare i tre approcci di seguito indicati per mitigare le attività dannose associate a Tor, tuttavia gli impatti di quelli sugli utenti legittimi di Tor possono variare in base agli approcci. Qui vengono discussi gli approcci:

  • Approcci più restrittivi: con questa tecnica, blocca tutto il traffico web da e verso i nodi di ingresso e uscita Tor pubblici.
  • Approcci meno restrittivi: in questo metodo viene implementato un sistema di monitoraggio su misura per analizzare e bloccare il traffico Web da e verso i nodi di entrata / uscita di Tor. Questo è effettivamente utile per quelle organizzazioni che vogliono non bloccare utenti Tor legittimi.
  • Approccio misto: questo consente di bloccare tutto il traffico Tor verso alcune risorse, consentire e monitorare alcune altre. Pertanto, utilizzando questa misura, le organizzazioni avrebbero bisogno di una rivalutazione continua poiché un’entità considera la propria tolleranza al rischio associata a varie applicazioni. Pertanto, il livello di impegno richiesto per attuare questo approccio è molto elevato.