Эксперты корпорации IBM провели исследование по работе Tor в корпоративных сетях. Как оказалось, эта анонимная сеть может стать источником головной боли для специалистов по информационной безопасности: всего за пять месяцев специалисты IBM зафиксировали более 300 тысяч атак из Tor. Вывод ожидаем — IBM рекомендует компаниям отказываться от использования Tor в своих сетях, проведя ее блокирование в корпоративных системах. Соответствующая рекомендация, в частности, содержится в квартальном отчете IBM X-Force Threat Intelligence Quarterly за 2015 г.
В ходе исследования выяснилось, что за последние несколько лет количество атак в корпоративных сетях, исходящих из exit nod (выходных узлов) Tor, значительно увеличилось. Так, исследователи провели изучение скачков Tor-трафика, связав их с активностью ботнетов, запущенных в так называемой Dark Web. На данный момент по всему миру работает около 5000 серверов, поддерживающих работу анонимной сети. Обслуживают эти сервера волонтеры — журналисты, противники копирайта, борцы за права, хакеры, обычные граждане. Некоторые сервера размещаются и в корпоративных сетях различных компаний.
Википедия говорит нам, что Tor (сокр. от англ. The Onion Router) — свободное и открытое программное обеспечение для реализации второго поколения так называемой луковой маршрутизации. Это система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания. Рассматривается как анонимная сеть виртуальных туннелей, предоставляющая передачу данных в зашифрованном виде. Написана преимущественно на языках программирования C, C++ и Python.
С помощью Tor пользователи могут сохранять анонимность в интернете при посещении сайтов, ведении блогов, отправке мгновенных и почтовых сообщений, а также при работе с другими приложениями, использующими протокол TCP. Анонимизация трафика обеспечивается за счёт использования распределённой сети серверов — узлов. Технология Tor также обеспечивает защиту от механизмов анализа трафика, которые ставят под угрозу не только приватность в интернете, но также конфиденциальность коммерческих тайн, деловых контактов и тайну связи в целом.
Максимальное количество Tor-атак было осуществлено в отношении hi-tech и телекоммуникационных компаний, как крупных, так и мелких. Также замечен рост числа подобных атак в отношении финансовых учреждений и производственных компаний. Как указано выше, всего за период в пять месяцев было зафиксировано около 300 тысяч атак злоумышленников на сети компаний. Лидером по количеству Tor-атак является США — около 200 тысяч. На втором месте находятся Нидерланды, со 150 тысячами Tor-атак, и на третьем — Румыния, с 75 тысячами атак. Правда, эта статистика объясняется довольно просто — дело в том, что в этих странах расположено максимальное количество выходных Tor-узлов.
«Вы можете даже не знать, что ваша компания уже участвует в чем-то нелегальном», — пишет Этей Маор, специалист по информационной безопасности IBM. Также он добавил, что компаниям не стоит разрешать работу с анонимными сетями в сетях корпоративных. Это может привести не только к краже информации, но и к проблемам с законом в некоторых случаях. Некоторые сотрудники могут работать с Tor, например, создавая ноды внутри корпоративной сети, не осознавая последствий, которым все это может привести (а может, наоборот, хорошо это понимая).
Что же делать?
IBM рекомендует компаниям конфигурировать сети с расчетом на блокировку узлов Tor и любых ресурсов, связанных с анонимными сетями, а также с анонимными прокси. ИТ-отделам рекомендуют убедиться в том, что работники компаний не используют такого рода ресурсы на работе, а также запретить использование анонимайзеров, VPN, персональных USB-флеш и SD-карты.
BIOS компьютеров в сетях должен быть настроен таким образом, чтобы загрузка шла только с жесткого диска (за исключением случаев, когда это невозможно), плюс автозапуск должен быть отключен для всех съемных носителей.
По мнению экспертов IBM, у большинства компаний просто нет выбора — корпоративные сети не должны работать с коммуникационными сетями, в которых ведется противозаконная деятельность, и которые могут стать причиной утечки информации из самой корпоративной сети, с самыми непредсказуемыми последствиями.
Комментарии (5)
numberfive
31.08.2015 17:14«Технология Tor также обеспечивает защиту от механизмов анализа трафика, которые ставят под угрозу не только приватность в интернете»
как же защита от анализа ставит под угрозу приватность?
анализ ставит под угрозу приватность.
рекомендации даны в рамках общей гигиены, безотносительно тор.
Kolonist
31.08.2015 22:12Вообще-то там и написано, что под угрозу приватность ставят механизмы анализа трафика, а не защита от них.
mayorovp
31.08.2015 17:26+8Что-то намешали в кучу все подряд безо всякой конкретики…
Взаимодействие TOR и сети некоторой компании можно разделить на 5 разных случая — и все случаи надо разбирать отдельно, потому что разные способы взаимодействия создают разные риски — и дают разные возможности, которые в некоторых случаях могут и перевесить риски.
1. Выходная нода снаружи сети — т.е. трафик, идущий из TOR. Такой трафик может представлять угрозу, из-за чего его иногда запрещают.
Но тут надо понимать, что атаковать сеть компании снаружи можно и не только через TOR — но и арендовав любой ботнет, а потому запрет TOR не сильно снизит риски. При этом, TOR является способом обхода блокировок — а блокировку на сайт сейчас может «наложить» любой недобросовестный конкурент. Поэтому лучше бы такой трафик оставить разрешенным.
2. Выходная нода на границе сети («своя» выходная нода). Все особенности случая номер 1 — плюс возможные юридические проблемы. Не вполне понятно, зачем так делать — ведь никакой выгоды подобное решение не несет — а ресурсы потребляет.
Если компания официально поддерживает сеть TOR в силу некоторых причин — то, разумеется, ноду надо держать — но в остальных случаях выходная нода на границе сети компании смотрится странно.
3. Выходная нода ВНУТРИ сети компании. Готовый бэкдор для любого везучего хакера по всему миру. За такое надо больно бить по рукам.
4. Исходящее подключение в сеть TOR из сети компании. Как и с любым исходящим шифрованным соединением, есть риск раскрытия через него сведений, составляющих коммерческую тайну. Но при этом, это одновременно — инструмент, позволяющий обойти блокировку на важном стороннем ресурсе (на гитхабе, к примеру).
Если в компании прослушивается весь исходящий траффик, подменяются HTTPS-сертификаты и запрещаются SSH и VPN-соединения «наружу» — то есть смысл заодно запретить и доступ в TOR. Но в противном случае борьба с одним только TORом выглядит странно.
5. Компания держит скрытый сервис в зоне .onion. Тут вообще никаких проблем быть не должно — но и просто так обычно такие сервисы не настраивают.
Gorthauer87
Особенно приятно соблюдать такие правила в странах с интернет цензурой.