P2P Tracking
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

P2P Tracking

on

  • 1,236 views

P2P Tracking

P2P Tracking

Statistics

Views

Total Views
1,236
Views on SlideShare
1,230
Embed Views
6

Actions

Likes
1
Downloads
7
Comments
0

2 Embeds 6

http://www.slideshare.net 5
http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

P2P Tracking Presentation Transcript

  • 1. CAMPUS-TI 2004 CIUDAD DE LAS ARTES Y LAS CIENCIAS DE VALENCIA P2P Tracking Roger Carhuatocto rcarhuatocto[AT]intix.info
  • 2. Contenido
    • El escenario
    • Aspectos legales
    • Técnicas
    • Herramientas
  • 3. El escenario
    • Una red de intercambio de ficheros, cada red con un protocolo:
      • Gnutella
      • FrastTrack
      • eDonkey
      • BitTorrent
    • No hay servidor central
    • Basado en P2P, aunque existen nodos intermedios
  • 4. Los problemas de seguridad
    • Clientes P2P no velan por seguridad del usuario:
      • Privacidad
      • Antivirus
      • Spyware
      • Privacidad
    • Las redes P2P abren una nueva “windows exposure” a antiguas prácticas ilícitas :
      • Tráfico ilícito de ficheros, piratería
      • Pornografía
  • 5. La acción
    • Vigilancia de las redes P2P por parte de Compañías
    • Denuncia a usuarios
    • Nuevos virus/gusanos se distribuyen por este canal
    • Nuevos impuestos
    • Nuevas leyes
  • 6. La reacción
    • Mejora de redes: Sin servidor central
    • Mejora de clientes P2P: multiprotocolo, antivirus, hashing, proxy, bloqueo de IP (p.e. RIAA) sin dejar de compartir.
    • Aparecen más redes:
      • Más democráticas: verdadero P2P
      • Más seguras: Criptografía
        • Canal
        • Identidad
        • Contenido
      • Anónimas
    • Más conciencia en seguridad, libertad.. Más responsabilidad
  • 7. Aspectos legales
    • ¿Es delito compartir?
      • No es delito, es un ilícito civil ya que no hay “ánimo de lucro”.
      • El tráfico ilícito es delito, tanto si se hace en la calle como por Internet.
      • Art. 270 del C.P.: Reproducción, plagio, distribución o comunicación pública, en todo o en parte con ánimo de lucro y en perjuicio de terceros.
    • ¿Es delito espiar?
      • Art. 286 del C.P.: El acceso no autorizado a servicios interactivos prestados por vía electrónica es delito.
      • La privacidad es un derecho fundamental
    • ¿Es delito tener/hacer una copia privada?
  • 8. Referencias 1
    • Who is spying on your downloads? http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.html
    • Surveillance on Peer-to-Peer Networks http://slashdot.org/yro/01/03/27/173218.shtml
    • The RIAA Succeeds Where the Cypherpunks Failed http://www.shirky.com/writings/riaa_encryption.html
    • Anti-piracy vigilantes track file sharers http://www.securityfocus.com/printable/news/8279
    • La información como delito http://www.kriptopolis.com/more.php?id=P28_0_1_0_C
    • Compartir no es delito http://www.kriptopolis.com/more.php?id=91_0_1_0_M
    • Investigación de delitos en plataformas P2P http://www.kriptopolis.com/imprimir.php?id=92_0_1_0
    • Ciberderechos y ciberdelitos: corren malos tiempos http://www.kriptopolis.com/ciberdelitos.pdf
  • 9. P2P: La red, el protocolo
    • Predomina el basado en el protocolo FastTrack
      • KaZaA, Morpheus
    • Gnutella
    • eDonkey: eDonkey, eMule
    • BitTorrent
    • Freenet
  • 10. La red FastTrack y KaZaA 1
    • Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos de cifrado
    • No hay documentación del protocolo
    • Se hizo ingeniería reversa a la porción del protocolo relacionado a cliente-supernodo. La porción supernodo-supernodo aún permanece desconocida.
    • Los primeros clientes son closed-source
    • Eventos:
      • Cliente se conecta a red
      • Red anuncia a cliente disponibilidad de nodos y ficheros
      • Cliente hace una búsqueda
      • Cliente descarga un fichero
      • Cliente sirve un fichero
  • 11. La red FastTrack 2
    • Usado por muchos clientes como KaZaA, iMesh, Grokster,…
    • TCP, UDP
    • Puertos 1214, 1080, SOCKS5, 80,… versiones >=2.0 usan puertos aleatorios
    • UUHash
  • 12. Análisis de la red FastTrack con Ethereal 1
    • Herramientas: Cliente KaZaA, Ethereal
    • Ejecutar las operaciones básicas mientras se captura el tráfico en una red switcheada. Sólo nos interesa el tráfico que sale y entra del cliente relacionado a KaZaA, desde luego, se capturará tráfico que no corresponde a estas acciones como ARP, DNS, etc.
  • 13. Análisis de la red FastTrack con Ethereal 2
    • Solicitud de descarga y respuesta satisfactoria
    Hash del fichero Descarga total IP y PORT de donde descargaré el fichero Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author Usuario KaZaA y KaZaA network
  • 14. Análisis de la red FastTrack con Ethereal 3
    • Solicitud de descarga y respuesta con servicio no disponible
    Hash del fichero Descarga no disponible IP y PORT de donde descargaré el fichero Usuario KaZaA y KaZaA network
  • 15. Análisis de la red FastTrack con Ethereal 4
    • Solicitud de descarga y respuesta con servicio no disponible
    Hash del fichero Descarga parcial o reanuda descarga Usuario KaZaA y KaZaA network Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author IP y PORT de donde descargaré el fichero
  • 16. Análisis de la red FastTrack con Ethereal 6
    • ¿Y qué pasa con el resto de paquetes que se generan en otros eventos?, Ellos van cifrados!
    • Es necesario decodificar/descifrar el tráfico capturado usando herramientas más sofisticadas:
      • Construir un “FastTrack Dissector” para Ethereal
      • Usar SOCKS4/SOCKS5 Proxy man-in-the-middle que permita registrar todo el tráfico saliente y entrante. Esto no resuelve la decodificación.
      • Usar herramientas sofisticadas de análisis de tráfico de red como:
        • NetIntercept
        • NetDetector
        • DCS1000 (FBI) a.k.a. Carnivore
  • 17. FastTrack Dissector para Ethereal SNIFFER ANALIZADOR DISSECTOR ETHEREAL 1. Captura el tráfico de red 2. Descrifra o decodifica el tráfico 3. Se analiza y se presenta CLIENTE SUPERNODO / CLIENTE
  • 18. FastTrack Dissector para Ethereal CLIENTE SUPERNODO / CLIENTE SOCKS PROXY SERVER ANÁLISIS Y DECOFICACIÓN EN OFF/ON LINE (similar a Achilles)
  • 19. Tracking
    • Identificar al usuario P2P (IP, Port, client, username, etc.)
      • Network sniffing con Ethereal
    • ¿Qué fichero (parcial o total) quiere descargar o está descargando?
      • Network sniffing con Ethereal
    • ¿Qué otros ficheros tiene el usuario?
      • Descifrar/decodificar, ingenieria reversa al protocolo
      • Network sniffing con Ethereal
    • ¿Quién más tiene el fichero?
      • Descifrar/decodificar, ingenieria reversa al protocolo
      • Network sniffing con Ethereal
  • 20. Herramientas de análisis de tráfico de red
    • Sirven para obtener información a partir del tráfico de red
    • Sirven como herramientas de soporte a procesos de Digital Forensics, aquí la información a analizar no es un H.D., es el flujo de la red.
    • Características que debe cumplir las herramientas:
      • Soporta formatos para import/export
      • Reconocimiento e interpretación de muchos protocolos
      • Reducción de datos
      • Ficheros conocido (usan MD5, SHA1,..)
      • Recuperación de datos: extracción, reconstrucción de fragmentos
      • Recupera data oculta: tráfico anómalo, esteganografía
      • Capacidad de búsqueda de cadenas, documentación, integridad, fiable/completo, seguro.
  • 21. Referencias 2
    • Sniffing (network wiretap, sniffer) FAQ http://www.robertgraham.com/pubs/sniffing-faq.html
    • Wikipedia - FastTrack http://en.wikipedia.org/wiki/FastTrack
    • WinPcap: the Free Packet Capture Architecture for Windows http://winpcap.polito.it/misc/links.htm
    • Detecting evasive protocols http://www.p2pwatchdog.com
    • Ethereal Stuff - Writing a Dissector http://www.richardsharpe.com/ethereal-stuff.html
    • Replay captured network traffic http://sourceforge.net/projects/tcpreplay
    • Securing Your Network against Kazaa http://www.linuxjournal.com/article.php?sid=6945
  • 22. Alternativas al inseguro P2P
    • Para el canal: oculta el tráfico y hace dificil su identificación
      • Proxies
      • Tuneles cifrados
    • Para el cliente
      • Cifrado e Integridad de los datos
      • Anonimicidad del usuario
    • Para el supernodo/servidor
      • Freenet
  • 23. Referencias 3
    • Encrypted File Sharing: P2P Fights Back http://www.technewsworld.com/story/34052.html
    • Wikipedia – Freenet http://en.wikipedia.org/wiki/Freenet
    • Web serving publishing, secure sharing http://www.badblue.com
    • WINW is a small worlds networking utility http://www.winw.org
    • MUTE File Sharing - Simple, Anonymous File Sharing http://mute-net.sourceforge.net/
    • GNUnet - decentralized, peer-to-peer networking, link-level encryption, peer discovery and resource allocation. http://en.wikipedia.org/wiki/GNUnet
    • I2P - an anonymous communication network http://www.i2p.net
    • Mnet is a distributed file store http://mnetproject.org