IBM avverte: bloccare il traffico della rete Tor in azienda

La rete Tor è una architettura che consente di mantenere l’anonimato quando si naviga in Internet, tale caratteristica la rende uno strumento privilegiato per attivisti, dissidenti politici e per tutti coloro che vivono in aree in cui, tra l’altro, la censura dei governi è forte e la libertà di espressione non esiste.

La rete Tor protegge il traffico in rete con processi di crittografia e algoritmi di instradamento particolari che non rendono agevole l’intercettazione dei dati, ma questa caratteristica rende appetibile questo strumento all’ecosistema criminale. I criminali, infatti, utilizzano le risorse della rete per cercare di operare indisturbati.

TOR

Come abbiamo detto tra i principali usi illegali della rete Tor vi è la gestione di mercati per vendita di prodotti e servizi illegali (black market), quali droga ed armi, e l’utilizzo della architettura per condurre attacchi senza correre il rischio di essere identificati dalle forze dell’ordine (almeno in linea teorica).

Un impegno forte, quello dei criminali, tanto che le aziende di sicurezza stanno osservando un costante aumento del numero di attacchi informatici che sfruttano la rete per garantire l’anonimato all’attaccante. E quali sono le principali vittime di tali attacchi? Le aziende. Per questo motivo gli esperti di IBM, in un rapporto pubblicato di recente, invitano le imprese a bloccare il traffico Tor da e verso la propria rete.

Lo studio condotto dal gruppo IBM X-Force ha rivelato che la rete Tor è principalmente utilizzata per attacchi di tipo SQL injection (i più frequenti grazie alla disponibilità di applicazioni come Havij che consentono in maniera agevole di attaccare una qualunque risorsa in rete), attacchi distributed denial-of-service (DDoS) e per attività di ricognizione, tutte azioni per le quali l’anonimato dell’attaccante è un requisito indispensabile. Altro elemento preoccupante è che proprio queste tipologie di attacchi risultano essere quelle più pericolose per le imprese di medie e grandi dimensioni: gruppi criminali utilizzano tali metodiche per rubare dati dai database delle aziende oppure per interferire con l’erogazione dei loro servizi online. A titolo di esempio, si pensi che, solo negli USA, dall’inizio dell’anno il numero di attacchi informatici e di altri eventi dannosi che si basano sulla rete Tor ha raggiunto la cifra di 150.000, e gli esperti ipotizzano che questo valore crescerà ancora molto entro la fine dell’anno.

E ancora: secondo il rapporto IBM, la rete Tor è utilizzata per mascherare l’identità dell’attaccante ma anche proteggere le infrastrutture di controllo di codici malevoli dall’azione delle forze dell’ordine. Tor è spesso utilizzato in attacchi contro grosse aziende del settore IT e delle comunicazioni, e i ricercatori hanno osservato anche un certo numero di attacchi mirati contro sistemi di controllo di processi industriali (sistemi SCADA).

In molti casi gli attaccanti compromettono risorse interne alle aziende per utilizzarle in attacchi che sfruttano la rete Tor e ciò implica la generazione di traffico malevolo sulla rete Tor da e verso le reti aziendali. Ciò vuol dire che il traffico uscente da una rete aziendale potrebbe essere indicativo un una attività di “esfiltrazione” di informazioni, ovvero della presenza di malware che usano Tor per portare all’esterno informazioni. Analogamente il traffico entrante potrebbe essere utilizzato dagli operatori delle botnet per inviare istruzioni alle macchine infette presenti in azienda.

“Si tratta di attacchi mirati e gli attaccanti sono alla ricerca di informazioni specifiche” spiega John Kuhn ricercatore del gruppo IBM X-Force. “Suggerisco alle aziende di bloccare il traffico Tor in entrata ed uscita” aggiunge. “Sebbene sia uno strumento formidabile per la garantire l’anonimato in rete, non fornisce vantaggi specifici in un contesto aziendale.” Secondo l’esperto la misura, seppur drastica, è l’unica efficace dal punto di vista di una azienda che non ha motivo di consentire l’accesso alla rete Tor (fatta esclusione di alcuni casi specifici che possono essere esplicitamente autorizzati dalla organizzazione).

Facebook Comments

Previous articleAlfabeto Open: L come Lock-in (e Pubblica Amministrazione)
Next articleSorpasso record in Usa: nel 2015 il mobile supererà il desktop nella spesa pubblicitaria
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

LEAVE A REPLY

Please enter your comment!
Please enter your name here