1. El lado oscuro de TOR
El lado oscuro de
Tor
@pepeluxx
@tr1ana
:: José Luis Verdeguer (Pepelux)
:: Juan Garrido (Silverhack)
2. ¿ Qué es la Deep Web ?
Define al contenido de Internet que no forma parte de la
conocida como Internet Superficial, es decir, no
indexada por motores de búsqueda y cuyo acceso no
es trivial:
●
●
●
Páginas protegidas con contraseña.
Contenidos con formatos no indexables.
Accesos mediante software específico.
Otros nombres: Deepnet, Undernet, Internet profunda,
Web profunda, Internet invisible, …
3.
4. Sobre Tor
●
●
Creado en el año 2003 como evolución del proyecto
Onion Router del Laboratorio de Investigación Naval de
los EEUU.
Actualmente gestionado por Tor Project (organización
sin ánimo de lucro) … www.torproject.org
Objetivos:
●
Ser una red de comunicaciones distribuidas.
●
Capaz de mantener el anonimato de sus usuarios.
●
Capaz de mantener el secreto de la información.
Aplicaciones:
●
Acceso anónimo a Internet.
●
Red privada de información.
5. Sobre Tor
Tipos de entidades:
●
●
OR (Onion Router): son encaminadores.
●
Conexiones OR-OR por TLS.
OP (Onion Proxy): software local que ejecuta el usuario
final.
●
Obtiene información del servicio de directorios y
establece los circuitos a través de la red Tor.
6. Sobre Tor
¿ Qué son los OR (Onion Router) ? ¿ Quién forma estos
nodos ?
Debemos distinguir 2 tipos de nodos dentro de los OR:
●
Nodos intermedios: enviar información entre nodos,
siempre cifrada.
●
Nodos de salida: comunicación final, sin cifrar.
Requisitos para actuar como nodo de Tor:
●
●
●
Disponer de un ancho de banda aceptable.
Dirección IP fija y enrutable públicamente.
Configurar nuestro proxy para actuar como nodo
puente.
8. Tor como proxy anónimo
¿ Cómo funciona ?
●
Utiliza un encaminamiento de cebolla:
●
Los mensajes pasan por 3 nodos.
●
Cada nodo tiene aplicada una capa de cifrado.
●
Sólo el nodo final es capaz de ver los datos en claro.
9. Tor como proxy anónimo
Envío de paquetes:
●
●
●
●
●
●
●
●
●
●
El OP consulta el Servicio de Directorios.
Establece 3 nodos OR por los que pasará el paquete.
Cifra el paquete con la clave del 3er nodo (Exit Node).
Vuelve a cifrar con la clave del 2o nodo (Middle Node).
Cifra de nuevo con la clave del 1er nodo (First Node).
Envía el paquete al 1er nodo.
Este lo descifra y lo manda al 2o nodo.
Lo descifra y lo manda al 3er nodo.
El 3er nodo descifra obteniendo el paquete en claro.
Lo manda al destino.
11. Tor como proxy anónimo
Ventajas e inconvenientes de actuar como Exit Node:
Ventajas:
●
Podemos ver los datos en claro.
●
Captura de credenciales.
●
Cookies.
Inconvenientes:
●
Conexión final con nuestra IP.
●
Podemos cometer delitos sin saberlo.
12. Dominios “.onion”
●
●
●
Dominios específicos de la red Tor y accesibles
únicamente a través de ella.
Ofrecen servicios ocultos (hidden services).
Direcciones alfanuméricas de 16 caracteres en base
32:
●
Cualquier letra.
●
Números del 2 al 7.
●
Ejemplo: http://eqt5g4fuenphqinx.onion/
13. Dominios “.onion”
Modos de actuación de los Onion Router (OR):
●
●
●
●
Vistos antes: Nodos intermedios. Nodos de salida.
Servicio de Directorio (Directory Service): nodos
confiables (primarios y de backup). Establecer
circuitos.
Punto de Introducción (Introduction Point): nodos
aleatorios. Puntos de acceso a los servicios ocultos
(hidden services).
Punto de encuentro (Rendezvous Point): nodos
aleatorios. Punto de interconexión entre cliente y
servidor.
20. Dominios “.onion”
¿ Cómo se accede a los dominios “.onion” ?
●
●
Directamente usando los OP (Onion Proxy).
A través de Internet mediante el uso de proxies:
●
http://tor2web.org
●
http://onion.to
●
http://onion.lu
Problemas …
… no es fácil encontrar páginas web
28. Nuestro estudio
• Descubrir qué más hay ...
• Soluciones propuestas
– Búsqueda a través de la Open Web
– Búsqueda a través de TOR
29. Open Web
• Búsquedas basadas en la indexación de
buscadores:
– Script en python
– Búsquedas a través de Bing, Google o listas de
dominios “.onion”
– Acceso mediante proxies en Internet
– Clasificación de sitios Web en base a palabras
clave
– Guarda lo encontrado en una BBDD (SqLite)
– Exporta datos a CSV
30.
31.
32.
33. TOR
• Búsqueda a través de TOR
– Script en Perl
– Funciona de manera similar a una araña
– Clasificación de sitios Web en base a palabras
clave
– Filtrado de direcciones de correo
– Exporta todo lo encontrado a una BBDD
(MySQL)
– Sólo guarda texto (implicaciones legales)
63. Pedófilos
• Los pedófilos además de
moverse por redes anónimas
están muy concienciados
con las técnicas usadas por
las FCSE para pillarles:
• Fotos sin geolocalización.
• Borrado de rasgos que les
puedan identificar
(tatuajes, huellas, etc).
75. Conclusiones
• ¿ La red TOR cumple con su cometido ?
– ¿ Proporciona anonimato y confidencialidad ?
– ¿ Difícil de monitorizar ?
• Principalmente se usa para:
– Distribución de pornografía
– Redes de tráfico (armas, droga, …)
– Crimen organizado
– Filtración de datos
76. Conclusiones
• A través de la monitorización es posible conocer:
– Tipologías:
• De servidor
• De servicio
– Nivel de configuración:
• De servidor
• De aplicación
– Nivel de fortificación:
• De servidor
• De aplicación