Detección de ciberdelitos en la oscuridad …. Y en la claridad · 2018-02-08 · Web profunda Web oculta 60 Web superficial, profunda y oculta. 61 Redes mas conocidas ¿Objetivo?

#CyberCamp17

Detección de ciberdelitosen la claridad

y en la oscuridad

Francisco J. RodríguezLuis Fernández

Internet

Internet

Ciberdelitos en la claridad

4

Internet


5

Internet

Deep Web

Dark Web


6

Dominios .ES

Origen de la investigación

7

Investigación paralela: Dominios Similares

8

Detectando ZenCart .ES

9

11.915 Dominios .ES con Zencart


Ejemplos de dominios detectados

10

abogadoenmarbella.es

adobe-reader.es

adslgratis.es

ahorrarluz.es

alquilomicoche.es

restaurantelcortijo.es

cerrajero-en-granada.es

clinicabellezaysalud.es

ejercito.com.es

policiaonline.es


11

¿Qué tienen en común estos dominios?


12

abogadoenmarbella.es


13

adobe-reader.es


14

adslgratis.es


15

ahorraluz.es


16

alquilomicoche.es


17

restauranteelcortijo.es


18

cerrajero-en-granada-es


19

clinicabellezaysalud.es


20

ejercito.com.es


21

policiaonline.es


22

Algo no encaja aquí

Quien puede registrar un .ES

23

Requisitos legales para abrir una tienda online en España

Alta en la Seguridad Social

Ley de Ordenación de Comercio Minorista

Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)

Informar adecuadamente en un lugar visible y fácilmente accesible:

□ Nombre o denominación social y datos de contacto

□ Nº de inscripción del registro en el que está inscrito el negocio

□ NIF

Ley de Protección de datos (LOPD)

Alta en Agencia española de protección de datos

Notificar al usuario de que, donde y como se llama el archivo donde se van a guardar sus datos

Condiciones de uso

Condiciones de venta, devoluciones y reclamaciones

Política de cookies

Cumplir con las obligaciones fiscales

Uso de pasarelas de pago seguras

Propiedad intelectual e industrial

Reglamento General de Protección de Datos (RGPD)

24

Selección de requisitos

25

Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)

Informar adecuadamente en un lugar visible y fácilmente accesible:

□ Nombre o denominación social y datos de contacto

□ Nº de inscripción del registro en el que está inscrito el negocio

□ NIF

Ley de Protección de datos (LOPD)

Alta en Agencia española de protección de datos

Notificar al usuario de que, donde y como se llama el archivo donde se van a guardar sus datos.


Uso de pasarelas de pago seguras

Aviso legal

Política de privacidad

Analizando los dominios

26

11.915 Dominios .EScon ZenCart


Denominación social, datos de contacto, NIF, nº inscripción registro

27

Sininformación


28



Política de privacidad

29

Vacío

Inglés

Mal redactado


LOPD

30

Sininformación


Aviso Legal

31

Sininformación


Pasarela de pago SSL

32

33

Y todavía hay más…

Otros puntos destacables

Marcas

34


35

5 agentes registradores


ASN

Puertos expuestos

36

ASN / Proveedor

AS18779 EGIHosting

AS59447 Istanbuldc Veri Merkezi Ltd. Sti

AS193287 Istanbuldc Veri Merkezi Ltd. Sti

21 25 80 110 443 8888

587 995 3306 10000 20000


Alta/Baja de dominios

Distribución de dominios

37

1 dominio .ES

1 IP


Servicio RSS Correos electrónicos relacionados con actividades de fraude

38

39

¿ Y quién está detrás de todo esto ?


Certificados autofirmados

40


Paneles Expuestos

41


Contacto administrativo

42

FALSAS

Origen cuenta correo

163.com

ptwmgs.com

yeah.net

126.com

foxmail.com

sina.com

tom.com

hxmail.com

qq.com

aol.com

vip.qq.com

cntv.com

sohu.com

43

Seguridad en la plataforma


MySQL

44


Servidor Web

45

Resumen: puntos en común

46

Clasificación de dominios

94%

47

11.915 dominios detectados

11.225 dominios potencialmente maliciosos

48

Errores detectados

Configuración

49

Errores detectados

Configuración

50

Errores detectados

51

Estructura de ficheros en ZIP

Errores detectados

52

Envío de información de pago

Errores detectados

Versión de Zen Cart

53

Errores detectados

Credenciales de Acceso a MySQL

54

Errores detectados

Cuenta del administrador

55

56

Hasta la cocina

57

1 Dominio

+ 11.000 Dominios

Conclusiones

Conclusiones

Toda la información obtenida ha sido entregada a la autoridad competente para que actúen en consecuencia.

Ningún TLD esta libre de ser víctima de una actividad criminal. No solo dominios .ES estaban implicados en este caso.

Los cibercriminales también comenten algún error (o varios) ;)

La detección de ciberdelitos (a veces) se puede automatizar.

Los ciberdelitos no ocurren solamente en la parte oscura de la red. A veces están mas cerca de lo que creemos.

58

Ciberdelitos en la oscuridad

59

Web superficial

Web profunda

Web oculta

60

Web superficial, profunda y oculta

61

Redes mas conocidas

¿Objetivo? Anonimato y privacidad

62

App ampliamente utilizadas

63

Actividades ilícitas

64


Número de servicios ocultos activos

65

Tipos de servicios ocultos

66

74%

21%

2% 1%1% 1%

Análisis de más de 200.000 dominios de TOR

Servicios web Administración remota Mensajería instantánea

Correo electrónico Compartición de ficheros Otros

67

Ejemplos de servicios ocultos

Foros Mercados

68

Tipos de actividades ilícitas

ABUSO SEXUAL INFANTIL

VENTA DE ARMAS

VENTA DE DROGAS

DISTRIBUCIÓNDE MALWARE

FALSIFICACIÓN DOCUMENTAL

FALSIFICACIÓN DE MONEDA

VENTA DE DROGAS

PANELES DE PAGO DE

RANSOMWARE

FILTRACIONESDE

INFORMACIÓN

CARDING VENTA DE PRODUCTOS

ROBADOS

VENTA DE PRODUCTOS DE

FARMACIA

PROPAGANDAYIHADISTA

BLANQUEO DE DINERO

SICARIOS

69


Índices de contenidos abuso sexual infantil

70


Intercambio de contenidos

71


Ransomware RaaS

72


Propaganda yihadista

73


Dro

gas

74


Ve

nta

de

arm

as

75

Desanonimización de servicios ocultos

¿Quién está detrás de los servicios ocultos?

¿Se pueden desanonimizar?

Desanonimización de servicios ocultos

¿Cómo?

76

¡Sí, se puede!

1. Buscando el error humano2. Fallos en los sistemas de información

77

Técnicas de desanonimización

Búsqueda de servicios ocultos que están… Publicados en la web oscura (TOR)

¡Expuestos en la web superficial! Búsquedas OSINT

Proveedor de servicios ocultos de la oscuridad a la claridad Proveedor checo

Más de 2.000 servicios ocultos en TOR

Voilà

78


Búsqueda de errores de configuración

Encontrada clave privada de creación del servicio oculto

Consecuencia ¡se puede suplantar el servicio oculto!

Técnicas de desanonimizaciónMercado

ocultoNº total deimágenes

Nº de imágenesgeolocalizadas

Agora 86.779 52

Amazon Dark 153 1

Area 51 953 2

BlackBank 14.672 86

Evolution * 42

FreeBay 376 1

Free Market 166 1

Grams 15 3

Ironclad 996 1

Onionshop 887 1

Silk Road 2 21.721 35

Silkstreet 35 4

Total 126,773 229

80


Vulnerabilidades en sistemas de información

81

Leaks: ataque a Freedom Hosting

Albergaba más de 10.000 dominios de TOR

Temática principal abuso sexual infantil (50%)

Publicadas más de 800 bases datos: Nick de usuarios

Mensajes de foros públicos y privados

Casi 400.000 emails

Casi 800.000 enlaces a material ilícito

Hashes de contraseñas de usuarios

82

Operaciones en 2017

Conclusiones

83

La web oculta no es tan oscura como parece

Los cibercriminales cometen errores

Los sistemas contienen vulnerabilidades

La detección de ciberdelitos (a veces) se puede automatizar

84

Vale… ¿y ahora qué?

85

¿Aumentamos los recursos?

Copyright © 2017 todos los derechos reservados 86

Desarrollo de Herramientas

87

Automatización

88

Categorización y Priorización

Categorización automatizadaPriorización automatizada

89

Categorización

90

Priorización

91

Identificación de servicios

Web, Control remoto sistemas, Intercambio de ficheros, Email, Mensajería…

92

Etiquetado

Desanonimizado, Empresa Estratégica, España, INCIBE, SCI, Vulnerable

93

Detección de vulnerabilidades

94

Desanonimización

Dominios en internet alojados en el mismo servidor que el servicio oculto en TOR

95

Extracción de información

Fuente: El Mundo: www.elmundo.es

96


97


98

Objetivo

Fuente: DeepDotWeb: www.deepdotweb.com

99

Objetivo


100

Objetivo


101

Documents

Detección de ciberdelitos en la oscuridad …. Y en la claridad · 2018-02-08 · Web profunda Web oculta 60 Web superficial, profunda y oculta. 61 Redes mas conocidas ¿Objetivo?