Эксперты корпорации IBM провели исследование по работе Tor в корпоративных сетях. Как оказалось, эта анонимная сеть может стать источником головной боли для специалистов по информационной безопасности: всего за пять месяцев специалисты IBM зафиксировали более 300 тысяч атак из Tor. Вывод ожидаем — IBM рекомендует компаниям отказываться от использования Tor в своих сетях, проведя ее блокирование в корпоративных системах. Соответствующая рекомендация, в частности, содержится в квартальном отчете IBM X-Force Threat Intelligence Quarterly за 2015 г.
В ходе исследования выяснилось, что за последние несколько лет количество атак в корпоративных сетях, исходящих из exit nod (выходных узлов) Tor, значительно увеличилось. Так, исследователи провели изучение скачков Tor-трафика, связав их с активностью ботнетов, запущенных в так называемой Dark Web. На данный момент по всему миру работает около 5000 серверов, поддерживающих работу анонимной сети. Обслуживают эти сервера волонтеры — журналисты, противники копирайта, борцы за права, хакеры, обычные граждане. Некоторые сервера размещаются и в корпоративных сетях различных компаний.
Википедия говорит нам, что Tor (сокр. от англ. The Onion Router) — свободное и открытое программное обеспечение для реализации второго поколения так называемой луковой маршрутизации. Это система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания. Рассматривается как анонимная сеть виртуальных туннелей, предоставляющая передачу данных в зашифрованном виде. Написана преимущественно на языках программирования Си, C++ и Python.
С помощью Tor пользователи могут сохранять анонимность в интернете при посещении сайтов, ведении блогов, отправке мгновенных и почтовых сообщений, а также при работе с другими приложениями, использующими протокол TCP. Анонимизация трафика обеспечивается за счёт использования распределённой сети серверов — узлов. Технология Tor также обеспечивает защиту от механизмов анализа трафика, которые ставят под угрозу не только приватность в интернете, но также конфиденциальность коммерческих тайн, деловых контактов и тайну связи в целом.
Максимальное количество Tor-атак было осуществлено в отношении hi-tech и телекоммуникационных компаний, как крупных, так и мелких. Также замечен рост числа подобных атак в отношении финансовых учреждений и производственных компаний. Как указано выше, всего за период в пять месяцев было зафиксировано около 300 тысяч атак злоумышленников на сети компаний. Лидером по количеству Tor-атак является США — около 200 тысяч. На втором месте находятся Нидерланды, со 150 тысячами Tor-атак, и на третьем — Румыния, с 75 тысячами атак. Правда, эта статистика объясняется довольно просто — дело в том, что в этих странах расположено максимальное количество выходных Tor-узлов.
«Вы можете даже не знать, что ваша компания уже участвует в чем-то нелегальном», — пишет Этей Маор, специалист по информационной безопасности IBM. Также он добавил, что компаниям не стоит разрешать работу с анонимными сетями в сетях корпоративных. Это может привести не только к краже информации, но и к проблемам с законом в некоторых случаях. Некоторые сотрудники могут работать с Tor, например, создавая ноды внутри корпоративной сети, не осознавая последствий, которым все это может привести (а может, наоборот, хорошо это понимая).
Что же делать?
IBM рекомендует компаниям конфигурировать сети с расчетом на блокировку узлов Tor и любых ресурсов, связанных с анонимными сетями, а также с анонимными прокси. ИТ-отделам рекомендуют убедиться в том, что работники компаний не используют такого рода ресурсы на работе, а также запретить использование анонимайзеров, VPN, персональных USB-флеш и SD-карты.
BIOS компьютеров в сетях должен быть настроен таким образом, чтобы загрузка шла только с жесткого диска (за исключением случаев, когда это невозможно), плюс автозапуск должен быть отключен для всех съемных носителей.
По мнению экспертов IBM, у большинства компаний просто нет выбора — корпоративные сети не должны работать с коммуникационными сетями, в которых ведется противозаконная деятельность, и которые могут стать причиной утечки информации из самой корпоративной сети, с самыми непредсказуемыми последствиями.
Автор: marks