Chema Alonso: Conéctate a la red TOR con tu propio nodo y sin conexión a Internet "normal".

Conéctate a TOR con tu propio nodo y sin Internet "normal"

Anoche en la fiesta de speakers de Ekoparty tuvimos una buena charla durante un buen rato donde acabamos contándonos esas historias de no dormir que han pasado a uno u a otro hacker en algún momento. Cosas de esas que asustan un poco si te dedicas a esto que nos tocó por pasión. Por supuesto llegamos al tema de la red TOR, las conexiones anónimas o no, y el caso del hacker "hache" para discutir técnicas de cómo había podido ser detectada su dirección IP de conexión a Internet real.

En el caso de la red TOR, parece que el exploit de Mozilla Firefox usado por el FBI - y que ahora está incluido dentro del framework de Metasaploit - es el que se ha llevado por delante el anonimato de muchas personas, revelando la dirección IP de la máquina, la dirección MACy el nombre del sistema en una conexión HTTP realizada a un servidor de Virgina, USA, por lo que si se quiere ser anónimo hay que pensar en alguna capa de protección extra a nivel de red.

En medio de esas conversación, Juliano Rizzo nos comentó que lo mejor era solucionarlo con un sencillo truco de arquitectura en la cada de red, que debería utilizar todo el que quiera investigar en la red TOR o darse un paseo por la Deep Web, y que os lo dejo por aquí por si os sirve de utilidad.

- Sin conexión a Internet: Suponiendo que haya un exploit del navegador con el se conecta alguien a TOR, lo mejor es que esa máquina no tenga conexión a Internet sin pasar por TOR, eso evitaría que se revelara la dirección de conexión a Internet.  

- Red local privada aislada de la de trabajo: En el caso de que el exploit tenga acceso a la configuración local de la dirección IP, como en el caso de WebRTC en Mozilla Firefox y Google Chrome, lo que se debe evitar es que la dirección IP de la máquina pública, por lo que se debe crear una red privada aislada.  

- No Macs ni hostname identificativos: Se deben utilizar direcciones MAC spoofeadas y nombres de equipos que no identifiquen para nada al usuario de la máquina o su localización. 

- Con tu nodo TOR de por medio: Por último, mejor tener claro a que nodo de entrada te conectas, así que evita conectarte a un nodo TOR de otro que pueda ser malicioso en primer lugar. Si lo puedes tener en una máquina Rasperi Pi o similar separado, mejor que mejor.

Con todos estos ingredientes, la solución es una arquitectura más o menos como la que se ve en la imagen. La maquina de trabajo tendrá el hipervisor donde deben correr dos máquinas en un segmento de red aparte. Una que será el nodo de la red TOR - y tendrá conexión a Internet - y la otra, la máquina virtual desde la que se conecta el cliente a la red TOR, y que si no hay conexión vía TOR, no tiene conexión a Internet, para evitar reportar tráfico por una conexión fuera de la red.

Figura 1: Sugerencia de arquitectura de conexión a red TOR

Es una forma sencilla de tomar una precaución extra que evitaría caer en esquemas de ataques client-side, Javascript Botnets, o rogue node TORs de entrada, basados en data leaks y que parece más fácil de montar por cualquiera. Por supuesto, si te lanzan un exploit con elevación de privilegios y control total de la máquina, capaz de saltarse la VM y pasar a la máquina física la historia se acabó, pero el trabajo que hay que realizar es mucho mayor al que es necesario con solo tener un cliente TOR en tu máquina física.

Saludos Malignos!

 

Fuente | elladodelmal

Un paseo por la Deep Web, de la mano de Chema Alonso.

Os dejo esta entrada de Chema Alonso, el cual nos lleva de paseo por la Deep Web...

 

De paseo por la Deep Web

Ayer participé en el congreso e_Coned organizado por el periódico El Norte de Castilla. Como no tenía mucho tiempo para estar allí, me situaron en el primer bloque, que estaba dedicado a medios de pago. Y como lo mío es la seguridad, decidí hacer una charla hablando de La Deep Web y los medios de pago que allí se usan durante los 25 minutos de tiempo que tenía. Estas son las diapositivas que hice, pensadas para alguien que no tuviera mucho contacto con ella, y como las no son demasiado explícitas, os dejo un poco más de detalle por aquí de lo que conté, además de dejaros las referencias que usé.

Una introducción a la Deep Web

El termino Deep Web se puede leer en el paper publicado en el año 2001 por Michael K. Bergman, titulado: "The Deep Web: Surfacing Hidden Value". En él se habla más de cómo conseguir hacer accesible el contenido que no está indexado en las fuentes más comunes de búsqueda de información que de una red oculta con intención, pero lo cierto es que cabe entenderse esa interpretación.

En todas partes encontraréis datos que hablan de que la Deep Web es equivalente, más o menos, al 96 % del contenido de lo que hay en Internet, pero la verdad es difícil confirmar este dato. Hay muchos trabajos que hacen sampling y estimaciones de cuánto puede ser lo que hay en Internet sin que esté controlado, o esté oculto. A mí me ha gustado cómo echa las cuentas en el año 2006 Denis Shestakov del tamaño de la Deep Web Finlandesa.

Dentro de lo que está en la Deep Web, es obligatorio hablar de la red TOR, aunque después de la cantidad de formas de buscar datos en ella no parece que esté tan oculto, a priori. Sí que habría que tomarla como oculta al principio, ya que para navegar se necesitaba un cliente especial que debe ser instalado, pero desde que están los proxies que conectan la Web con la Deep Web, como por ejemplo Onion.To, ahora no parece que sea imprescindible ni ese software. Ya es posible, usando esos servicios buscar contenido y acceder a dominios .onion sin necesidad de ningún software especial en la máquina cliente.

El nacimiento de la red TOR estaba pensado no para tener contenidos ocultos, sino para garantizar anonimato a los clientes que se conectan y privacidad en el envío de la información entre los nodos, para, entre otras cosas, ayudar a las personas oprimidas y perseguidas en regímenes dictatoriales. En el informe de los Enemigos de Internet 2013 queda a las claras recogido como muchos gobiernos tienen un control de Internet total, y desde que se han publicado algunos programas de espionaje de la NSA, parece que esto lo hace la gran mayoría de los gobiernos.

Por supuesto, en la red TOR también se ocultan depredadores y delincuentes que quieren hacer su Agosto, como los vendedores de identidades y dinero falso, el mercado negro de armas, explosivos y drogas, o los llamativos asesinos a sueldo que se venden por un puñado de monedas electrónicas.

En el caso de las monedas electrónicas en la Deep Web, siempre se busca que las transacciones puedan ser tan anónimas como unos billetes entregados en un sobre, por lo que BitCoin, la moneda respaldada por capacidad de cómputo, es una de las más populares.

Una introducción a las monedas virtuales

En los últimos años yo he visto como el BitCoin ha pasado de valores de 20 o 30 USD por cada BC hasta los actuales 130 USD más o menos que se pueden dar por cada BitCoin en cada uno de los intercambios. En esta web se puede acceder a una cotización mundial de esta moneda, que además deja ver el histórico de fluctuación en los últimos meses. Sorprendentes los cambios.

Que la moneda sea anónima, como los billetes, hace que los ladrones quieran robarlos de las e-wallets que los almacenan, por lo que a lo largo de la historia ha habido incidentes de millones de USD en grandes robos de BitCoins, y malware que ha ido buscándolos en las carteras de las víctimas.

Sin embargo, lo peor que puede pasarle a alguien es que la moneda deje de funcionar, como sucedió como la empresa de Costa Rica que llevaba Liberty Reserve, y que de repente convirtió todo el dinero en humo cuando fue cerrada por los cuerpos de seguridad. No hay que preocuparse, rápidamente los usuarios se mueven hacia otras alternativas como Web Money o Perfect Money que permiten, si no todas, muchas de las características que ofrecía Liberty Reserve.

Unas preguntas para reflexionar

Visto todo esto, las preguntas que se puede hacer una persona o un comercio online pueden ser varias, que cada uno debe responder con la mayor de las sinceridades.

- ¿Me puedo fiar de vender objetos con monedas virtuales? El caso de BitCoin deja claro que podemos hablar de una moneda con un buen recorrido pero con alta fluctuación de valores. Como punto negativo pesa sobre ella lo sucedido con Liberty Reserve, aunque mi opinión es que no tienen nada que ver, y que BitCoin tiene aún larga vida. 

- ¿Me puedo fiar de los clientes que vengan por la red TOR? Esto es algo que yo me pregunté, sobre todo con el tema de la banca online, pero visto el nivel de espionaje en la red, y la paranoia de muchos, es probable que navegar por TOR sea la forma habitual de muchas personas, incluso para ver sus fondos personales o comprar sus artículos de primera necesidad. De hecho, un ejemplo de la duda que genera el que vengan las conexiones de la red TOR la tenemos en el caso del diputado Santiago Cervera, ya que el correo que recibió citándole provenía de un servidor de dicha red. Turbio. Muy turbio. 

- ¿Es realmente anónimo usar la red TOR? Pues ya vimos que no tanto. Desde el uso de exploits que localizan la dirección IP, el nombre de la máquina y la dirección MAC como el que usó el FBI para detectar las direcciones IP de los clientes con las versiones de Mozilla Firefox vulnerables - que más que probablemente se llevo a nuestro amigo "Hache" por delante -, hasta los sistemas de análisis pasivo de tráfico que son capaces de descubrir las auténticas direcciones, hacen pensar que ser totalmente anónimo es imposible.

Para terminar la introducción

Por último, ¿es TOR toda la Deep Web? La respuesta es que no. Ni lo era en el paper inicial que hablaba de contenidos no localizables por estar lejos del alcance de los indexadores, ni lo es hoy en día, donde hablamos de Deep Web como algo mucho más "underground", con clientes de red específicos - hay otras redes de las que se podría hablar largo y tendido - o ubicaciones ocultas. Hasta los mundos online de los juegos son a día de hoy lugar donde se interactúa de forma más o menos secreta para compartir y hacer negocios al margen del Internet de los negocios. Las "Marianas" de la Deep Web llaman algunos a estos sitios ocultos más allá...

Saludos Malignos!

Fuente | elladodelmal

La NSA también espía los pagos internacionales.

Los detalles sobre la actividad de la NSA no cesan de aparecer. Si hace unos días sabíamos que la agencia estadounidense podría haber estado suplantando a Google y otros servicios con el fin de espiar a sus objetivos, este fin de semana el diario alemán Spiegel afirma que la NSA también espía los pagos a nivel internacional.

A través de la división ‘Follow the money’ la agencia se encargaría de monitorizar los pagos internacionales realizados por clientes de empresas como VISA en casi todo el mundo. Todos los datos que entran dentro de los objetivos de la NSA son posteriormente almacenados en Tracfin, una base de datos que en 2011 contenía ya 180 millons de registros de los cuales el 84% se corresponden con pagos realizados con tarjeta de crédito.

Además de monitorizar los pagos con este tipo de tarjetas parece que la NSA también tiene especial interés en las transferencias realizadas a través de la red SWIFT (Society for Worldwide Interbank Financial Telecommunication), un sistema que es obligatorio utilizar en numerosas transacciones internacionales.

Un portavoz de VISA negó la posibilidad de que los datos asociados a los pagos internacionales pudiesen ser obtenidos de las redes internas de la empresa, por lo que en principio no existe una colaboración activa de las empresas financieras en este proceso de espionaje. La cuestión es si debemos creer a estas empresas o si, por el contrario, debemos sospechar de cualquier actividad que realicemos online. El brazo de la NSA parece demasiado largo.

Fuente | Xataka