P2P Tracking

CAMPUS-TI 2004 CIUDAD DE LAS ARTES Y LAS CIENCIAS DE VALENCIA P2P Tracking Roger Carhuatocto rcarhuatocto[AT]intix.info

Contenido El escenario Aspectos legales Técnicas Herramientas

El escenario Una red de intercambio de ficheros, cada red con un protocolo: Gnutella FrastTrack eDonkey BitTorrent No hay servidor central Basado en P2P, aunque existen nodos intermedios

Los problemas de seguridad Clientes P2P no velan por seguridad del usuario: Privacidad Antivirus Spyware Privacidad Las redes P2P abren una nueva “windows exposure” a antiguas prácticas ilícitas : Tráfico ilícito de ficheros, piratería Pornografía

La acción Vigilancia de las redes P2P por parte de Compañías Denuncia a usuarios Nuevos virus/gusanos se distribuyen por este canal Nuevos impuestos Nuevas leyes

La reacción Mejora de redes: Sin servidor central Mejora de clientes P2P: multiprotocolo, antivirus, hashing, proxy, bloqueo de IP (p.e. RIAA) sin dejar de compartir. Aparecen más redes: Más democráticas: verdadero P2P Más seguras: Criptografía Canal Identidad Contenido Anónimas Más conciencia en seguridad, libertad.. Más responsabilidad

Aspectos legales ¿Es delito compartir? No es delito, es un ilícito civil ya que no hay “ánimo de lucro”. El tráfico ilícito es delito, tanto si se hace en la calle como por Internet. Art. 270 del C.P.: Reproducción, plagio, distribución o comunicación pública, en todo o en parte con ánimo de lucro y en perjuicio de terceros. ¿Es delito espiar? Art. 286 del C.P.: El acceso no autorizado a servicios interactivos prestados por vía electrónica es delito. La privacidad es un derecho fundamental ¿Es delito tener/hacer una copia privada?

Referencias 1 Who is spying on your downloads? http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.html Surveillance on Peer-to-Peer Networks http://slashdot.org/yro/01/03/27/173218.shtml The RIAA Succeeds Where the Cypherpunks Failed http://www.shirky.com/writings/riaa_encryption.html Anti-piracy vigilantes track file sharers http://www.securityfocus.com/printable/news/8279 La información como delito http://www.kriptopolis.com/more.php?id=P28_0_1_0_C Compartir no es delito http://www.kriptopolis.com/more.php?id=91_0_1_0_M Investigación de delitos en plataformas P2P http://www.kriptopolis.com/imprimir.php?id=92_0_1_0 Ciberderechos y ciberdelitos: corren malos tiempos http://www.kriptopolis.com/ciberdelitos.pdf

P2P: La red, el protocolo Predomina el basado en el protocolo FastTrack KaZaA, Morpheus Gnutella eDonkey: eDonkey, eMule BitTorrent Freenet

La red FastTrack y KaZaA 1 Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos de cifrado No hay documentación del protocolo Se hizo ingeniería reversa a la porción del protocolo relacionado a cliente-supernodo. La porción supernodo-supernodo aún permanece desconocida. Los primeros clientes son closed-source Eventos: Cliente se conecta a red Red anuncia a cliente disponibilidad de nodos y ficheros Cliente hace una búsqueda Cliente descarga un fichero Cliente sirve un fichero

La red FastTrack 2 Usado por muchos clientes como KaZaA, iMesh, Grokster,… TCP, UDP Puertos 1214, 1080, SOCKS5, 80,… versiones >=2.0 usan puertos aleatorios UUHash

Análisis de la red FastTrack con Ethereal 1 Herramientas: Cliente KaZaA, Ethereal Ejecutar las operaciones básicas mientras se captura el tráfico en una red switcheada. Sólo nos interesa el tráfico que sale y entra del cliente relacionado a KaZaA, desde luego, se capturará tráfico que no corresponde a estas acciones como ARP, DNS, etc.

Análisis de la red FastTrack con Ethereal 2 Solicitud de descarga y respuesta satisfactoria Hash del fichero Descarga total IP y PORT de donde descargaré el fichero Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author Usuario KaZaA y KaZaA network

Análisis de la red FastTrack con Ethereal 3 Solicitud de descarga y respuesta con servicio no disponible Hash del fichero Descarga no disponible IP y PORT de donde descargaré el fichero Usuario KaZaA y KaZaA network

Análisis de la red FastTrack con Ethereal 4 Solicitud de descarga y respuesta con servicio no disponible Hash del fichero Descarga parcial o reanuda descarga Usuario KaZaA y KaZaA network Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author IP y PORT de donde descargaré el fichero

Análisis de la red FastTrack con Ethereal 6 ¿Y qué pasa con el resto de paquetes que se generan en otros eventos?, Ellos van cifrados! Es necesario decodificar/descifrar el tráfico capturado usando herramientas más sofisticadas: Construir un “FastTrack Dissector” para Ethereal Usar SOCKS4/SOCKS5 Proxy man-in-the-middle que permita registrar todo el tráfico saliente y entrante. Esto no resuelve la decodificación. Usar herramientas sofisticadas de análisis de tráfico de red como: NetIntercept NetDetector DCS1000 (FBI) a.k.a. Carnivore

FastTrack Dissector para Ethereal SNIFFER ANALIZADOR DISSECTOR ETHEREAL 1. Captura el tráfico de red 2. Descrifra o decodifica el tráfico 3. Se analiza y se presenta CLIENTE SUPERNODO / CLIENTE

FastTrack Dissector para Ethereal CLIENTE SUPERNODO / CLIENTE SOCKS PROXY SERVER ANÁLISIS Y DECOFICACIÓN EN OFF/ON LINE (similar a Achilles)

Tracking Identificar al usuario P2P (IP, Port, client, username, etc.) Network sniffing con Ethereal ¿Qué fichero (parcial o total) quiere descargar o está descargando? Network sniffing con Ethereal ¿Qué otros ficheros tiene el usuario? Descifrar/decodificar, ingenieria reversa al protocolo Network sniffing con Ethereal ¿Quién más tiene el fichero? Descifrar/decodificar, ingenieria reversa al protocolo Network sniffing con Ethereal

Herramientas de análisis de tráfico de red Sirven para obtener información a partir del tráfico de red Sirven como herramientas de soporte a procesos de Digital Forensics, aquí la información a analizar no es un H.D., es el flujo de la red. Características que debe cumplir las herramientas: Soporta formatos para import/export Reconocimiento e interpretación de muchos protocolos Reducción de datos Ficheros conocido (usan MD5, SHA1,..) Recuperación de datos: extracción, reconstrucción de fragmentos Recupera data oculta: tráfico anómalo, esteganografía Capacidad de búsqueda de cadenas, documentación, integridad, fiable/completo, seguro.

Referencias 2 Sniffing (network wiretap, sniffer) FAQ http://www.robertgraham.com/pubs/sniffing-faq.html Wikipedia - FastTrack http://en.wikipedia.org/wiki/FastTrack WinPcap: the Free Packet Capture Architecture for Windows http://winpcap.polito.it/misc/links.htm Detecting evasive protocols http://www.p2pwatchdog.com Ethereal Stuff - Writing a Dissector http://www.richardsharpe.com/ethereal-stuff.html Replay captured network traffic http://sourceforge.net/projects/tcpreplay Securing Your Network against Kazaa http://www.linuxjournal.com/article.php?sid=6945

Alternativas al inseguro P2P Para el canal: oculta el tráfico y hace dificil su identificación Proxies Tuneles cifrados Para el cliente Cifrado e Integridad de los datos Anonimicidad del usuario Para el supernodo/servidor Freenet

Referencias 3 Encrypted File Sharing: P2P Fights Back http://www.technewsworld.com/story/34052.html Wikipedia – Freenet http://en.wikipedia.org/wiki/Freenet Web serving publishing, secure sharing http://www.badblue.com WINW is a small worlds networking utility http://www.winw.org MUTE File Sharing - Simple, Anonymous File Sharing http://mute-net.sourceforge.net/ GNUnet - decentralized, peer-to-peer networking, link-level encryption, peer discovery and resource allocation. http://en.wikipedia.org/wiki/GNUnet I2P - an anonymous communication network http://www.i2p.net Mnet is a distributed file store http://mnetproject.org

P2P Tracking

Más contenido relacionado

Similar a P2P Tracking

Más de Roger CARHUATOCTO

Último

P2P Tracking