El lado oscuro de TOR
:: José Luis VerdeguerJosé Luis Verdeguer (Pepelux):: Juan GarridoJuan Garrido (Silverhack)@pepeluxx
@tr1ana
El lado oscuro de El lado oscuro de TorTor
¿ Qué es la Deep Web ?
Define al contenido de Internet que no forma parte de la conocida como Internet Superficial, es decir, no indexada por motores de búsqueda y cuyo acceso no es trivial:
● Páginas protegidas con contraseña.● Contenidos con formatos no indexables.● Accesos mediante software específico.
Otros nombres: Deepnet, Undernet, Internet profunda, Web profunda, Internet invisible, …
Sobre Tor● Creado en el año 2003 como evolución del proyecto
Onion Router del Laboratorio de Investigación Naval de los EEUU.
● Actualmente gestionado por Tor Project (organización sin ánimo de lucro) … www.torproject.org
Objetivos:● Ser una red de comunicaciones distribuidas.● Capaz de mantener el anonimato de sus usuarios.● Capaz de mantener el secreto de la información.
Aplicaciones:● Acceso anónimo a Internet.● Red privada de información.
Sobre TorTipos de entidades:
● OR (Onion Router): son encaminadores.● Conexiones OR-OR por TLS.
● OP (Onion Proxy): software local que ejecuta el usuario final.
● Obtiene información del servicio de directorios y establece los circuitos a través de la red Tor.
Sobre Tor¿ Qué son los OR (Onion Router) ? ¿ Quién forma estos
nodos ?
Debemos distinguir 2 tipos de nodos dentro de los OR:● Nodos intermedios: enviar información entre nodos,
siempre cifrada.● Nodos de salida: comunicación final, sin cifrar.
Requisitos para actuar como nodo de Tor:
● Disponer de un ancho de banda aceptable.● Dirección IP fija y enrutable públicamente.● Configurar nuestro proxy para actuar como nodo
puente.
Sobre Tor
Tor como proxy anónimo¿ Cómo funciona ?
● Utiliza un encaminamiento de cebolla:● Los mensajes pasan por 3 nodos.● Cada nodo tiene aplicada una capa de cifrado.● Sólo el nodo final es capaz de ver los datos en claro.
Tor como proxy anónimoEnvío de paquetes:
● El OP consulta el Servicio de Directorios.● Establece 3 nodos OR por los que pasará el paquete.● Cifra el paquete con la clave del 3er nodo (Exit Node).● Vuelve a cifrar con la clave del 2o nodo (Middle Node).● Cifra de nuevo con la clave del 1er nodo (First Node).● Envía el paquete al 1er nodo.● Este lo descifra y lo manda al 2o nodo.● Lo descifra y lo manda al 3er nodo.● El 3er nodo descifra obteniendo el paquete en claro.● Lo manda al destino.
Tor como proxy anónimo
Tor como proxy anónimoVentajas e inconvenientes de actuar como Exit Node:
Ventajas:● Podemos ver los datos en claro.● Captura de credenciales.● Cookies.
Inconvenientes:● Conexión final con nuestra IP.● Podemos cometer delitos sin saberlo.
Dominios “.onion”● Dominios específicos de la red Tor y accesibles
únicamente a través de ella.
● Ofrecen servicios ocultos (hidden services).
● Direcciones alfanuméricas de 16 caracteres en base 32:
● Cualquier letra.● Números del 2 al 7.● Ejemplo: http://eqt5g4fuenphqinx.onion/
Dominios “.onion”Modos de actuación de los Onion Router (OR):
● Vistos antes: Nodos intermedios. Nodos de salida.
● Servicio de Directorio (Directory Service): nodos confiables (primarios y de backup). Establecer circuitos.
● Punto de Introducción (Introduction Point): nodos aleatorios. Puntos de acceso a los servicios ocultos (hidden services).
● Punto de encuentro (Rendezvous Point): nodos aleatorios. Punto de interconexión entre cliente y servidor.
Dominios “.onion”Publicación de una web por un proveedor (1)
Dominios “.onion”Publicación de una web por un proveedor (2)
Dominios “.onion”Conexión de un cliente (1)
Dominios “.onion”Conexión de un cliente (2)
Dominios “.onion”Conexión de un cliente (3)
Dominios “.onion”Conexión de un cliente (4)
Dominios “.onion”¿ Cómo se accede a los dominios “.onion” ?
● Directamente usando los OP (Onion Proxy).● A través de Internet mediante el uso de proxies:
● http://tor2web.org● http://onion.to● http://onion.lu
Problemas …… no es fácil encontrar páginas web
Servicios de Directorio
Servicios de Directorio
Servicios de Directorio
Servicios de Hosting
Servicios de Mail
Servicios de Mail
Buscadores
Nuestro estudio
• Descubrir qué más hay ...• Soluciones propuestas– Búsqueda a través de la Open Web– Búsqueda a través de TOR
Open Web
• Búsquedas basadas en la indexación de buscadores:– Script en python– Búsquedas a través de Bing, Google o listas de
dominios “.onion”– Acceso mediante proxies en Internet– Clasificación de sitios Web en base a palabras
clave– Guarda lo encontrado en una BBDD (SqLite)– Exporta datos a CSV
TOR
• Búsqueda a través de TOR– Script en Perl– Funciona de manera similar a una araña– Clasificación de sitios Web en base a palabras
clave– Filtrado de direcciones de correo– Exporta todo lo encontrado a una BBDD
(MySQL)– Sólo guarda texto (implicaciones legales)
¿ Qué hemos hecho con todo esto ?
¿ Qué más nos hemos encontrado ?
Bookmarks
Pastebin anónimo
Pastebin anónimo
Servicios de chat
Servicios de IRC
Acceso a Twitter
Hackers a sueldo
Hackers a sueldo
Cuentas hackeadas
Asesinos a sueldo
Asesinos a sueldo
Asesinos a sueldo
Venta de tarjetas de crédito
Pasaportes falsos
Venta de droga
Fabricación de armas
Anonymous
Wikileaks
¡¡ ToroCoches !!
¿ Realmente hay más de lo que nos cuentan ?
¿ Hay más negocio en este tipo de redes ?
Desgraciadamente … hay mucho más
Pedófilos
Pedófilos• Los pedófilos además de
moverse por redes anónimas están muy concienciados con las técnicas usadas por las FCSE para pillarles:
• Fotos sin geolocalización.
• Borrado de rasgos que les puedan identificar (tatuajes, huellas, etc).
Pedófilos
Pedófilos
Los que crean páginas en Tor, ¿ son hackers experimentados que trabajan para los malos ?
¿ Son seguras las páginas ?
Happy Hacking
Happy Hacking
Happy Hacking
Happy Hacking
Happy Hacking
Happy HackingResultado:
• Más de 30.000 pedófilos registrados en una misma web.
• Otros tantos en webs similares.
Estadísticas
Estadísticas
Conclusiones
• ¿ La red TOR cumple con su cometido ?– ¿ Proporciona anonimato y confidencialidad ?– ¿ Difícil de monitorizar ?
• Principalmente se usa para:– Distribución de pornografía– Redes de tráfico (armas, droga, …)– Crimen organizado– Filtración de datos
Conclusiones
• A través de la monitorización es posible conocer:– Tipologías:
• De servidor• De servicio
– Nivel de configuración:• De servidor• De aplicación
– Nivel de fortificación:• De servidor• De aplicación
Conclusiones
¡ Tened cuidado ahí fuera ! Siempre hay alguien vigilando
Gracias ;)
¿ Preguntas ?
:: José Luis Verdeguer José Luis Verdeguer :: Juan GarridoJuan Garrido@pepeluxx
@tr1ana