Η CISA και το FBI κοινοποίησαν χθες κάποια μέτρα που μπορούν να συμβάλλουν στην προστασία των οργανισμών από επιθέσεις στον κυβερνοχώρο που ξεκίνησαν από τη δραστηριότητα που προέρχεται ή δρομολογείται μέσω του δικτύου ανωνυμίας Tor.
Το Tor είναι ένα λογισμικό που επιτρέπει στους χρήστες να διατηρούν την ανωνυμία τους στο Διαδίκτυο. Δρομολογεί τη διαδικτυακή κίνηση μέσω ενός παγκόσμιου εθελοντικού δικτύου server, με σκοπό να αποκρύψει την τοποθεσία ενός χρήστη ή τη χρήση της κίνησης από οποιονδήποτε διεξάγει διαδικτυακή παρακολούθηση ή ανάλυση της διαδικτυακής κίνησης. Επομένως, η χρήση του Tοr καθιστά δύσκολη την ανίχνευση της διαδικτυακής δραστηριότητας ενός χρήστη. Η υποδομή του Tor χρησιμοποιείται επίσης από κακόβουλους παράγοντες που έχουν στόχο να αποκρύψουν την ταυτότητά τους και την τοποθεσία τους, κρύβοντας την πραγματική τους διεύθυνση IP υπό την προστασία ενός κόμβου εξόδου Tor όταν πραγματοποιούν επιθέσεις στον κυβερνοχώρο.
Η CISA, σε συνεργασία με το FBI, κοινοποίησαν κάποια μέτρα σχετικά με το πώς οι κακόβουλοι ηθοποιοί μπορούν να χρησιμοποιήσουν το λογισμικό και την υποδομή δικτύου του Tor για ανωνυμία στις επιθέσεις τους. Συγκεκριμένα, η CISA και το FBI, με την ειδοποίηση AA20-183A, συνιστούν στους οργανισμούς να εκτιμήσουν τον κίνδυνο που διατρέχουν να παραβιαστούν μέσω του Tor και να προβούν στους απαραίτητους μετριασμούς για να μπλοκάρουν ή να παρακολουθούν στενά την εισερχόμενη και εξερχόμενη κίνηση από γνωστούς κόμβους Tοr. Η CISA και το FBI συμβουλεύουν τους οργανισμούς να αξιολογήσουν την πιθανότητα ένας κακόβουλος παράγοντας να στοχεύσει τα συστήματα ή τα δεδομένα τους, καθώς και την πιθανότητα επιτυχίας του, λαμβάνοντας υπόψη τους τρέχοντες μετριασμούς και τους ελέγχους. Κατά την αξιολόγηση θα πρέπει να ληφθούν υπόψη οι νόμιμοι λόγοι που οι μη κακόβουλοι χρήστες ενδέχεται να προτιμούν ή να πρέπει να χρησιμοποιούν το Tor για πρόσβαση στο δίκτυο.
Για τον εντοπισμό ενδεχόμενης κακόβουλης δραστηριότητας που έχει ως στόχο την πρόσβαση στα στοιχεία τους, οι οργανισμοί μπορούν να χρησιμοποιήσουν μια προσέγγιση βάσει δεικτών, αναζητώντας αποδεικτικά στοιχεία για ασυνήθιστα επίπεδα επισκεψιμότητας με κόμβους εξόδου Tοr στο netflow, το packet capture (PCAP) και τα web server logs που θα μπορούσαν ενδεχομένως να υποδεικνύουν κακόβουλη κίνηση, εκμετάλλευση, ή απομάκρυνση δεδομένων. Οι υπερασπιστές του δικτύου μπορούν επίσης να ακολουθήσουν μια προσέγγιση βάσει συμπεριφοράς που απαιτεί αναζήτηση λειτουργικών προτύπων λογισμικού και πρωτοκόλλων πελάτη Tor, όπως αυξημένη χρήση θυρών TCP και UDP που συνήθως συνδέονται με το Tor (9001, 9030, 9040, 9050, 9051 και 9150) και υψηλότερη συχνότητα ερωτημάτων DNS για domains που τελειώνουν με τα .onion or torproject.org, suffixes.
Web application και router firewalls, καθώς και συστήματα εντοπισμού εισβολών host / δικτύου, είναι λύσεις που μπορεί ήδη να προσφέρουν δυνατότητα ανίχνευσης για την ανακάλυψη βασικών δεικτών κακόβουλης δραστηριότητας που δρομολογούνται μέσω του δικτύου Tor. H CISA αναφέρει πως οι οργανισμοί πρέπει να ερευνούν και να επιτρέπουν τις προϋπάρχουσες δυνατότητες ανίχνευσης και μετριασμού του Tοr εντός των υφιστάμενων λύσεων ασφαλείας endpoint και δικτύου, καθώς συχνά χρησιμοποιούν αποτελεσματική λογική ανίχνευσης.
Η CISA συνιστά σε οργανισμούς που κινδυνεύουν να δεχθούν επιθέσεις από κακόβουλους παράγοντες, στα πλαίσια εκστρατειών που χρησιμοποιούν το δίκτυο Tοr για σκοπούς απόκρυψης, να εφαρμόσουν μια σειρά μετριασμών ως αμυντικά μέτρα. Βέβαια, οι μετριασμοί θα μπορούσαν να έχουν αντίκτυπο στην πρόσβαση νόμιμων χρηστών που μπορεί να θέλουν να επισκεφθούν τα στοιχεία του οργανισμού, ενώ το απόρρητό τους προστατεύεται από το Tor. Η CISA συνιστά στους οργανισμούς να λάβουν τρεις διαφορετικές προσεγγίσεις για τον μετριασμό της κακόβουλης δραστηριότητας που σχετίζεται με το Tor, ανάλογα με τον αντίκτυπο που ενδέχεται να έχει στους νόμιμους χρήστες του Tor:
• Πιο περιοριστική προσέγγιση: Αποκλείστε όλη τη διαδικτυακή κίνηση από και προς δημόσιους κόμβους εισόδου και εξόδου Tor. Ωστόσο, θα πρέπει να διευκρινισθεί πως με αυτόν τον τρόπο δεν εξαλείφεται τελείως η απειλή κακόβουλων παραγόντων που χρησιμοποιούν το Tor για ανωνυμία, καθώς επιπλέον σημεία πρόσβασης στο δίκτυο Tor ή γέφυρες, δεν αναφέρονται όλα δημοσίως.
• Λιγότερο περιοριστική προσέγγιση: Παρακολουθήστε, αναλύστε και αποκλείστε τη διαδικτυακή κίνηση από και προς δημόσιους κόμβους εισόδου και εξόδου Tor. Οι οργανισμοί που δεν επιθυμούν να αποκλείσουν τη νόμιμη κίνηση από και προς κόμβους εισόδου / εξόδου Tor, θα πρέπει να εξετάσουν το ενδεχόμενο υιοθέτησης πρακτικών που να επιτρέπουν την παρακολούθηση δικτύου και την ανάλυση της κίνησης από αυτούς τους κόμβους και, στη συνέχεια, να εξετάσουν το ενδεχόμενο αποκλεισμού. Αυτή η προσέγγιση μπορεί να χρειαστεί πολλούς πόρους, αλλά θα επιτρέψει μεγαλύτερη ευελιξία και προσαρμογή της άμυνας ενός οργανισμού.
• Συνδυαστική προσέγγιση: Αποκλείστε όλη την κίνηση Tor σε ορισμένους πόρους, αλλά επιτρέψτε την σε άλλους. Αυτό μπορεί να απαιτεί συνεχή επανεκτίμηση και αξιολόγηση, ενώ χρειάζεται πολλή προσπάθεια για την εφαρμογή αυτής της προσέγγισης.
Ενώ ο αποκλεισμός της εξερχόμενης και της εισερχόμενης κίνησης από και προς γνωστούς κόμβους εισόδου Tor μπορεί να προστατεύει από λιγότερο εξελιγμένους κακόβουλους ηθοποιούς, οι έμπειροι κακόβουλοι ηθοποιοί μπορούν να παρακάμπτουν τέτοια μέτρα μετριασμού χρησιμοποιώντας άλλες τακτικές ανωνυμοποίησης και τεχνολογίας, όπως εικονικά ιδιωτικά δίκτυα (VPN) ή χαρακτηριστικά Tor, όπως γέφυρες Tor και συνδεόμενες μεταφορές.
