Tortilla - Dirigir tráfico a Tor.

Antes de comenzar este nuevo post, vamos a recordar los últimos acontecimientos que han ocurrido entorno al anonimato en la red y la supuesta privacidad de los usuarios.

Como todos sabemos el diseño de la red de Tor asegura que el usuario no pueda saber dónde se localiza el servidor y que el servidor no pueda saber la dirección IP del usuario, claro esta que a menos que se inserte código de rastreo o tracking en las páginas web del servidor.

Curiosamente hace unos dias se ha descubierto el algunos sitios del proveedor Freedom Hosting, concretamente código Javascript. El bug se encuentra en la versión Firefox 17 ESR (que es el que se basa el Tor Browser oficial) y que permite obtener la IP real del usuario que navega a través de Tor (después envía la información a una IP en Reston, Virginia) a parte de cargar un payload para instalar malware en el equipo de la víctima desde la IP 65.222.202.54:80.

Exploit Zero-Day :   http://pastebin.com/GxRkkCXh

Payload                :    http://pastebin.com/AwnzEpmX

Bueno después de tantas violaciones a la privacidad de los usuarios, hubo una violación a la cual estoy complemente a favor, el arresto por parte de las autoridades al mayor proveedor de pornografía infantil, cuyo nombre es Eric Eoin Marques, ciudadano irlandés de 28 años de edad, según el FBI este personaje es el mayor distribuidor de pornografía infantil del planeta. En esta ocasión si doy un aplauso a las autoridades, pero el dilema es, acaso el Fin justifica los Medios...Piensenlo..

Tortilla 

Tor para nosotros los investigadores es muy importante al momento de querer analizar malware avanzado, como por ejemplo las botnet. Tor nos permite observar el enlace entre el malware y los servidores de control. El gran problema que ocurre con Tor Browser Bungle, que tiene a su disposición una propia versión de Firefox (versión vulnerada con el exploit anteriormente mencionado) para presenvar el anonimato. Pero los plug-ins como por ejemplo Flash no son aceptados en esta escena.

Una de las grandes limitaciones de red es el hecho de que Tor escucha por los puertos con el proxy Socks, pero la mayoría de las aplicaciones de red no soportan Socks nativos. He aquí el gran problema ya que se tendría que disponer de hardware adicional o maquinas virtuales, o en el peor de los casos de un sistema operativo, por así decirlo desconocido.

Tortilla es una herramienta de código abierto que permite a los usuarios navegar de forma segura, anónima y transparente. Esta herramietna tiene como función enrutar todo el tráfico TCP/IP y ademas tambien el tráfico DNS a travez de Tor, sin importar el software de cliente, y sin depender de ningun  VPN, hardware adicional o una máquina virtual.

Tiene la capacidad de comunicarse de forma segura con los servidores de ataque, que es realidad es muy importante, ya sea atravez de un navegador u otra herramienta basada en la red. Tortilla es una herramienta muy ligera, ademas no cuenta con muchas características especiales. Por el momento Tortilla se encuentra en versión beta.


Descargar :  http://www.crowdstrike.com/community-tools/


En mi caso voy a instarlarlo en windows 7. Despues de finalizar la descarga vamos a extraer los archivos.

Bueno a continuación vamos a ejecutar Tortilla.exe.

Pffff....Error.... =( .. Bueno pero no se preocupen este error es por la falta de configuración, a continuación vamos a tratar de resolver dicho error. (Si gustan pueden leer los archivos .txt de la descarga de Tortilla).


Configuración de Arranque Testsigning.

La opción de configuración de arranque TESTSIGNING determina si en windows vista y versiones posteriores de windows se carga cualquier tipo de prueba firmando código en modo Kernel. Esta opción no esta establecida de forma predeterminada, lo que significa que firmas de test-signed en modo kernel no se carga de forma predeterminada en las versiones de 64 bits de Windows vista y versiones posteriores de windows.

La opcion de configuración de arraques TESTSIGNING se activa o desactiva con el comando bcdedit. Para activar la test-signed, utilice el siguiente comando : BCDEdit :


Activar         :    Bcdedit.exe -set TESTSIGNING ON

Desactivar   :    Bcdedit.exe -set TESTSIGNING OFF


Bueno a continuación vamos a activarlo. Para esto vamos a abrir una ventana de consola cmd (Importante: Necesitamos abrirlo con privilegios de administrador).

A continuación nos el sistema debe responder que  La operación se completó correctamente.

Ingresamos bcdedit :

Como podemos observar la opción testsigning ya esta activado. A continuación procedemos a reiniciar nuestro equipo ya que hemos hechos ciertos cambios a nivel de Kernel, así que ha reiniciar se ha dicho.

Una vez iniciado otra vez windows, vamos a verificar si los el puerto de escucha del cliente es el correcto (port : 9051)

Bueno al parecer todo esta correcto, así que vamos ha ejecutar nuestra herramienta Tortilla.

Excelente....Como podemos observar al parecer todo ha ejecutado correctamente. Bueno ahora vamos a observar nuestras conexiones de red.

Bueno a continuación voy ha activar mi maquina virtual, pero primero voy a revisar mi Virtual Network Editor.

A continuación voy a realizar ciertos cambios.

Elijo la opción Tortilla Adapter y le do ya Ok. En mi caso yo voy a compartir mi conexión de internet de Tortilla hacia mi maquina virtual.

Cuyo en este caso sería :

Y para ya terminar abro mi Virtual Machine Settings y elijo la siguiente opción (en mi caso) :

Bueno solo faltaría aceptar la configuración. Para eso le damos en Ok.