L'équipe Microsoft traque les utilisateurs malveillants

L'anonymat sur Internet peut être à la fois une bénédiction et une malédiction. Alors que la possibilité de se cacher derrière des proxys anonymes et des adresses IP à évolution rapide a permis une plus grande liberté d'expression dans les pays dotés de régimes répressifs, les mêmes technologies permettent aux cybercriminels de cacher leurs traces et de faire passer du code malveillant et du spam pour des communications légitimes.





Dans un article qui sera présenté la semaine prochaine à SIGCOM 2009 à Barcelone, en Espagne, trois chercheurs du centre de recherche de Microsoft à Mountain View, en Californie, démontrent un moyen de supprimer le bouclier de l'anonymat de ces attaquants obscurs. À l'aide d'un nouvel outil logiciel, les trois informaticiens ont pu identifier les machines responsables de l'activité malveillante, même lorsque l'adresse IP de l'hôte changeait fréquemment.

Ce que nous essayons vraiment d'atteindre, c'est l'hôte responsable d'une attaque, a déclaré Yinglian Xie , membre de l'équipe Microsoft. Nous n'essayons pas de suivre ces identifiants mais de les associer à un hôte particulier.

Le système prototype, baptisé HostTracker, pourrait permettre de meilleures défenses contre les attaques en ligne et les campagnes de spam. Les entreprises de sécurité pourraient, par exemple, se faire une meilleure idée des hôtes Internet qui devraient être empêchés d'envoyer du trafic à leurs clients, et les cybercriminels auraient plus de mal à camoufler leurs activités en tant que trafic légitime.



Xie et ses collègues, Fang Yu et Martin Abadi, ont analysé un mois de données – 330 gigaoctets – collectées auprès d'un grand fournisseur de services de messagerie, dans le but de déterminer quels utilisateurs étaient responsables de l'envoi de spam. Pour retracer les origines de plusieurs épidémies de spam, les scientifiques ont étudié des enregistrements comprenant plus de 550 millions d'identifiants d'utilisateurs, 220 millions d'adresses IP et un horodatage pour des événements tels que l'envoi d'un message ou la connexion à un compte.

La recherche de l'origine des messages, une tâche clé pour le suivi du spam et d'autres types d'attaques sur Internet, impliquait de reconstituer les relations entre les identifiants de compte et les hôtes à partir desquels les utilisateurs se connectaient au service de messagerie. Pour ce faire, les chercheurs ont regroupé tous les identifiants accessibles à partir de différents hôtes sur une certaine période de temps. Le logiciel HostTracker a ensuite passé au peigne fin ces données pour résoudre tout conflit. Par exemple, parfois, plusieurs utilisateurs semblaient provenir de la même adresse IP ou un seul utilisateur avait plusieurs adresses ID au cours de périodes qui se chevauchaient.

HostTracker résout les conflits en croisant les données pour identifier les serveurs proxy, qui permettent à plusieurs hôtes d'apparaître comme une seule adresse IP, et pour déterminer quand un invité utilisait un hôte légitime. Le fait que nous soyons capables de tracer le trafic malveillant jusqu'au proxy lui-même est une amélioration car nous sommes en mesure d'identifier l'origine exacte, dit Xie.



Les chercheurs ont également créé un moyen de mettre automatiquement sur liste noire le trafic à partir d'une adresse IP particulière, une fois que le système HostTracker a déterminé que l'hôte à cette adresse est compromis. En utilisant cette méthode de simulation, les chercheurs ont pu bloquer le trafic malveillant avec un taux d'erreur de cinq pour cent, en d'autres termes, 5 adresses IP sur 100 classées comme malveillantes étaient en fait légitimes. L'utilisation d'informations supplémentaires pour identifier le bon comportement des utilisateurs a réduit ce taux de faux positifs à moins d'un pour cent.

Les résultats suggèrent que HostTracker serait un bon moyen d'affiner la façon actuelle de se défendre contre les attaques par déni de service distribué et les campagnes de spam, déclare Gunter Ollmann, vice-président de la recherche et du développement chez Damballa , une entreprise qui aide les entreprises à trouver et à éliminer les hôtes compromis dans un réseau informatique.

L'utilisation de cette technique aidera à trouver les botnets qui ont une fréquence de trafic élevée, tels que les campagnes de spam, les attaques DDoS et peut-être les attaques par clic, explique Ollmann. D'autres attaques, telles que le vol de mots de passe et les chevaux de Troie bancaires, où l'attaque est plus centrée sur l'hôte, ce type de technique ne serait pas aussi efficace.



Xie reconnaît que même si la technique est utile pour créer des listes d'hôtes à suivre, elle peut être moins utile pour les organismes chargés de l'application de la loi qui tentent d'identifier les attaquants derrière le crime en ligne. L'imputabilité dont nous parlons n'est pas l'imputabilité des tribunaux, dit-elle. Nous voulons séparer les deux notions. La responsabilité dont nous parlons est la capacité d'identifier les hôtes.

cacher