Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
#CyberCamp17
Detección de ciberdelitosen la claridad
y en la oscuridad
Francisco J. RodríguezLuis Fernández
Detectando ZenCart .ES
Ejemplos de dominios detectados
10
abogadoenmarbella.es
adobe-reader.es
adslgratis.es
ahorrarluz.es
alquilomicoche.es
restaurantelcortijo.es
cerrajero-en-granada.es
clinicabellezaysalud.es
ejercito.com.es
policiaonline.es
Requisitos legales para abrir una tienda online en España
Alta en la Seguridad Social
Ley de Ordenación de Comercio Minorista
Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)
Informar adecuadamente en un lugar visible y fácilmente accesible:
□ Nombre o denominación social y datos de contacto
□ Nº de inscripción del registro en el que está inscrito el negocio
□ NIF
Ley de Protección de datos (LOPD)
Alta en Agencia española de protección de datos
Notificar al usuario de que, donde y como se llama el archivo donde se van a guardar sus datos
Condiciones de uso
Condiciones de venta, devoluciones y reclamaciones
Política de cookies
Cumplir con las obligaciones fiscales
Uso de pasarelas de pago seguras
Propiedad intelectual e industrial
Reglamento General de Protección de Datos (RGPD)
24
Selección de requisitos
25
Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)
Informar adecuadamente en un lugar visible y fácilmente accesible:
□ Nombre o denominación social y datos de contacto
□ Nº de inscripción del registro en el que está inscrito el negocio
□ NIF
Ley de Protección de datos (LOPD)
Alta en Agencia española de protección de datos
Notificar al usuario de que, donde y como se llama el archivo donde se van a guardar sus datos.
Política de cookies
Uso de pasarelas de pago seguras
Aviso legal
Política de privacidad
Analizando los dominios
Denominación social, datos de contacto, NIF, nº inscripción registro
27
Sininformación
Otros puntos destacables
ASN
Puertos expuestos
36
ASN / Proveedor
AS18779 EGIHosting
AS59447 Istanbuldc Veri Merkezi Ltd. Sti
AS193287 Istanbuldc Veri Merkezi Ltd. Sti
21 25 80 110 443 8888
587 995 3306 10000 20000
Otros puntos destacables
Servicio RSS Correos electrónicos relacionados con actividades de fraude
38
Otros puntos destacables
Contacto administrativo
42
FALSAS
Origen cuenta correo
163.com
ptwmgs.com
yeah.net
126.com
foxmail.com
sina.com
tom.com
hxmail.com
qq.com
aol.com
vip.qq.com
cntv.com
sohu.com
Clasificación de dominios
94%
47
11.915 dominios detectados
11.225 dominios potencialmente maliciosos
Conclusiones
Toda la información obtenida ha sido entregada a la autoridad competente para que actúen en consecuencia.
Ningún TLD esta libre de ser víctima de una actividad criminal. No solo dominios .ES estaban implicados en este caso.
Los cibercriminales también comenten algún error (o varios) ;)
La detección de ciberdelitos (a veces) se puede automatizar.
Los ciberdelitos no ocurren solamente en la parte oscura de la red. A veces están mas cerca de lo que creemos.
58
Tipos de servicios ocultos
66
74%
21%
2% 1%1% 1%
Análisis de más de 200.000 dominios de TOR
Servicios web Administración remota Mensajería instantánea
Correo electrónico Compartición de ficheros Otros
68
Tipos de actividades ilícitas
ABUSO SEXUAL INFANTIL
VENTA DE ARMAS
VENTA DE DROGAS
DISTRIBUCIÓNDE MALWARE
FALSIFICACIÓN DOCUMENTAL
FALSIFICACIÓN DE MONEDA
VENTA DE DROGAS
PANELES DE PAGO DE
RANSOMWARE
FILTRACIONESDE
INFORMACIÓN
CARDING VENTA DE PRODUCTOS
ROBADOS
VENTA DE PRODUCTOS DE
FARMACIA
PROPAGANDAYIHADISTA
BLANQUEO DE DINERO
SICARIOS
75
Desanonimización de servicios ocultos
¿Quién está detrás de los servicios ocultos?
¿Se pueden desanonimizar?
Desanonimización de servicios ocultos
¿Cómo?
76
¡Sí, se puede!
1. Buscando el error humano2. Fallos en los sistemas de información
77
Técnicas de desanonimización
Búsqueda de servicios ocultos que están… Publicados en la web oscura (TOR)
¡Expuestos en la web superficial! Búsquedas OSINT
Proveedor de servicios ocultos de la oscuridad a la claridad Proveedor checo
Más de 2.000 servicios ocultos en TOR
Voilà
78
Técnicas de desanonimización
Búsqueda de errores de configuración
Encontrada clave privada de creación del servicio oculto
Consecuencia ¡se puede suplantar el servicio oculto!
Técnicas de desanonimizaciónMercado
ocultoNº total deimágenes
Nº de imágenesgeolocalizadas
Agora 86.779 52
Amazon Dark 153 1
Area 51 953 2
BlackBank 14.672 86
Evolution * 42
FreeBay 376 1
Free Market 166 1
Grams 15 3
Ironclad 996 1
Onionshop 887 1
Silk Road 2 21.721 35
Silkstreet 35 4
Total 126,773 229
81
Leaks: ataque a Freedom Hosting
Albergaba más de 10.000 dominios de TOR
Temática principal abuso sexual infantil (50%)
Publicadas más de 800 bases datos: Nick de usuarios
Mensajes de foros públicos y privados
Casi 400.000 emails
Casi 800.000 enlaces a material ilícito
Hashes de contraseñas de usuarios
Conclusiones
83
La web oculta no es tan oscura como parece
Los cibercriminales cometen errores
Los sistemas contienen vulnerabilidades
La detección de ciberdelitos (a veces) se puede automatizar
91
Identificación de servicios
Web, Control remoto sistemas, Intercambio de ficheros, Email, Mensajería…
94
Desanonimización
Dominios en internet alojados en el mismo servidor que el servicio oculto en TOR