Transcript Document

DW
Darknet, freenets, onion
routing, overlay
networks, crime
Dejando las cosas
claras
• Desde que se aprobó la
directiva de eliminar a
activistas que atenten contra
los sistemas de información, la
cosa está tibia.
• Irán, nos va a dar un susto.
• ¿Identidad digital?
• Si te cojo en CPs no tendré
piedad
• Permanentemente en DEFCON3
… tranquilo majete en
tu sillón…
Contenido sensible
… si, tú, tú …
• TAINT-DROID.
– Buscarás diseñar bien para ganar
dinero.
• Tu app la usa mucha gente.
– Cobras por publicidad. Cobrar la APP ya
casi está hasta mal visto (caso de
whatsapp).
– Vendes información privada de tus USRs.
» Ah! Qué no os lo creéis.
• Tu app la usa poca gente.
– Cobras una pasta por la APP. Al final
muere la app.
… si, tú, tú …
• Maravillosas PIN-TOOLS!
• https://code.google.com/p/tarte
tatintools/
• http://appanalysis.org/
• Demo
– http://www.youtube.com/watch?v=qnL
ujX1Dw4Y
• Dale al Play Manolo …
Sólo carácter
ilustrativo
Let’s go, en serio.
• Qué es DW.
– Los enlaces entre SW y DW :
Onion.to
•
•
•
•
•
Qué es TOR.
Qué son las FreeNets.
BitCoins
Qué es el OnionRouting.
Principios básicos del
“hunting”
Qué es DW
Qué es DW
Qué es DW
• ¿Está listo Capt. Price?
• http://k02.kn3.net/81A9FCAE2.pn
g
Qué es DW
•
Google.com indexes 26.5 billion public web pages.
•
92+ billion static web pages are publicly-available.
These pages can easily be found by Google and other
search engines. (e.g. www.honda.com,
www.australia.gov.au)
•
9.5 billion static pages are hidden from the public. As
private intranet content, these are the corporate pages
that are only open to employees of specific companies.
(e.g. employees.honda.com, secure.australia.gov.au)
•
300+ billion database-driven pages are completely
invisible to Google. These invisible pages are not the
regular web pages you and I can make. Rather, these are
dynamic database reports that exist only when called
from large databases.(e.g. custom online car quote for
Shelly, Australian government discussion on aboriginal
taxation)
So if Google only catalogs 8% of the World Wide Web,
and other search engines catalog even less, then where
is the remaining 92%of web content hidden?
•
Qué es DW
• Metáfora de la cámara de fotos.
• El coche que cambia de color.
– TOR, Onion Routing.
Qué es la DW
• ¿Cómo buscar en la DW?
– Infomine es un buen ejemplo.
– Podéis probarlo sin problema.
• Un buen punto de entrada
• http://www.robertlackie.com/inv
isible/
Let’s go, en serio.
• Qué es DW.
– Los enlaces entre SW y DW :
Onion.to
•
•
•
•
•
Qué es TOR.
Qué son las FreeNets.
BitCoins
Qué es el OnionRouting.
Principios básicos del
“hunting”
Qué es DW. Enlaces SWDW
• Onion.to
• Google.es
– site:onion.to <término a buscar>
Qué es DW. Enlaces SWDW
• ¿onion?
– Ojito.
– Tor -> onion.
• Onion routing.
• Algo más complejo de lo que pensais.
Let’s go, en serio.
• Qué es DW.
– Los enlaces entre SW y DW :
Onion.to
•
•
•
•
•
Qué es TOR.
Qué son las FreeNets.
BitCoins
Qué es el OnionRouting.
Principios básicos del
“hunting”
Qué es TOR
• Tor, i2p, freenets (aunque esto
lo veremos luego).
Qué es TOR
• The Onion Router
• Enrutamiento de segunda
generación para ocultar tu
conexión.
• US Naval Research Lab, ahora es
libre.
• El onion routing funciona
dirigiendo tu conexión entre
varios routers “relevo” (relay)
en diferentes lugares. Los
routers son nodos de
“voluntarios” en un alto
porcentaje.
Qué es TOR
• TOR no es la DW, pero se usa para
navegar por ella.
• TOR no te lleva a los sitions
.onion, para ello tienes que
saber dónde están.
– Core.onion,
en eqt5g4fuenphqinx.onion
– Tor Directory link sitios .onion,
– talk.Masked, un sitio donde
postear anonimamente.
• The Hidden Wiki
at this address,
mirror of the
Qué es TOR: .onion
• .onion es un pseudodominio de
nivel superior genérico ( como
.bitnet y .uucp) que indica una
dirección IP anónima accesible
por medio de la red Tor.
• No son en realidadDNS, acceder
a sitios .onion usando
programas proxy y enviando la
solicitud a través los
servidores de la red Tor.
Qué es TOR: .onion
• El objetivo tanto el suministrador de
información como el receptor sean
difícilmente trazables.
• Las direcciones .onion son opacas, no
mnemotécnicas y fruto de una combinación
de 16 caracteres alfanuméricos generados
automáticamente basándose en una clave
pública cuando Tor es configurado.
• El nombre "onion" (cebolla) hace
referencia a la técnica de encaminamiento
de cebolla
Qué es TOR: browser!
(debian)
• Pasos configurar Firefox para acceder a los
dominios .onion de forma directa a través de tu
demonio/proxy Tor local. De esta forma, nos
aseguramos que todo el tráfico va directo a través
de la red tor.
• Configurar Firefox para enviar a través de Tor las
peticiones a los dominios .tor : Firefox para que
solo envíe las peticiones a los dominios .onion a
través de la red Tor, pero no queremos que Firefox
envíe a través de Tor el resto de peticiones.
Guarda el siguiente contenido en un fichero (por
ejemplo como ~/.proxy_pac)
function FindProxyForURL(url, host) {
isp = "PROXY ip_address:port; DIRECT";
tor = "SOCKS 127.0.0.1:9050";
if (shExpMatch(host,"*.onion")) {
return tor;
}
return "DIRECT";
}
–
usar dicho fichero como fichero de configuración proxy en (Editar->Preferencias>Avanzado->Red->Ajustes->Dirección de configuración de proxy automático).En Dirección
de configuración de proxy automático has de poner el fichero
Qué es TOR: browser!
• Configurar Firefox para enviar las
peticiones DNS a través de un proxy
SOCKS5: decirle a Firefox que debe
resolver las peticiones DNS a través del
proxy SOCKS5 de Tor cuando intentas
acceder a un dominio .onion. Por defecto,
Firefox intentará resolver los dominios
.onion usando tu servidor DNS local, por
lo tanto no podrá resolver dichos
dominios. Activar la
variable network.proxy.socks_remote_dns e
n la página de configuración avanzada. .
• Esto hará que firefox envíe las
peticiones DNS para dominios .onion a
través de tu demonio local Tor. Esto
también añade privacidad ya que evita que
las peticiones a los dominios .onion
Qué es TOR: browser!
• Mejor usar el que trae TOR, que
viene preparado, ¿no?
• El otro lado de la moneda
– Crear los servidores ocultos
• https://www.steroids.to/es/blog/2013/
01/04/configuraci-n-de-un-serviciode-tor-ocultado-onion-para-elservidor-nginx-creado
– http://www.hiddenwiki.org/how-toregister-onion-domain.html
Qué es TOR: mas sobre
nodos .onion
torhostg5s7pa2sn.onion que es un hosting gratuito para la deep web.
Torhost.onion da cada usuario Tor alojamiento gratuito en nuestros
servidores.
Cuenta segura Anónimo
Personal. Cebolla dirección
50 MB espacio web
Ancho de banda ilimitado
PHP apoyo
SQLite apoyo
SFTP acceso
Si tiene un proyecto social o útile de alguna manera le daremos GRATIS
una cuenta FAIRPAID con:
Espacio web ilimitado
Ilimitado MySQL y PostgreSQL
Unlimited. Cebolla dominios
Importación / exportación de cebolla dominios existentes. (Con clave privada)
El acceso a la red Bitcoin a través de monitor de servicio
Copias de seguridad diarias
(interesante pero menos fiable que un tutorial de youtube con música
hardcore…)
Qué es TOR
•
•
•
•
•
•
Black-markets.
Veamos algunos videos.
Configuración de TOR
Acceso a la Hidden Wiki
Contenido DeepWeb
Market (no BM ni SR) mas
pequeño
• Navegación de ejemplo
Let’s go, en serio.
• Qué es DW.
– Los enlaces entre SW y DW :
Onion.to
•
•
•
•
•
Qué es TOR.
Qué son las FreeNets.
BitCoins
Qué es el OnionRouting.
Principios básicos del
“hunting”
Qué es FreeNets
• https://freenetproject.org/
Let’s go, en serio.
• Qué es DW.
– Los enlaces entre SW y DW :
Onion.to
•
•
•
•
•
Qué es TOR.
Qué son las FreeNets.
BitCoins
Qué es el OnionRouting.
Principios básicos del
“hunting”
Qué es BitCoin
• http://www.youtube.com/watch?v=
CA7dS_-oB3Y
• http://www.youtube.com/watch?v=
YZTnpFVa7BE
• http://www.youtube.com/watch?v=
oJ-IbBXrQvY
GUIminer (ejemplo)
• http://www.youtube.com/watch?v=
NiFkql5_Sws
• http://www.youtube.com/watch?v=
ejiqbzqmxSE
• http://www.youtube.com/watch?v=
lEGIZOO-HYY
¿Qué es la minería?
•
•
•
•
•
¿Cómo se consiguen Bitcoins ?
Los Bitcoin se encuentran en bloques, que se generan entre todos los
nodos de la red. Cuando un nodo de la red genera un bloque,
automáticamente gana 50 Bitcoin. Para evitar que la gente emita todo el
dinero que le diese la gana, para que un bloque sea aceptado por la red
debe calcularse un hash (una función matemática muy compleja) con
determinado nivel de dificultad que regula la propia red, el cual se va
ajustando de acuerdo a la cantidad de “usuarios minando” para que la
cantidad de Bitcoins descubiertos no crezca, sino que se mantenga
constante.
La forma más sencilla de generar es ir a http://www.bitcoin.org,
descargar el cliente, y en el menú de configuración marcar la opción
“Generar bitcoins”. Cuidado, no generará nada hasta que haya bajado
todos los bloques, que llevará bastante. Como las CPUs son muy lentas
para este proceso, programas “mineros” que usan las tarjetas gráficas
para acelerar el proceso. Como se puede tardar bastante (sobre todo con
CPU, puedes tardar años), hay servicios de “minería en grupo” (mining
pools) – gracias mrCavern-. (http://mining.bitcoin.cz/ y
http://deepbit.net/)
Comprándolos
Vendiendo cosas: http://bitbid.net/http://www.biddingpond.com/
Apostando: Como es una red anónima, sin tasas, impuestos y sin control
de gobiernos ni entidades financieras, hay varios sitios de apuestas.
El número total de bitcoins tenderá a 21 millones con el tiempo.
Let’s go, en serio.
• Qué es DW.
– Los enlaces entre SW y DW :
Onion.to
•
•
•
•
•
Qué es TOR.
Qué son las FreeNets.
BitCoins
Qué es el OnionRouting.
Principios básicos del
“hunting”
Onion Routing
• La red TOR es un sistema de
enrutamiento que permite a los
usuarios que hacen uso de ella
para establecer conexiones
anónimas que impidan el rastreo
de la dirección IP de origen,
canalizando su tráfico de red a
través de distintos nodos o
repetidores repartidos por todo
el mundo. En el siguiente gráfico
se el proceso de comunicación que
realiza Alice a través de TOR
Onion Routing
Onion Routing
• Como se ve, inicialmente Alice establece
una conexión cifrada, en color verde,
con uno de los nodos TOR disponibles.
Este nodo se comunicará con otros nodos
aleatorios para hacer más difícil el
traceo de la conexión, también
utilizando conexiones cifradas. Sin
embargo, el último de los nodos TOR debe
realizar una conexión no cifrada
con Jane, ya que no está dentro de la
red. A primera vista, éste parece un
eslabón débil dentro de la cadena de
comunicación de esta red.
• Por todos es sabido que la red TOR es
buena para el anonimato, pero mala para
la privacidad de las conexiones.
Onion Routing
• Se montó un servidor proxy en modo transparente,
un nodo TOR, y un servidor DNS para resolver las
peticiones que por allí pasaran a mi gusto. Ese
servidor DNS se encargaba de realizar la
resolución de nombres de dominio de las peticiones
que el nodo realizaba, y el servidor proxy se
encargaba de almacenar todo del tráfico que pasaba
a través de él, solo para hacer un estudio de
"privacidad" en la red TOR. Para conseguir esto,
se configuró el servidor DNS de tal modo que
respondiera con la IP del servidor proxy fuera
cual fuera el dominio a resolver.
• Tras tener todo el entorno con este DNS Hijacking
configurado se inició la captura de tráfico a
través del Proxy a ver qué caía por allí... pero
me cazaron. ¿Cómo? Pues porque la red TOR ya pensó
en este tipo de ataques, y se realizan distintas
comprobaciones para detectar estos ataques de DNS
Hijacking, como se ve en la captura de pantalla
del log.
Onion Routing
Onion Routing
• Para ello, pasan un test de resolución de DNS
buscando que no haya irregularidades, es
decir, que no se respondan a dominios
inexistentes, ni haya cambios de direcciones
a nombres de dominios conocidos. En este
caso los dominios du.invalido www.yahoo.com,
están dentro del test para ver si los
dominios invalid tienen respuesta cuando no
deberían o si la dirección
de www.yahoo.com es una de las que ellos
comprueban en paralelo. Bien por ellos.
• Por supuesto, esta protección no evita ni
mucho menos los ataques de man in the
middle, y seguro que a muchos de vosotros se
os ocurren formas de saltarse esta
protección. Yo, después de montar el resto de
los ataques os sigo recomendando la red TOR
para ocultar la dirección IP de origen, pero
Onion Routing
• Numb3rs, lo explicaron:
– http://www.youtube.com/watch?v=XIDxDMww
lsw
• Paper, para más detalles.
– https://svn.torproject.org/svn/projects
/design-paper/tor-design.pdf
• Conferencia
– http://www.youtube.com/watch?annotation
_id=annotation_212740&feature=iv&src_vi
d=6xB_50VKxME&v=6xB_50VKxME#t=5m20s
• (minuto 11:36)
• Video freak
• http://www.youtube.com/watch?v=Z5WNlm
xgjLc
Let’s go, en serio.
• Qué es DW.
– Los enlaces entre SW y DW :
Onion.to
•
•
•
•
•
Qué es TOR.
Qué son las FreeNets.
BitCoins
Qué es el OnionRouting.
Principios básicos del
“hunting”
Principios del hunting
• This unencrypted connection on the exit node is
what we will be exploiting.
Packet Sniffing:
TOR, like various other forms of hiding your
identity, has its vulnerabilities. First of all,
there's a chance your traffic could be passing
through a government node as the onion routing
takes place(unlikely, but still possible).
Now, TOR is highly encrypted when travelling from
node to node, but once it leaves the final node,
the connection is not encrypted(unless encryption
is forced). This means, if you setup your network
as a TOR EXIT node, you can then sniff traffic as
it travels through your network - setting up a
MITM(Man In The Middle) style attack.
To do this, you'll first need your connection to
be a TOR exit node. So, lets get started. First
off, you need to install Vidalia.
Principios del hunting
• Vidalia:
All Vidalia is, is a GUI for TOR, giving you
easier control over things. Start up by
installing TOR and Vidalia, and setup your
TOR connection. Download them here. Make sure
you select the vidalia bundle for your OS.
Once you have vidalia installed, you need to
configure it to become an exit node. To do
this, you need to configure it so your
connection acts as an exit node. You need to
go to 'Setup Relaying' on the Vidalia GUI,
and then find exit policies, and tick any of
the boxes.
My advice would be only to allow the
unencrypted HTTP and 'Retrieve Mail', as most
other default ports that tor is being used
are useless - either that or they are TLS
Principios del hunting
• Getting the data:
Now, lets get to work. If you're running a Linux
distro, I'd suggest using TCPflow for this,
download it here.
Once you have TCPflow installed, create a new
directory, then open up a console session, use the
cd command to cd to the new directory you made,
switch over to the root account, then run the
following commands in that directory(TCPflow is
console-based):
Code:
tcpflow -i eth0 port 80
Code:
tcpflow -i eth0 port 110
Code:
tcpflow -i eth0 port 143
Principios del hunting
•
•
This will capture HTTP requests, POP3 emails, and IMAP
emails. open a new consone window and use the following
command to stop sniffing:
Code:
killall tcpflow
or of course just use CTRL + C to kill the processes
currently running in the terminal. If you want to have
a play around wth TCPflow, then there's a guide on how
to use it here.
What you're doing with these commands, is sniffing the
traffic that travels through your connection, allowing
you to read and intercept the traffic of people using
TOR, before it reaches the final desination. You'll be
able to see useful information here, including people's
passwords for site logins, and potentially sensitive
email information.
If you're using Windows or another operating system,
then try downloading wireshark here. Unlike TCPflow,
wireshark is not console based, the whole thing has a
GUI and it's fairly straightforward to use.
Principios del hunting
• Warning:
I suggest changing your exit
policies, so you're running as an
exit node ONLY when you want to
sniff unencrypted traffic and
gather data. Your ISP may not be
too happy if people are viewing
illegal content, using your
connection as an exit node.
Use this knowledge wisely, and
know that I don't advocate, nor
should I be held responsible for
misuse of this knowledge.
Principios del hunting
• Cuidadito con los nodos de
salida:
– WIRED