Your SlideShare is downloading. ×
0
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
P2P Tracking
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

P2P Tracking

529

Published on

P2P Tracking

P2P Tracking

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
529
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
8
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CAMPUS-TI 2004 CIUDAD DE LAS ARTES Y LAS CIENCIAS DE VALENCIA P2P Tracking Roger Carhuatocto rcarhuatocto[AT]intix.info
  • 2. Contenido <ul><li>El escenario </li></ul><ul><li>Aspectos legales </li></ul><ul><li>Técnicas </li></ul><ul><li>Herramientas </li></ul>
  • 3. El escenario <ul><li>Una red de intercambio de ficheros, cada red con un protocolo: </li></ul><ul><ul><li>Gnutella </li></ul></ul><ul><ul><li>FrastTrack </li></ul></ul><ul><ul><li>eDonkey </li></ul></ul><ul><ul><li>BitTorrent </li></ul></ul><ul><li>No hay servidor central </li></ul><ul><li>Basado en P2P, aunque existen nodos intermedios </li></ul>
  • 4. Los problemas de seguridad <ul><li>Clientes P2P no velan por seguridad del usuario: </li></ul><ul><ul><li>Privacidad </li></ul></ul><ul><ul><li>Antivirus </li></ul></ul><ul><ul><li>Spyware </li></ul></ul><ul><ul><li>Privacidad </li></ul></ul><ul><li>Las redes P2P abren una nueva “windows exposure” a antiguas prácticas ilícitas : </li></ul><ul><ul><li>Tráfico ilícito de ficheros, piratería </li></ul></ul><ul><ul><li>Pornografía </li></ul></ul>
  • 5. La acción <ul><li>Vigilancia de las redes P2P por parte de Compañías </li></ul><ul><li>Denuncia a usuarios </li></ul><ul><li>Nuevos virus/gusanos se distribuyen por este canal </li></ul><ul><li>Nuevos impuestos </li></ul><ul><li>Nuevas leyes </li></ul>
  • 6. La reacción <ul><li>Mejora de redes: Sin servidor central </li></ul><ul><li>Mejora de clientes P2P: multiprotocolo, antivirus, hashing, proxy, bloqueo de IP (p.e. RIAA) sin dejar de compartir. </li></ul><ul><li>Aparecen más redes: </li></ul><ul><ul><li>Más democráticas: verdadero P2P </li></ul></ul><ul><ul><li>Más seguras: Criptografía </li></ul></ul><ul><ul><ul><li>Canal </li></ul></ul></ul><ul><ul><ul><li>Identidad </li></ul></ul></ul><ul><ul><ul><li>Contenido </li></ul></ul></ul><ul><ul><li>Anónimas </li></ul></ul><ul><li>Más conciencia en seguridad, libertad.. Más responsabilidad </li></ul>
  • 7. Aspectos legales <ul><li>¿Es delito compartir? </li></ul><ul><ul><li>No es delito, es un ilícito civil ya que no hay “ánimo de lucro”. </li></ul></ul><ul><ul><li>El tráfico ilícito es delito, tanto si se hace en la calle como por Internet. </li></ul></ul><ul><ul><li>Art. 270 del C.P.: Reproducción, plagio, distribución o comunicación pública, en todo o en parte con ánimo de lucro y en perjuicio de terceros. </li></ul></ul><ul><li>¿Es delito espiar? </li></ul><ul><ul><li>Art. 286 del C.P.: El acceso no autorizado a servicios interactivos prestados por vía electrónica es delito. </li></ul></ul><ul><ul><li>La privacidad es un derecho fundamental </li></ul></ul><ul><li>¿Es delito tener/hacer una copia privada? </li></ul>
  • 8. Referencias 1 <ul><li>Who is spying on your downloads? http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.html </li></ul><ul><li>Surveillance on Peer-to-Peer Networks http://slashdot.org/yro/01/03/27/173218.shtml </li></ul><ul><li>The RIAA Succeeds Where the Cypherpunks Failed http://www.shirky.com/writings/riaa_encryption.html </li></ul><ul><li>Anti-piracy vigilantes track file sharers http://www.securityfocus.com/printable/news/8279 </li></ul><ul><li>La información como delito http://www.kriptopolis.com/more.php?id=P28_0_1_0_C </li></ul><ul><li>Compartir no es delito http://www.kriptopolis.com/more.php?id=91_0_1_0_M </li></ul><ul><li>Investigación de delitos en plataformas P2P http://www.kriptopolis.com/imprimir.php?id=92_0_1_0 </li></ul><ul><li>Ciberderechos y ciberdelitos: corren malos tiempos http://www.kriptopolis.com/ciberdelitos.pdf </li></ul>
  • 9. P2P: La red, el protocolo <ul><li>Predomina el basado en el protocolo FastTrack </li></ul><ul><ul><li>KaZaA, Morpheus </li></ul></ul><ul><li>Gnutella </li></ul><ul><li>eDonkey: eDonkey, eMule </li></ul><ul><li>BitTorrent </li></ul><ul><li>Freenet </li></ul>
  • 10. La red FastTrack y KaZaA 1 <ul><li>Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos de cifrado </li></ul><ul><li>No hay documentación del protocolo </li></ul><ul><li>Se hizo ingeniería reversa a la porción del protocolo relacionado a cliente-supernodo. La porción supernodo-supernodo aún permanece desconocida. </li></ul><ul><li>Los primeros clientes son closed-source </li></ul><ul><li>Eventos: </li></ul><ul><ul><li>Cliente se conecta a red </li></ul></ul><ul><ul><li>Red anuncia a cliente disponibilidad de nodos y ficheros </li></ul></ul><ul><ul><li>Cliente hace una búsqueda </li></ul></ul><ul><ul><li>Cliente descarga un fichero </li></ul></ul><ul><ul><li>Cliente sirve un fichero </li></ul></ul>
  • 11. La red FastTrack 2 <ul><li>Usado por muchos clientes como KaZaA, iMesh, Grokster,… </li></ul><ul><li>TCP, UDP </li></ul><ul><li>Puertos 1214, 1080, SOCKS5, 80,… versiones &gt;=2.0 usan puertos aleatorios </li></ul><ul><li>UUHash </li></ul>
  • 12. Análisis de la red FastTrack con Ethereal 1 <ul><li>Herramientas: Cliente KaZaA, Ethereal </li></ul><ul><li>Ejecutar las operaciones básicas mientras se captura el tráfico en una red switcheada. Sólo nos interesa el tráfico que sale y entra del cliente relacionado a KaZaA, desde luego, se capturará tráfico que no corresponde a estas acciones como ARP, DNS, etc. </li></ul>
  • 13. Análisis de la red FastTrack con Ethereal 2 <ul><li>Solicitud de descarga y respuesta satisfactoria </li></ul>Hash del fichero Descarga total IP y PORT de donde descargaré el fichero Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author Usuario KaZaA y KaZaA network
  • 14. Análisis de la red FastTrack con Ethereal 3 <ul><li>Solicitud de descarga y respuesta con servicio no disponible </li></ul>Hash del fichero Descarga no disponible IP y PORT de donde descargaré el fichero Usuario KaZaA y KaZaA network
  • 15. Análisis de la red FastTrack con Ethereal 4 <ul><li>Solicitud de descarga y respuesta con servicio no disponible </li></ul>Hash del fichero Descarga parcial o reanuda descarga Usuario KaZaA y KaZaA network Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author IP y PORT de donde descargaré el fichero
  • 16. Análisis de la red FastTrack con Ethereal 6 <ul><li>¿Y qué pasa con el resto de paquetes que se generan en otros eventos?, Ellos van cifrados! </li></ul><ul><li>Es necesario decodificar/descifrar el tráfico capturado usando herramientas más sofisticadas: </li></ul><ul><ul><li>Construir un “FastTrack Dissector” para Ethereal </li></ul></ul><ul><ul><li>Usar SOCKS4/SOCKS5 Proxy man-in-the-middle que permita registrar todo el tráfico saliente y entrante. Esto no resuelve la decodificación. </li></ul></ul><ul><ul><li>Usar herramientas sofisticadas de análisis de tráfico de red como: </li></ul></ul><ul><ul><ul><li>NetIntercept </li></ul></ul></ul><ul><ul><ul><li>NetDetector </li></ul></ul></ul><ul><ul><ul><li>DCS1000 (FBI) a.k.a. Carnivore </li></ul></ul></ul>
  • 17. FastTrack Dissector para Ethereal SNIFFER ANALIZADOR DISSECTOR ETHEREAL 1. Captura el tráfico de red 2. Descrifra o decodifica el tráfico 3. Se analiza y se presenta CLIENTE SUPERNODO / CLIENTE
  • 18. FastTrack Dissector para Ethereal CLIENTE SUPERNODO / CLIENTE SOCKS PROXY SERVER ANÁLISIS Y DECOFICACIÓN EN OFF/ON LINE (similar a Achilles)
  • 19. Tracking <ul><li>Identificar al usuario P2P (IP, Port, client, username, etc.) </li></ul><ul><ul><li>Network sniffing con Ethereal </li></ul></ul><ul><li>¿Qué fichero (parcial o total) quiere descargar o está descargando? </li></ul><ul><ul><li>Network sniffing con Ethereal </li></ul></ul><ul><li>¿Qué otros ficheros tiene el usuario? </li></ul><ul><ul><li>Descifrar/decodificar, ingenieria reversa al protocolo </li></ul></ul><ul><ul><li>Network sniffing con Ethereal </li></ul></ul><ul><li>¿Quién más tiene el fichero? </li></ul><ul><ul><li>Descifrar/decodificar, ingenieria reversa al protocolo </li></ul></ul><ul><ul><li>Network sniffing con Ethereal </li></ul></ul>
  • 20. Herramientas de análisis de tráfico de red <ul><li>Sirven para obtener información a partir del tráfico de red </li></ul><ul><li>Sirven como herramientas de soporte a procesos de Digital Forensics, aquí la información a analizar no es un H.D., es el flujo de la red. </li></ul><ul><li>Características que debe cumplir las herramientas: </li></ul><ul><ul><li>Soporta formatos para import/export </li></ul></ul><ul><ul><li>Reconocimiento e interpretación de muchos protocolos </li></ul></ul><ul><ul><li>Reducción de datos </li></ul></ul><ul><ul><li>Ficheros conocido (usan MD5, SHA1,..) </li></ul></ul><ul><ul><li>Recuperación de datos: extracción, reconstrucción de fragmentos </li></ul></ul><ul><ul><li>Recupera data oculta: tráfico anómalo, esteganografía </li></ul></ul><ul><ul><li>Capacidad de búsqueda de cadenas, documentación, integridad, fiable/completo, seguro. </li></ul></ul>
  • 21. Referencias 2 <ul><li>Sniffing (network wiretap, sniffer) FAQ http://www.robertgraham.com/pubs/sniffing-faq.html </li></ul><ul><li>Wikipedia - FastTrack http://en.wikipedia.org/wiki/FastTrack </li></ul><ul><li>WinPcap: the Free Packet Capture Architecture for Windows http://winpcap.polito.it/misc/links.htm </li></ul><ul><li>Detecting evasive protocols http://www.p2pwatchdog.com </li></ul><ul><li>Ethereal Stuff - Writing a Dissector http://www.richardsharpe.com/ethereal-stuff.html </li></ul><ul><li>Replay captured network traffic http://sourceforge.net/projects/tcpreplay </li></ul><ul><li>Securing Your Network against Kazaa http://www.linuxjournal.com/article.php?sid=6945 </li></ul>
  • 22. Alternativas al inseguro P2P <ul><li>Para el canal: oculta el tráfico y hace dificil su identificación </li></ul><ul><ul><li>Proxies </li></ul></ul><ul><ul><li>Tuneles cifrados </li></ul></ul><ul><li>Para el cliente </li></ul><ul><ul><li>Cifrado e Integridad de los datos </li></ul></ul><ul><ul><li>Anonimicidad del usuario </li></ul></ul><ul><li>Para el supernodo/servidor </li></ul><ul><ul><li>Freenet </li></ul></ul>
  • 23. Referencias 3 <ul><li>Encrypted File Sharing: P2P Fights Back http://www.technewsworld.com/story/34052.html </li></ul><ul><li>Wikipedia – Freenet http://en.wikipedia.org/wiki/Freenet </li></ul><ul><li>Web serving publishing, secure sharing http://www.badblue.com </li></ul><ul><li>WINW is a small worlds networking utility http://www.winw.org </li></ul><ul><li>MUTE File Sharing - Simple, Anonymous File Sharing http://mute-net.sourceforge.net/ </li></ul><ul><li>GNUnet - decentralized, peer-to-peer networking, link-level encryption, peer discovery and resource allocation. http://en.wikipedia.org/wiki/GNUnet </li></ul><ul><li>I2P - an anonymous communication network http://www.i2p.net </li></ul><ul><li>Mnet is a distributed file store http://mnetproject.org </li></ul>

×