Da quando, cinque anni fa, il servizio di anonimità Tor (The Onion Router) ha iniziato a diffondersi su larga scala, gli amministratori di rete hanno cominciato a chiedersi se ciò rappresenti un rischio che vada bloccato e, in caso affermativo, come sia possibile riuscirci. Gli studi che hanno affrontato la questione sono quasi del tutto inesistenti, a parte per quanto riguarda l’ambiente universitario dove Tor si è diffuso molto più che in altri settori.

È facile capire come Tor possa essere utilizzato per scopi perfettamente legittimi, ma è altrettanto evidente che il suo utilizzo può portare anche a conseguenze negative come connettersi a siti criminali presenti nella darknet, bypassare la sicurezza di rete o diventare un canale per la distribuzione di malware. La preoccupazione delle aziende rispetto a Tor è che è impossibile capire per quale di questi scopi possa essere utilizzato.

Tor non è l’unico servizio di anonimità progettato con in mente la massima sicurezza possibile. Si pensi ad esempio all’Invisible Internet Project (I2P), o alle VPN e ai proxy, sebbene questi ultimi due esempi siano più semplici da riconoscere e bloccare.

I rischi per le aziende

Rischio 1 – Darknet

La darknet è molto più di un’iperbole. Una stima di Kaspersky Lab risalente agli inizi del 2014 indicava in un migliaio il numero di servizi criminali presenti in questa “rete oscura” e si trattava quasi certamente di una stima al ribasso. Da allora a oggi questo numero è certamente aumentato e anche se è vero che la darknet esisterebbe senza Tor, è altrettanto vero che Tor rappresenta il modo più semplice e immediato per accedervi senza rivelare l’indirizzo IP del client.

Rischio 2 – Malware

Oltre che per l’accesso alla darknet, i criminali hanno cominciato a utilizzare Tor come un canale di comunicazione per il comando e il controllo (C&C) dei malware e, per le aziende, proprio questo fatto rappresenta la preoccupazione maggiore quando si parla di Tor. Anche se il C&C di Tor è piuttosto lento, si tratta di un luogo ideale per i malware per nascondere le loro comunicazioni.

Come bloccare Tor

Endpoint

Teoricamente dovrebbe essere possibile impedire agli utenti l’installazione di Tor implementando un’accurata gestione dei privilegi, anche se a ben vedere Tor può funzionare tramite un’installazione da una chiavetta USB; cosa che in molti casi può bypassare questo tipo di controllo.

IP e DPI

Dal lato network la prima cosa da fare per rilevare Tor è identificarne l’utilizzo a livello LAN per rendersi conto della portata del problema. Non è però semplice, visto che Tor utilizza una cifratura TLS (il successore del SSL) e che quindi è complesso individuare il traffico e ancora più difficile interrogare il suo contenuto. Una tecnica utilizzata comunemente per riconoscere Tor è fare il confronto tra i log SIEM e una lista di indirizzi IP conosciuti pubblicamente e utilizzati come nodi di entrata.

Molti amministratori di rete partono proprio da qui, ma sfortunatamente questa lista può essere molto lunga e cambiare costantemente e difficilmente copre i nodi nascosti che sono una caratteristica del sistema. Alcuni server che agiscono come nodi di entrata Tor possono inoltre essere utilizzati per scopi legittimi, cosa che aumenta la possibilità di bloccare traffico “innocente” e di generare falsi positivi.

Un’altra tecnica manuale consiste nell’usare il Deep Packet Inspection (DPI) su un firewall per cercare segnali di certificati insoliti utilizzati dai nodi, sebbene ciò presupponga che voi sappiate quali porte siano utilizzate in quel momento. Tor usa la porta 443, ma anche 80 (http), 9001 e 9030, anche se può utilizzarne qualsiasi altra riesca a trovare. Quella del DPI rappresenta quindi una tecnica di partenza più che di arrivo, anche se va sottolineato come nel 2012 proprio il DPI abbia bloccato Tor per diverse settimane in Paesi come l’Iran e l’Etiopia.