CAMPUS-TI 2004 CIUDAD DE LAS ARTES Y LAS CIENCIAS DE VALENCIA P2P Tracking Roger Carhuatocto rcarhuatocto[AT]intix.info
Contenido <ul><li>El escenario </li></ul><ul><li>Aspectos legales </li></ul><ul><li>Técnicas </li></ul><ul><li>Herramienta...
El escenario <ul><li>Una red de intercambio de ficheros, cada red con un protocolo: </li></ul><ul><ul><li>Gnutella </li></...
Los problemas de seguridad <ul><li>Clientes P2P no velan por seguridad del usuario: </li></ul><ul><ul><li>Privacidad </li>...
La acción <ul><li>Vigilancia de las redes P2P por parte de Compañías  </li></ul><ul><li>Denuncia a usuarios </li></ul><ul>...
La reacción <ul><li>Mejora de redes: Sin servidor central </li></ul><ul><li>Mejora de clientes P2P: multiprotocolo, antivi...
Aspectos legales <ul><li>¿Es delito compartir? </li></ul><ul><ul><li>No es delito, es un ilícito civil ya que no hay “ánim...
Referencias 1 <ul><li>Who is spying on your downloads? http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.ht...
P2P: La red, el protocolo <ul><li>Predomina el basado en el protocolo FastTrack </li></ul><ul><ul><li>KaZaA, Morpheus </li...
La red FastTrack y KaZaA 1 <ul><li>Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos...
La red FastTrack 2 <ul><li>Usado por muchos clientes como KaZaA, iMesh, Grokster,… </li></ul><ul><li>TCP, UDP </li></ul><u...
Análisis de la red FastTrack con Ethereal 1 <ul><li>Herramientas: Cliente KaZaA, Ethereal </li></ul><ul><li>Ejecutar las o...
Análisis de la red FastTrack con Ethereal 2 <ul><li>Solicitud de descarga y respuesta satisfactoria </li></ul>Hash del fic...
Análisis de la red FastTrack con Ethereal 3 <ul><li>Solicitud de descarga y respuesta con servicio no disponible </li></ul...
Análisis de la red FastTrack con Ethereal 4 <ul><li>Solicitud de descarga y respuesta con servicio no disponible </li></ul...
Análisis de la red FastTrack con Ethereal 6 <ul><li>¿Y qué pasa con el resto de paquetes que se generan en otros eventos?,...
FastTrack Dissector para Ethereal SNIFFER ANALIZADOR DISSECTOR ETHEREAL 1. Captura el tráfico de red 2. Descrifra o decodi...
FastTrack Dissector para Ethereal CLIENTE SUPERNODO / CLIENTE SOCKS PROXY SERVER ANÁLISIS Y DECOFICACIÓN EN OFF/ON LINE (s...
Tracking <ul><li>Identificar al usuario P2P (IP, Port, client, username, etc.) </li></ul><ul><ul><li>Network sniffing con ...
Herramientas de análisis de tráfico de red <ul><li>Sirven para obtener información a partir del tráfico de red </li></ul><...
Referencias 2 <ul><li>Sniffing (network wiretap, sniffer) FAQ http://www.robertgraham.com/pubs/sniffing-faq.html </li></ul...
Alternativas al inseguro P2P <ul><li>Para el canal: oculta el tráfico y hace dificil su identificación </li></ul><ul><ul><...
Referencias 3 <ul><li>Encrypted File Sharing: P2P Fights Back http://www.technewsworld.com/story/34052.html </li></ul><ul>...
Upcoming SlideShare
Loading in …5
×

P2P Tracking

734 views

Published on

P2P Tracking

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
734
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
8
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

P2P Tracking

  1. 1. CAMPUS-TI 2004 CIUDAD DE LAS ARTES Y LAS CIENCIAS DE VALENCIA P2P Tracking Roger Carhuatocto rcarhuatocto[AT]intix.info
  2. 2. Contenido <ul><li>El escenario </li></ul><ul><li>Aspectos legales </li></ul><ul><li>Técnicas </li></ul><ul><li>Herramientas </li></ul>
  3. 3. El escenario <ul><li>Una red de intercambio de ficheros, cada red con un protocolo: </li></ul><ul><ul><li>Gnutella </li></ul></ul><ul><ul><li>FrastTrack </li></ul></ul><ul><ul><li>eDonkey </li></ul></ul><ul><ul><li>BitTorrent </li></ul></ul><ul><li>No hay servidor central </li></ul><ul><li>Basado en P2P, aunque existen nodos intermedios </li></ul>
  4. 4. Los problemas de seguridad <ul><li>Clientes P2P no velan por seguridad del usuario: </li></ul><ul><ul><li>Privacidad </li></ul></ul><ul><ul><li>Antivirus </li></ul></ul><ul><ul><li>Spyware </li></ul></ul><ul><ul><li>Privacidad </li></ul></ul><ul><li>Las redes P2P abren una nueva “windows exposure” a antiguas prácticas ilícitas : </li></ul><ul><ul><li>Tráfico ilícito de ficheros, piratería </li></ul></ul><ul><ul><li>Pornografía </li></ul></ul>
  5. 5. La acción <ul><li>Vigilancia de las redes P2P por parte de Compañías </li></ul><ul><li>Denuncia a usuarios </li></ul><ul><li>Nuevos virus/gusanos se distribuyen por este canal </li></ul><ul><li>Nuevos impuestos </li></ul><ul><li>Nuevas leyes </li></ul>
  6. 6. La reacción <ul><li>Mejora de redes: Sin servidor central </li></ul><ul><li>Mejora de clientes P2P: multiprotocolo, antivirus, hashing, proxy, bloqueo de IP (p.e. RIAA) sin dejar de compartir. </li></ul><ul><li>Aparecen más redes: </li></ul><ul><ul><li>Más democráticas: verdadero P2P </li></ul></ul><ul><ul><li>Más seguras: Criptografía </li></ul></ul><ul><ul><ul><li>Canal </li></ul></ul></ul><ul><ul><ul><li>Identidad </li></ul></ul></ul><ul><ul><ul><li>Contenido </li></ul></ul></ul><ul><ul><li>Anónimas </li></ul></ul><ul><li>Más conciencia en seguridad, libertad.. Más responsabilidad </li></ul>
  7. 7. Aspectos legales <ul><li>¿Es delito compartir? </li></ul><ul><ul><li>No es delito, es un ilícito civil ya que no hay “ánimo de lucro”. </li></ul></ul><ul><ul><li>El tráfico ilícito es delito, tanto si se hace en la calle como por Internet. </li></ul></ul><ul><ul><li>Art. 270 del C.P.: Reproducción, plagio, distribución o comunicación pública, en todo o en parte con ánimo de lucro y en perjuicio de terceros. </li></ul></ul><ul><li>¿Es delito espiar? </li></ul><ul><ul><li>Art. 286 del C.P.: El acceso no autorizado a servicios interactivos prestados por vía electrónica es delito. </li></ul></ul><ul><ul><li>La privacidad es un derecho fundamental </li></ul></ul><ul><li>¿Es delito tener/hacer una copia privada? </li></ul>
  8. 8. Referencias 1 <ul><li>Who is spying on your downloads? http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.html </li></ul><ul><li>Surveillance on Peer-to-Peer Networks http://slashdot.org/yro/01/03/27/173218.shtml </li></ul><ul><li>The RIAA Succeeds Where the Cypherpunks Failed http://www.shirky.com/writings/riaa_encryption.html </li></ul><ul><li>Anti-piracy vigilantes track file sharers http://www.securityfocus.com/printable/news/8279 </li></ul><ul><li>La información como delito http://www.kriptopolis.com/more.php?id=P28_0_1_0_C </li></ul><ul><li>Compartir no es delito http://www.kriptopolis.com/more.php?id=91_0_1_0_M </li></ul><ul><li>Investigación de delitos en plataformas P2P http://www.kriptopolis.com/imprimir.php?id=92_0_1_0 </li></ul><ul><li>Ciberderechos y ciberdelitos: corren malos tiempos http://www.kriptopolis.com/ciberdelitos.pdf </li></ul>
  9. 9. P2P: La red, el protocolo <ul><li>Predomina el basado en el protocolo FastTrack </li></ul><ul><ul><li>KaZaA, Morpheus </li></ul></ul><ul><li>Gnutella </li></ul><ul><li>eDonkey: eDonkey, eMule </li></ul><ul><li>BitTorrent </li></ul><ul><li>Freenet </li></ul>
  10. 10. La red FastTrack y KaZaA 1 <ul><li>Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos de cifrado </li></ul><ul><li>No hay documentación del protocolo </li></ul><ul><li>Se hizo ingeniería reversa a la porción del protocolo relacionado a cliente-supernodo. La porción supernodo-supernodo aún permanece desconocida. </li></ul><ul><li>Los primeros clientes son closed-source </li></ul><ul><li>Eventos: </li></ul><ul><ul><li>Cliente se conecta a red </li></ul></ul><ul><ul><li>Red anuncia a cliente disponibilidad de nodos y ficheros </li></ul></ul><ul><ul><li>Cliente hace una búsqueda </li></ul></ul><ul><ul><li>Cliente descarga un fichero </li></ul></ul><ul><ul><li>Cliente sirve un fichero </li></ul></ul>
  11. 11. La red FastTrack 2 <ul><li>Usado por muchos clientes como KaZaA, iMesh, Grokster,… </li></ul><ul><li>TCP, UDP </li></ul><ul><li>Puertos 1214, 1080, SOCKS5, 80,… versiones >=2.0 usan puertos aleatorios </li></ul><ul><li>UUHash </li></ul>
  12. 12. Análisis de la red FastTrack con Ethereal 1 <ul><li>Herramientas: Cliente KaZaA, Ethereal </li></ul><ul><li>Ejecutar las operaciones básicas mientras se captura el tráfico en una red switcheada. Sólo nos interesa el tráfico que sale y entra del cliente relacionado a KaZaA, desde luego, se capturará tráfico que no corresponde a estas acciones como ARP, DNS, etc. </li></ul>
  13. 13. Análisis de la red FastTrack con Ethereal 2 <ul><li>Solicitud de descarga y respuesta satisfactoria </li></ul>Hash del fichero Descarga total IP y PORT de donde descargaré el fichero Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author Usuario KaZaA y KaZaA network
  14. 14. Análisis de la red FastTrack con Ethereal 3 <ul><li>Solicitud de descarga y respuesta con servicio no disponible </li></ul>Hash del fichero Descarga no disponible IP y PORT de donde descargaré el fichero Usuario KaZaA y KaZaA network
  15. 15. Análisis de la red FastTrack con Ethereal 4 <ul><li>Solicitud de descarga y respuesta con servicio no disponible </li></ul>Hash del fichero Descarga parcial o reanuda descarga Usuario KaZaA y KaZaA network Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author IP y PORT de donde descargaré el fichero
  16. 16. Análisis de la red FastTrack con Ethereal 6 <ul><li>¿Y qué pasa con el resto de paquetes que se generan en otros eventos?, Ellos van cifrados! </li></ul><ul><li>Es necesario decodificar/descifrar el tráfico capturado usando herramientas más sofisticadas: </li></ul><ul><ul><li>Construir un “FastTrack Dissector” para Ethereal </li></ul></ul><ul><ul><li>Usar SOCKS4/SOCKS5 Proxy man-in-the-middle que permita registrar todo el tráfico saliente y entrante. Esto no resuelve la decodificación. </li></ul></ul><ul><ul><li>Usar herramientas sofisticadas de análisis de tráfico de red como: </li></ul></ul><ul><ul><ul><li>NetIntercept </li></ul></ul></ul><ul><ul><ul><li>NetDetector </li></ul></ul></ul><ul><ul><ul><li>DCS1000 (FBI) a.k.a. Carnivore </li></ul></ul></ul>
  17. 17. FastTrack Dissector para Ethereal SNIFFER ANALIZADOR DISSECTOR ETHEREAL 1. Captura el tráfico de red 2. Descrifra o decodifica el tráfico 3. Se analiza y se presenta CLIENTE SUPERNODO / CLIENTE
  18. 18. FastTrack Dissector para Ethereal CLIENTE SUPERNODO / CLIENTE SOCKS PROXY SERVER ANÁLISIS Y DECOFICACIÓN EN OFF/ON LINE (similar a Achilles)
  19. 19. Tracking <ul><li>Identificar al usuario P2P (IP, Port, client, username, etc.) </li></ul><ul><ul><li>Network sniffing con Ethereal </li></ul></ul><ul><li>¿Qué fichero (parcial o total) quiere descargar o está descargando? </li></ul><ul><ul><li>Network sniffing con Ethereal </li></ul></ul><ul><li>¿Qué otros ficheros tiene el usuario? </li></ul><ul><ul><li>Descifrar/decodificar, ingenieria reversa al protocolo </li></ul></ul><ul><ul><li>Network sniffing con Ethereal </li></ul></ul><ul><li>¿Quién más tiene el fichero? </li></ul><ul><ul><li>Descifrar/decodificar, ingenieria reversa al protocolo </li></ul></ul><ul><ul><li>Network sniffing con Ethereal </li></ul></ul>
  20. 20. Herramientas de análisis de tráfico de red <ul><li>Sirven para obtener información a partir del tráfico de red </li></ul><ul><li>Sirven como herramientas de soporte a procesos de Digital Forensics, aquí la información a analizar no es un H.D., es el flujo de la red. </li></ul><ul><li>Características que debe cumplir las herramientas: </li></ul><ul><ul><li>Soporta formatos para import/export </li></ul></ul><ul><ul><li>Reconocimiento e interpretación de muchos protocolos </li></ul></ul><ul><ul><li>Reducción de datos </li></ul></ul><ul><ul><li>Ficheros conocido (usan MD5, SHA1,..) </li></ul></ul><ul><ul><li>Recuperación de datos: extracción, reconstrucción de fragmentos </li></ul></ul><ul><ul><li>Recupera data oculta: tráfico anómalo, esteganografía </li></ul></ul><ul><ul><li>Capacidad de búsqueda de cadenas, documentación, integridad, fiable/completo, seguro. </li></ul></ul>
  21. 21. Referencias 2 <ul><li>Sniffing (network wiretap, sniffer) FAQ http://www.robertgraham.com/pubs/sniffing-faq.html </li></ul><ul><li>Wikipedia - FastTrack http://en.wikipedia.org/wiki/FastTrack </li></ul><ul><li>WinPcap: the Free Packet Capture Architecture for Windows http://winpcap.polito.it/misc/links.htm </li></ul><ul><li>Detecting evasive protocols http://www.p2pwatchdog.com </li></ul><ul><li>Ethereal Stuff - Writing a Dissector http://www.richardsharpe.com/ethereal-stuff.html </li></ul><ul><li>Replay captured network traffic http://sourceforge.net/projects/tcpreplay </li></ul><ul><li>Securing Your Network against Kazaa http://www.linuxjournal.com/article.php?sid=6945 </li></ul>
  22. 22. Alternativas al inseguro P2P <ul><li>Para el canal: oculta el tráfico y hace dificil su identificación </li></ul><ul><ul><li>Proxies </li></ul></ul><ul><ul><li>Tuneles cifrados </li></ul></ul><ul><li>Para el cliente </li></ul><ul><ul><li>Cifrado e Integridad de los datos </li></ul></ul><ul><ul><li>Anonimicidad del usuario </li></ul></ul><ul><li>Para el supernodo/servidor </li></ul><ul><ul><li>Freenet </li></ul></ul>
  23. 23. Referencias 3 <ul><li>Encrypted File Sharing: P2P Fights Back http://www.technewsworld.com/story/34052.html </li></ul><ul><li>Wikipedia – Freenet http://en.wikipedia.org/wiki/Freenet </li></ul><ul><li>Web serving publishing, secure sharing http://www.badblue.com </li></ul><ul><li>WINW is a small worlds networking utility http://www.winw.org </li></ul><ul><li>MUTE File Sharing - Simple, Anonymous File Sharing http://mute-net.sourceforge.net/ </li></ul><ul><li>GNUnet - decentralized, peer-to-peer networking, link-level encryption, peer discovery and resource allocation. http://en.wikipedia.org/wiki/GNUnet </li></ul><ul><li>I2P - an anonymous communication network http://www.i2p.net </li></ul><ul><li>Mnet is a distributed file store http://mnetproject.org </li></ul>

×