Експерти корпорації IBM провели дослідження по роботі Tor в корпоративних мережах.
Як виявилося, ця анонімна мережа може стати джерелом головного болю для фахівців з інформаційної безпеки: всього за п'ять місяців фахівці IBM зафіксували більше 300 тисяч атак з Tor. Висновок очікуваний — IBM рекомендує компаніям відмовлятися від використання Tor у своїх мережах, провівши її блокування в корпоративних системах. Відповідна рекомендація, зокрема, міститься в квартальному звіті IBM X-Force Threat Intelligence Quarterly за 2015 р.
В ході дослідження з'ясувалося, що за останні кілька років кількість атак в корпоративних мережах, які виходять з вихідних вузлів Tor, значно збільшилася. Так, дослідники провели вивчення стрибків Tor-трафіку, зв'язавши їх з активністю ботнетів, запущених у так званій Dark Web. На даний момент по всьому світу працює близько 5000 серверів, що підтримують роботу анонімної мережі. Обслуговують ці сервера волонтери — журналісти, противники копірайту, борці за права, хакери та звичайні громадяни. Деякі сервери розміщуються і в корпоративних мережах різних компаній.
Вікіпедія пише, що Tor (скор. від англ. The Onion Router) — вільне та відкрите програмне забезпечення для реалізації другого покоління так званої цибулевої маршрутизації. Це система проксі-серверів, що дозволяє встановлювати анонімне з'єднання, захищене від прослуховування. Розглядається як анонімна мережа віртуальних тунелів, надає передачу даних в зашифрованому вигляді. Написана переважно на мовах програмування C, C++ і Python. З допомогою Tor користувачі можуть зберігати анонімність в інтернеті при відвідуванні сайтів, ведення блогів, миттєві і поштових повідомлень, а також при роботі з іншими додатками, що використовують протокол TCP.
Анонимизация трафіку забезпечується за рахунок використання розподіленої мережі серверів — вузлів. Технологія Tor забезпечує захист від механізмів аналізу трафіку, які ставлять під загрозу не тільки приватність в інтернеті, але також конфіденційність комерційних таємниць, ділових контактів і таємницю зв'язку в цілому.
Максимальна кількість Tor-атак було здійснено щодо hi-tech і телекомунікаційних компаній, як великих, так і дрібних. Також помічене зростання числа подібних атак щодо фінансових установ та виробничих компаній. Лідером за кількістю Tor-атак є США — близько 200 тисяч. На другому місці знаходяться Нідерланди, зі 150 тисячами Tor-атак, і на третьому — Румунія, з 75 тисячами атак.
Щоправда, ця статистика пояснюється досить просто — справа в тому, що в цих країнах розташована максимальна кількість вихідних Tor-вузлів. «Ви можете навіть не знати, що ваша компанія бере участь у чомусь нелегальному», — пише Етей Маор, фахівець з інформаційної безпеки IBM. Також він додав, що компаніям не варто дозволяти роботу з анонімними мережами у корпоративних мережах. Це може призвести не лише до крадіжки інформації, але і до проблем із законом у деяких випадках. Деякі співробітники можуть працювати з Tor, наприклад, створюючи ноди усередині корпоративної мережі, не усвідомлюючи наслідків, яким все це може призвести (а може, навпаки, добре це розуміючи).
Що ж робити? IBM порекомендувала компаніям конфігурувати мережі з розрахунком на блокування вузлів Tor і будь-яких ресурсів, пов'язаних з анонімними мережами, а також з анонімними проксі. ІТ-відділам рекомендують переконатися в тому, що працівники компаній не використовують такого роду ресурси на роботі, а також заборонити використання анонімайзерів, VPN, персональних USB-флеш і SD-карти. BIOS комп'ютерів в мережах повинен бути налаштований таким чином, щоб завантаження йшла тільки з жорсткого диска (за винятком випадків, коли це неможливо), плюс повинен бути відключений автозапуск для всіх знімних носіїв.
На думку експертів IBM, у більшості компаній просто немає вибору — корпоративні мережі не повинні працювати з комунікаційними мережами, в яких ведеться протизаконна діяльність, і які можуть стати причиною витоку інформації з самої корпоративної мережі, з непередбачуваними наслідками.
Кірілл Гальченко
За матеріалами IBM.com, geektimes.ru
