Tortilla : un anonymiseur pour chercheurs en sécurité étudiant les malwares
CrowdStrike, une start-up spécialisée dans la sécurité, prévoit de sortir ce mois-ci un outil Open Source baptisé Tortilla - et reposant sur Tor - qui permettra aux chercheurs de surveiller plus facilement et en toute discrétion les communications entre les logiciels malveillants et leurs serveurs de commande et de contrôle.
L'outil appelé Tortilla sera disponible gratuitement sur le site web de CrowdStrike à partir du 31 juillet, jour où il sera présenté par le développeur Jason Geffner à la conférence Black Hat USA 2013 (du 27 juillet au 1er août à Las Vegas, Nevada). La version finale de Tortilla comprendra le code source et un fichier exécutable. Le logiciel permet de contourner un obstacle propre à Windows qui empêche de rechercher clandestinement des logiciels malveillants depuis un poste de travail tournant sous le système d'exploitation de Microsoft. Le problème vient des limitations de Windows dans le support du réseau décentralisé Tor qui assure l'anonymat des clients sur Internet. Les chercheurs utilisent Tor pour masquer les adresses IP de leur ordinateur quand ils surveillent les communications entre les logiciels malveillants et leur serveur C&C et qu'ils observent les charges malveillantes téléchargées par le serveur.
L'anonymat est important, parce que les chercheurs ne veulent pas que les criminels ou les pirates travaillant pour des gouvernements sachent qu'ils sont surveillés. Ils pourraient ainsi bloquer l'accès à leur serveur, transmettre de fausses informations aux chercheurs ou mettre leur serveur hors ligne. « Ils peuvent faire ce qu'ils veulent pour nous tromper ou nous égarer », a déclaré le développeur. Les créateurs de logiciels malveillants, qui sont souvent liés à des groupes criminels organisés, peuvent également tracer l'adresse IP et remonter jusqu'au chercheur, si celui-ci utilise un ordinateur personnel depuis son domicile, ou jusqu'à l'entreprise pour laquelle il travaille. « Plus nous travaillons dans le secret, mieux c'est », a déclaré Jason Geffner.
Pas de support natif de Tor dans Windows
Le problème auquel doivent faire face les chercheurs sous Windows découle de l'absence d'un support natif pour le protocole internet Secure Socket (SOCKS) utilisé par Tor pour faire circuler les paquets sur le réseau à travers différents proxies afin de masquer l'identité de l'ordinateur. Pour contourner le problème, les chercheurs utilisent un autre matériel ou font tourner le logiciel malveillant sur une machine virtuelle avec un système d'exploitation différent. Les VM sont souvent utilisées pour exécuter des programmes malveillants afin de les séparer du reste de l'ordinateur et de ses logiciels.
Tortilla permet au chercheur d'utiliser Tor sur n'importe quel ordinateur exécutant Windows XP ou une version ultérieure sans avoir à passer par des procédures diverses. En outre, les chercheurs peuvent utiliser n'importe quel navigateur ou plug-in et n'importe quel logiciel de gestion de réseau. Normalement, Tor supporte seulement une version spéciale de Firefox. « L'idée de CloudStrike est de livrer Tortilla sans condition », a précisé le développeur. « Les chercheurs seront libres de l'utiliser comme ils veulent ». D'autres usages de Tortilla sont également envisagés par les internautes, comme une extension du protocole Tor à tous les logiciels présents sur un PC. Il s'agit tout simplement de router tous les paquets IP et même les DNS d'une machine pour sécuriser et anonymiser le trafic des internautes soucieux de la protection de leur vie privée sur Internet.