CAMPUS-TI 2004 CIUDAD DE LAS ARTES Y LAS CIENCIAS DE VALENCIA P2P Tracking Roger Carhuatocto rcarhuatocto[AT]intix.info

Contenido El escenario Aspectos legales Técnicas Herramientas

El escenario

Aspectos legales

Técnicas

Herramientas

El escenario Una red de intercambio de ficheros, cada red con un protocolo: Gnutella FrastTrack eDonkey BitTorrent No hay servidor central Basado en P2P, aunque existen nodos intermedios

Una red de intercambio de ficheros, cada red con un protocolo:

Gnutella

FrastTrack

eDonkey

BitTorrent

No hay servidor central

Basado en P2P, aunque existen nodos intermedios

Los problemas de seguridad Clientes P2P no velan por seguridad del usuario: Privacidad Antivirus Spyware Privacidad Las redes P2P abren una nueva “windows exposure” a antiguas prácticas ilícitas : Tráfico ilícito de ficheros, piratería Pornografía

Clientes P2P no velan por seguridad del usuario:

Privacidad

Antivirus

Spyware

Privacidad

Las redes P2P abren una nueva “windows exposure” a antiguas prácticas ilícitas :

Tráfico ilícito de ficheros, piratería

Pornografía

La acción Vigilancia de las redes P2P por parte de Compañías Denuncia a usuarios Nuevos virus/gusanos se distribuyen por este canal Nuevos impuestos Nuevas leyes

Vigilancia de las redes P2P por parte de Compañías

Denuncia a usuarios

Nuevos virus/gusanos se distribuyen por este canal

Nuevos impuestos

Nuevas leyes

La reacción Mejora de redes: Sin servidor central Mejora de clientes P2P: multiprotocolo, antivirus, hashing, proxy, bloqueo de IP (p.e. RIAA) sin dejar de compartir. Aparecen más redes: Más democráticas: verdadero P2P Más seguras: Criptografía Canal Identidad Contenido Anónimas Más conciencia en seguridad, libertad.. Más responsabilidad

Mejora de redes: Sin servidor central

Mejora de clientes P2P: multiprotocolo, antivirus, hashing, proxy, bloqueo de IP (p.e. RIAA) sin dejar de compartir.

Aparecen más redes:

Más democráticas: verdadero P2P

Más seguras: Criptografía

Canal

Identidad

Contenido

Anónimas

Más conciencia en seguridad, libertad.. Más responsabilidad

Aspectos legales ¿Es delito compartir? No es delito, es un ilícito civil ya que no hay “ánimo de lucro”. El tráfico ilícito es delito, tanto si se hace en la calle como por Internet. Art. 270 del C.P.: Reproducción, plagio, distribución o comunicación pública, en todo o en parte con ánimo de lucro y en perjuicio de terceros. ¿Es delito espiar? Art. 286 del C.P.: El acceso no autorizado a servicios interactivos prestados por vía electrónica es delito. La privacidad es un derecho fundamental ¿Es delito tener/hacer una copia privada?

¿Es delito compartir?

No es delito, es un ilícito civil ya que no hay “ánimo de lucro”.

El tráfico ilícito es delito, tanto si se hace en la calle como por Internet.

Art. 270 del C.P.: Reproducción, plagio, distribución o comunicación pública, en todo o en parte con ánimo de lucro y en perjuicio de terceros.

¿Es delito espiar?

Art. 286 del C.P.: El acceso no autorizado a servicios interactivos prestados por vía electrónica es delito.

La privacidad es un derecho fundamental

¿Es delito tener/hacer una copia privada?

Referencias 1 Who is spying on your downloads? http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.html Surveillance on Peer-to-Peer Networks http://slashdot.org/yro/01/03/27/173218.shtml The RIAA Succeeds Where the Cypherpunks Failed http://www.shirky.com/writings/riaa_encryption.html Anti-piracy vigilantes track file sharers http://www.securityfocus.com/printable/news/8279 La información como delito http://www.kriptopolis.com/more.php?id=P28_0_1_0_C Compartir no es delito http://www.kriptopolis.com/more.php?id=91_0_1_0_M Investigación de delitos en plataformas P2P http://www.kriptopolis.com/imprimir.php?id=92_0_1_0 Ciberderechos y ciberdelitos: corren malos tiempos http://www.kriptopolis.com/ciberdelitos.pdf

Who is spying on your downloads? http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.html

Surveillance on Peer-to-Peer Networks http://slashdot.org/yro/01/03/27/173218.shtml

The RIAA Succeeds Where the Cypherpunks Failed http://www.shirky.com/writings/riaa_encryption.html

Anti-piracy vigilantes track file sharers http://www.securityfocus.com/printable/news/8279

La información como delito http://www.kriptopolis.com/more.php?id=P28_0_1_0_C

Compartir no es delito http://www.kriptopolis.com/more.php?id=91_0_1_0_M

Investigación de delitos en plataformas P2P http://www.kriptopolis.com/imprimir.php?id=92_0_1_0

Ciberderechos y ciberdelitos: corren malos tiempos http://www.kriptopolis.com/ciberdelitos.pdf

P2P: La red, el protocolo Predomina el basado en el protocolo FastTrack KaZaA, Morpheus Gnutella eDonkey: eDonkey, eMule BitTorrent Freenet

Predomina el basado en el protocolo FastTrack

KaZaA, Morpheus

Gnutella

eDonkey: eDonkey, eMule

BitTorrent

Freenet

La red FastTrack y KaZaA 1 Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos de cifrado No hay documentación del protocolo Se hizo ingeniería reversa a la porción del protocolo relacionado a cliente-supernodo. La porción supernodo-supernodo aún permanece desconocida. Los primeros clientes son closed-source Eventos: Cliente se conecta a red Red anuncia a cliente disponibilidad de nodos y ficheros Cliente hace una búsqueda Cliente descarga un fichero Cliente sirve un fichero

Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos de cifrado

No hay documentación del protocolo

Se hizo ingeniería reversa a la porción del protocolo relacionado a cliente-supernodo. La porción supernodo-supernodo aún permanece desconocida.

Los primeros clientes son closed-source

Eventos:

Cliente se conecta a red

Red anuncia a cliente disponibilidad de nodos y ficheros

Cliente hace una búsqueda

Cliente descarga un fichero

Cliente sirve un fichero

La red FastTrack 2 Usado por muchos clientes como KaZaA, iMesh, Grokster,… TCP, UDP Puertos 1214, 1080, SOCKS5, 80,… versiones >=2.0 usan puertos aleatorios UUHash

Usado por muchos clientes como KaZaA, iMesh, Grokster,…

TCP, UDP

Puertos 1214, 1080, SOCKS5, 80,… versiones >=2.0 usan puertos aleatorios

UUHash

Análisis de la red FastTrack con Ethereal 1 Herramientas: Cliente KaZaA, Ethereal Ejecutar las operaciones básicas mientras se captura el tráfico en una red switcheada. Sólo nos interesa el tráfico que sale y entra del cliente relacionado a KaZaA, desde luego, se capturará tráfico que no corresponde a estas acciones como ARP, DNS, etc.

Herramientas: Cliente KaZaA, Ethereal

Ejecutar las operaciones básicas mientras se captura el tráfico en una red switcheada. Sólo nos interesa el tráfico que sale y entra del cliente relacionado a KaZaA, desde luego, se capturará tráfico que no corresponde a estas acciones como ARP, DNS, etc.

Análisis de la red FastTrack con Ethereal 2 Solicitud de descarga y respuesta satisfactoria Hash del fichero Descarga total IP y PORT de donde descargaré el fichero Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author Usuario KaZaA y KaZaA network

Solicitud de descarga y respuesta satisfactoria

Análisis de la red FastTrack con Ethereal 3 Solicitud de descarga y respuesta con servicio no disponible Hash del fichero Descarga no disponible IP y PORT de donde descargaré el fichero Usuario KaZaA y KaZaA network

Solicitud de descarga y respuesta con servicio no disponible

Análisis de la red FastTrack con Ethereal 4 Solicitud de descarga y respuesta con servicio no disponible Hash del fichero Descarga parcial o reanuda descarga Usuario KaZaA y KaZaA network Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author IP y PORT de donde descargaré el fichero

Solicitud de descarga y respuesta con servicio no disponible

Análisis de la red FastTrack con Ethereal 6 ¿Y qué pasa con el resto de paquetes que se generan en otros eventos?, Ellos van cifrados! Es necesario decodificar/descifrar el tráfico capturado usando herramientas más sofisticadas: Construir un “FastTrack Dissector” para Ethereal Usar SOCKS4/SOCKS5 Proxy man-in-the-middle que permita registrar todo el tráfico saliente y entrante. Esto no resuelve la decodificación. Usar herramientas sofisticadas de análisis de tráfico de red como: NetIntercept NetDetector DCS1000 (FBI) a.k.a. Carnivore

¿Y qué pasa con el resto de paquetes que se generan en otros eventos?, Ellos van cifrados!

Es necesario decodificar/descifrar el tráfico capturado usando herramientas más sofisticadas:

Construir un “FastTrack Dissector” para Ethereal

Usar SOCKS4/SOCKS5 Proxy man-in-the-middle que permita registrar todo el tráfico saliente y entrante. Esto no resuelve la decodificación.

Usar herramientas sofisticadas de análisis de tráfico de red como:

NetIntercept

NetDetector

DCS1000 (FBI) a.k.a. Carnivore

FastTrack Dissector para Ethereal SNIFFER ANALIZADOR DISSECTOR ETHEREAL 1. Captura el tráfico de red 2. Descrifra o decodifica el tráfico 3. Se analiza y se presenta CLIENTE SUPERNODO / CLIENTE

FastTrack Dissector para Ethereal CLIENTE SUPERNODO / CLIENTE SOCKS PROXY SERVER ANÁLISIS Y DECOFICACIÓN EN OFF/ON LINE (similar a Achilles)

Tracking Identificar al usuario P2P (IP, Port, client, username, etc.) Network sniffing con Ethereal ¿Qué fichero (parcial o total) quiere descargar o está descargando? Network sniffing con Ethereal ¿Qué otros ficheros tiene el usuario? Descifrar/decodificar, ingenieria reversa al protocolo Network sniffing con Ethereal ¿Quién más tiene el fichero? Descifrar/decodificar, ingenieria reversa al protocolo Network sniffing con Ethereal

Identificar al usuario P2P (IP, Port, client, username, etc.)

Network sniffing con Ethereal

¿Qué fichero (parcial o total) quiere descargar o está descargando?

Network sniffing con Ethereal

¿Qué otros ficheros tiene el usuario?

Descifrar/decodificar, ingenieria reversa al protocolo

Network sniffing con Ethereal

¿Quién más tiene el fichero?

Descifrar/decodificar, ingenieria reversa al protocolo

Network sniffing con Ethereal

Herramientas de análisis de tráfico de red Sirven para obtener información a partir del tráfico de red Sirven como herramientas de soporte a procesos de Digital Forensics, aquí la información a analizar no es un H.D., es el flujo de la red. Características que debe cumplir las herramientas: Soporta formatos para import/export Reconocimiento e interpretación de muchos protocolos Reducción de datos Ficheros conocido (usan MD5, SHA1,..) Recuperación de datos: extracción, reconstrucción de fragmentos Recupera data oculta: tráfico anómalo, esteganografía Capacidad de búsqueda de cadenas, documentación, integridad, fiable/completo, seguro.

Sirven para obtener información a partir del tráfico de red

Sirven como herramientas de soporte a procesos de Digital Forensics, aquí la información a analizar no es un H.D., es el flujo de la red.

Características que debe cumplir las herramientas:

Soporta formatos para import/export

Reconocimiento e interpretación de muchos protocolos

Reducción de datos

Ficheros conocido (usan MD5, SHA1,..)

Recuperación de datos: extracción, reconstrucción de fragmentos

Recupera data oculta: tráfico anómalo, esteganografía

Capacidad de búsqueda de cadenas, documentación, integridad, fiable/completo, seguro.

Referencias 2 Sniffing (network wiretap, sniffer) FAQ http://www.robertgraham.com/pubs/sniffing-faq.html Wikipedia - FastTrack http://en.wikipedia.org/wiki/FastTrack WinPcap: the Free Packet Capture Architecture for Windows http://winpcap.polito.it/misc/links.htm Detecting evasive protocols http://www.p2pwatchdog.com Ethereal Stuff - Writing a Dissector http://www.richardsharpe.com/ethereal-stuff.html Replay captured network traffic http://sourceforge.net/projects/tcpreplay Securing Your Network against Kazaa http://www.linuxjournal.com/article.php?sid=6945

Sniffing (network wiretap, sniffer) FAQ http://www.robertgraham.com/pubs/sniffing-faq.html

Wikipedia - FastTrack http://en.wikipedia.org/wiki/FastTrack

WinPcap: the Free Packet Capture Architecture for Windows http://winpcap.polito.it/misc/links.htm

Detecting evasive protocols http://www.p2pwatchdog.com

Ethereal Stuff - Writing a Dissector http://www.richardsharpe.com/ethereal-stuff.html

Replay captured network traffic http://sourceforge.net/projects/tcpreplay

Securing Your Network against Kazaa http://www.linuxjournal.com/article.php?sid=6945

Alternativas al inseguro P2P Para el canal: oculta el tráfico y hace dificil su identificación Proxies Tuneles cifrados Para el cliente Cifrado e Integridad de los datos Anonimicidad del usuario Para el supernodo/servidor Freenet

Para el canal: oculta el tráfico y hace dificil su identificación

Proxies

Tuneles cifrados

Para el cliente

Cifrado e Integridad de los datos

Anonimicidad del usuario

Para el supernodo/servidor

Freenet

Referencias 3 Encrypted File Sharing: P2P Fights Back http://www.technewsworld.com/story/34052.html Wikipedia – Freenet http://en.wikipedia.org/wiki/Freenet Web serving publishing, secure sharing http://www.badblue.com WINW is a small worlds networking utility http://www.winw.org MUTE File Sharing - Simple, Anonymous File Sharing http://mute-net.sourceforge.net/ GNUnet - decentralized, peer-to-peer networking, link-level encryption, peer discovery and resource allocation. http://en.wikipedia.org/wiki/GNUnet I2P - an anonymous communication network http://www.i2p.net Mnet is a distributed file store http://mnetproject.org

Encrypted File Sharing: P2P Fights Back http://www.technewsworld.com/story/34052.html

Wikipedia – Freenet http://en.wikipedia.org/wiki/Freenet

Web serving publishing, secure sharing http://www.badblue.com

WINW is a small worlds networking utility http://www.winw.org

MUTE File Sharing - Simple, Anonymous File Sharing http://mute-net.sourceforge.net/

GNUnet - decentralized, peer-to-peer networking, link-level encryption, peer discovery and resource allocation. http://en.wikipedia.org/wiki/GNUnet

I2P - an anonymous communication network http://www.i2p.net

Mnet is a distributed file store http://mnetproject.org