p2p tracking
DESCRIPTION
P2P TrackingTRANSCRIPT
CAMPUS-TI 2004CIUDAD DE LAS ARTES Y LAS CIENCIAS DE VALENCIA
P2P Tracking
Roger Carhuatocto
rcarhuatocto[AT]intix.info
2P2P Tracking
Roger Carhuatocto – 24.Jun.04
Contenido
• El escenario
• Aspectos legales
• Técnicas
• Herramientas
3P2P Tracking
Roger Carhuatocto – 24.Jun.04
El escenario
• Una red de intercambio de ficheros, cada red con un protocolo:– Gnutella– FrastTrack– eDonkey– BitTorrent
• No hay servidor central
• Basado en P2P, aunque existen nodos intermedios
4P2P Tracking
Roger Carhuatocto – 24.Jun.04
Los problemas de seguridad
• Clientes P2P no velan por seguridad del usuario:– Privacidad– Antivirus– Spyware– Privacidad
• Las redes P2P abren una nueva “windows exposure” a antiguas prácticas ilícitas :– Tráfico ilícito de ficheros, piratería– Pornografía
5P2P Tracking
Roger Carhuatocto – 24.Jun.04
La acción
• Vigilancia de las redes P2P por parte de Compañías
• Denuncia a usuarios
• Nuevos virus/gusanos se distribuyen por este canal
• Nuevos impuestos
• Nuevas leyes
6P2P Tracking
Roger Carhuatocto – 24.Jun.04
La reacción
• Mejora de redes: Sin servidor central
• Mejora de clientes P2P: multiprotocolo, antivirus, hashing, proxy, bloqueo de IP (p.e. RIAA) sin dejar de compartir.
• Aparecen más redes:– Más democráticas: verdadero P2P– Más seguras: Criptografía
• Canal
• Identidad
• Contenido
– Anónimas
• Más conciencia en seguridad, libertad.. Más responsabilidad
7P2P Tracking
Roger Carhuatocto – 24.Jun.04
Aspectos legales
• ¿Es delito compartir?– No es delito, es un ilícito civil ya que no hay “ánimo de lucro”.– El tráfico ilícito es delito, tanto si se hace en la calle como por
Internet.– Art. 270 del C.P.: Reproducción, plagio, distribución o
comunicación pública, en todo o en parte con ánimo de lucro y en perjuicio de terceros.
• ¿Es delito espiar?– Art. 286 del C.P.: El acceso no autorizado a servicios interactivos
prestados por vía electrónica es delito.– La privacidad es un derecho fundamental
• ¿Es delito tener/hacer una copia privada?
8P2P Tracking
Roger Carhuatocto – 24.Jun.04
Referencias 1
1. Who is spying on your downloads?http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.html
2. Surveillance on Peer-to-Peer Networkshttp://slashdot.org/yro/01/03/27/173218.shtml
3. The RIAA Succeeds Where the Cypherpunks Failedhttp://www.shirky.com/writings/riaa_encryption.html
4. Anti-piracy vigilantes track file sharershttp://www.securityfocus.com/printable/news/8279
5. La información como delitohttp://www.kriptopolis.com/more.php?id=P28_0_1_0_C
6. Compartir no es delitohttp://www.kriptopolis.com/more.php?id=91_0_1_0_M
7. Investigación de delitos en plataformas P2Phttp://www.kriptopolis.com/imprimir.php?id=92_0_1_0
8. Ciberderechos y ciberdelitos: corren malos tiemposhttp://www.kriptopolis.com/ciberdelitos.pdf
9P2P Tracking
Roger Carhuatocto – 24.Jun.04
P2P: La red, el protocolo
• Predomina el basado en el protocolo FastTrack– KaZaA, Morpheus
• Gnutella
• eDonkey: eDonkey, eMule
• BitTorrent
• Freenet
10P2P Tracking
Roger Carhuatocto – 24.Jun.04
La red FastTrack y KaZaA 1
• Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos de cifrado
• No hay documentación del protocolo• Se hizo ingeniería reversa a la porción del protocolo
relacionado a cliente-supernodo. La porción supernodo-supernodo aún permanece desconocida.
• Los primeros clientes son closed-source• Eventos:
1. Cliente se conecta a red2. Red anuncia a cliente disponibilidad de nodos y ficheros3. Cliente hace una búsqueda4. Cliente descarga un fichero5. Cliente sirve un fichero
11P2P Tracking
Roger Carhuatocto – 24.Jun.04
La red FastTrack 2
• Usado por muchos clientes como KaZaA, iMesh, Grokster,…
• TCP, UDP
• Puertos 1214, 1080, SOCKS5, 80,… versiones >=2.0 usan puertos aleatorios
• UUHash
12P2P Tracking
Roger Carhuatocto – 24.Jun.04
Análisis de la red FastTrack con Ethereal 1
• Herramientas: Cliente KaZaA, Ethereal
• Ejecutar las operaciones básicas mientras se captura el tráfico en una red switcheada. Sólo nos interesa el tráfico que sale y entra del cliente relacionado a KaZaA, desde luego, se capturará tráfico que no corresponde a estas acciones como ARP, DNS, etc.
13P2P Tracking
Roger Carhuatocto – 24.Jun.04
Análisis de la red FastTrack con Ethereal 2
• Solicitud de descarga y respuesta satisfactoria
Hash del fichero
Descarga total
IP y PORT de donde descargaré el fichero
Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author
Usuario KaZaA y KaZaA network
14P2P Tracking
Roger Carhuatocto – 24.Jun.04
Análisis de la red FastTrack con Ethereal 3
• Solicitud de descarga y respuesta con servicio no disponible
Hash del fichero
Descarga no disponible
IP y PORT de donde descargaré el fichero
Usuario KaZaA y KaZaA network
15P2P Tracking
Roger Carhuatocto – 24.Jun.04
Análisis de la red FastTrack con Ethereal 4
• Solicitud de descarga y respuesta con servicio no disponible
Hash del fichero
Descarga parcial o reanuda descarga
Usuario KaZaA y KaZaA network
Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author
IP y PORT de donde descargaré el fichero
16P2P Tracking
Roger Carhuatocto – 24.Jun.04
Análisis de la red FastTrack con Ethereal 6
• ¿Y qué pasa con el resto de paquetes que se generan en otros eventos?, Ellos van cifrados!
• Es necesario decodificar/descifrar el tráfico capturado usando herramientas más sofisticadas:– Construir un “FastTrack Dissector” para Ethereal– Usar SOCKS4/SOCKS5 Proxy man-in-the-middle que permita
registrar todo el tráfico saliente y entrante. Esto no resuelve la decodificación.
– Usar herramientas sofisticadas de análisis de tráfico de red como:• NetIntercept
• NetDetector
• DCS1000 (FBI) a.k.a. Carnivore
17P2P Tracking
Roger Carhuatocto – 24.Jun.04
FastTrack Dissector para Ethereal
SNIFFER
ANALIZADOR
DISSECTOR
ETHEREAL
1. Captura el tráfico de red
2. Descrifra o decodifica el tráfico
3. Se analiza y se presenta
CLIENTE SUPERNODO / CLIENTE
18P2P Tracking
Roger Carhuatocto – 24.Jun.04
FastTrack Dissector para Ethereal
CLIENTE SUPERNODO / CLIENTE
SOCKS
PROXY SERVER
ANÁLISIS Y DECOFICACIÓNEN OFF/ON LINE (similar a Achilles)
19P2P Tracking
Roger Carhuatocto – 24.Jun.04
Tracking
• Identificar al usuario P2P (IP, Port, client, username, etc.)– Network sniffing con Ethereal
• ¿Qué fichero (parcial o total) quiere descargar o está descargando?– Network sniffing con Ethereal
• ¿Qué otros ficheros tiene el usuario?– Descifrar/decodificar, ingenieria reversa al protocolo– Network sniffing con Ethereal
• ¿Quién más tiene el fichero?– Descifrar/decodificar, ingenieria reversa al protocolo– Network sniffing con Ethereal
20P2P Tracking
Roger Carhuatocto – 24.Jun.04
Herramientas de análisis de tráfico de red
• Sirven para obtener información a partir del tráfico de red• Sirven como herramientas de soporte a procesos de Digital
Forensics, aquí la información a analizar no es un H.D., es el flujo de la red.
• Características que debe cumplir las herramientas:1. Soporta formatos para import/export2. Reconocimiento e interpretación de muchos protocolos3. Reducción de datos4. Ficheros conocido (usan MD5, SHA1,..)5. Recuperación de datos: extracción, reconstrucción de fragmentos6. Recupera data oculta: tráfico anómalo, esteganografía7. Capacidad de búsqueda de cadenas, documentación, integridad,
fiable/completo, seguro.
21P2P Tracking
Roger Carhuatocto – 24.Jun.04
Referencias 2
1. Sniffing (network wiretap, sniffer) FAQhttp://www.robertgraham.com/pubs/sniffing-faq.html
2. Wikipedia - FastTrackhttp://en.wikipedia.org/wiki/FastTrack
3. WinPcap: the Free Packet Capture Architecture for Windowshttp://winpcap.polito.it/misc/links.htm
4. Detecting evasive protocolshttp://www.p2pwatchdog.com
5. Ethereal Stuff - Writing a Dissectorhttp://www.richardsharpe.com/ethereal-stuff.html
6. Replay captured network traffichttp://sourceforge.net/projects/tcpreplay
7. Securing Your Network against Kazaahttp://www.linuxjournal.com/article.php?sid=6945
22P2P Tracking
Roger Carhuatocto – 24.Jun.04
Alternativas al inseguro P2P
• Para el canal: oculta el tráfico y hace dificil su identificación– Proxies– Tuneles cifrados
• Para el cliente– Cifrado e Integridad de los datos– Anonimicidad del usuario
• Para el supernodo/servidor– Freenet
23P2P Tracking
Roger Carhuatocto – 24.Jun.04
Referencias 3
1. Encrypted File Sharing: P2P Fights Backhttp://www.technewsworld.com/story/34052.html
2. Wikipedia – Freenethttp://en.wikipedia.org/wiki/Freenet
3. Web serving publishing, secure sharinghttp://www.badblue.com
4. WINW is a small worlds networking utilityhttp://www.winw.org
5. MUTE File Sharing - Simple, Anonymous File Sharinghttp://mute-net.sourceforge.net/
6. GNUnet - decentralized, peer-to-peer networking, link-level encryption, peer discovery and resource allocation.http://en.wikipedia.org/wiki/GNUnet
7. I2P - an anonymous communication networkhttp://www.i2p.net
8. Mnet is a distributed file storehttp://mnetproject.org