Το Cybersecurity and Infrastructure Security Agency (CISA) και το Federal Bureau of Investigation (FBI) εξέδωσαν μία προειδοποίηση προς τις επιχειρήσεις σχετικά με τους κινδύνους που συνδέονται με το Tor.
Το λογισμικό Tor, το οποίο διαχειρίζεται ο μη-κερδοσκοπικός οργανισμός Tor Project, έχει δημιουργηθεί για να παρέχει ανωνυμία στους χρήστες και να παρακάμπτει τη λογοκρισία.
Ωστόσο εκτός από του απλούς χρήστες, το εν λόγω λογισμικό έχει τραβήξει και την προσοχή των hacker, οι οποίοι το χρησιμοποιούν για να καλύπτουν τα ίχνη τους όταν πραγματοποιούν παράνομες δραστηριότητες.
Μερικές από τις κακόβουλες δραστηριότητες που πραγματοποιούνται από τους κακόβουλους παράγοντες περιλαμβάνουν παρακολούθηση, παραβίαση συστήματος, εξαγωγή δεδομένων, επιθέσεις άρνησης υπηρεσίας (DoS) και διάδοση ransomware. Επιπλέον, το Tor χρησιμοποιείται συχνά για επικοινωνία με έναν command and control server (C&C).
Η χρήση του Tor δίνει τη δυνατότητα σε έναν επιτιθέμενο να κρύψει την ταυτότητά του και εμποδίζει την γρήγορη ανάκαμψη από μία κυβερνοεπίθεση. Για το λόγο αυτό, οι επιχειρήσεις θα πρέπει να εφαρμόσουν τα απαραίτητα μέτρα για τον αποκλεισμό και την παρακολούθηση όλης της κυκλοφορίας από και προς το δίκτυο Tor, για να μπορέσουν να εντοπίσουν τυχόν παράνομες δραστηριότητες.
Όπως δηλώνουν οι οργανισμοί προστασίας, η εκάστοτε εταιρεία θα πρέπει να είναι σε θέση να αντιληφθεί αν οι χρήστες θέλουν το λογισμικό για νόμιμες δραστηριότητες και φυσικά να λαμβάνει υπόψη τους κινδύνους που επιφυλάσσει.
Για να εντοπίσουν την κακόβουλη δραστηριότητα που προέρχεται από το Tor, οι επιχειρήσεις μπορούν να χρησιμοποιούν ανάλυση βάσει δεικτών ή συμπεριφοράς για τα αρχεία καταγραφής δικτύου, τελικού σημείου και εργαλείων ασφαλείας. Εργαλεία SIEM και άλλα παρόμοια, μπορούν να βοηθήσουν σε αυτή την κατεύθυνση.
Η CISA μάλιστα έχει κυκλοφορήσει ορισμένα βήματα που μπορούν να ακολουθήσουν οι επιχειρήσεις ώστε να προστατευτούν από τους κινδύνους που συνδέονται με το Tor, όπως ο έλεγχος και η ανάλυση της κυκλοφορίας σε ένα δίκτυο ή ακόμα και το ολοκληρωτικό μπλοκάρισμα των δεδομένων που εισέρχονται και εξέρχονται από δημόσιους κόμβους.
