Llegamos a ustedes gracias a:



Noticias

Herramienta de código abierto facilita a los investigadores mantenerse en secreto

[18/07/2013] CrowdStrike, startup en seguridad, planea lanzar este mes una herramienta de código abierto que facilita a los investigadores monitorear de forma secreta las comunicaciones del malware con un servidor de comando y control.
De nombre Tortilla, la herramienta se encontrará disponible de manera gratuita en el sitio web de CrowdStrike desde el 31 de julio, el día en que es presentada por el desarrollador Jason Geffner en la conferencia Black Hat USA en Las Vegas, Nevada. El lanzamiento incluirá el código fuente y un ejecutable.
Tortilla corrige los obstáculos que se presentan para usar las estaciones de trabajo Windows para una investigación clandestina de malware. El problema se genera a partir de las limitaciones de Windows para soportar Tor, una red de anonimato en línea.
Los investigadores usan Tor para esconder las direcciones IP de sus computadoras mientras monitorean las comunicaciones entre el malware y el servidor de C&C y observando los payloads maliciosos subidos por este último.
El anonimato es importante porque los investigadores no quieren dar pistas a los criminales o hackers que trabajan para otras naciones que están siendo observados. Hacerlo podría ocasionar que se les niegue acceso al servidor, que se le dé información falsa al investigador o que se desconecte el servidor completamente.
Ellos pueden hacer cualquier cosa que quieran para confundirnos o engañarnos, sostuvo Geffner.
Los creadores de malware, que generalmente se encuentran ligados a grupos de crimen organizado, también pueden rastrear directamente la dirección IP hasta el investigador, si es que está usando una computadora de casa o de la compañía en la que está trabajando.
Mientras más mantengamos el secreto, mejor, indicó Geffner.
El problema que enfrentan los investigadores en Windows se origina en la falta de soporte nativo del sistema operativo para Socket Secure (SOCKS), que es el protocolo Internet que usa Tor para rutear los paquetes de red a través de proxies para ocultar la computadora original.
Para enfrentar el problema los investigadores usarán otro hardware para correr el malware en un diferente sistema operativo que corre en una máquina virtual. Las máquinas virtuales generalmente son usadas para correr malware pero aislado del resto de las computadoras y su software.
Tortilla permite que los investigadores usen Tor en cualquier computadora Windows que corra el sistema operativo XP o posterior. Además, los investigadores pueden usar cualquier navegador o plugin y cualquier software de red. Tor normalmente soporta sólo soporta una versión especial de Firefox.
CrowdStrike planea proporcionar Tortilla sin condiciones, sostuvo Geffner. Los investigadores tienen la libertad de usarlo como gusten.
Antone Gonsalves, CSO (EE.UU.)