17 junio 2013

Hacker Épico (edición Hache)

Ola, ke 'Hache'?



Antes de nada quería agradecer a la gente de SbD el permitirme exponer aquí mi punto de vista, que al fin y al cabo es el que vale. Ya que la historia habla de mi, ¿quién mejor que yo para contarla?.

Lo primero de todo, decir que no soy un niñato, ya peino canas. No voy a escribir mi nombre porque no quiero aparecer vinculado a ninguna búsqueda de la palabra 'pedofilia' en Google, pero cualquier persona que se mueva en el mundo de la seguridad, sabe perfectamente quién soy. ¿Cuánta gente ha dado charlas sobre Tor en congresos que todos conocemos, durante el último año?.

Algunas opiniones que he visto en diferentes listas de correo o en Twitter, realmente me han dolido, porque la gente habla sin conocimiento de causa. Tampoco voy a criticar a nadie dado que las opiniones se basaron en un artículo de prensa. Me quedo con el comentario más coherente, que he leído en la lista de la Rooted, el del capitán del GDT (Grupo de Delitos Telemáticos de la Guardia Civil), y con una frase en la que dice 'Como casi siempre, no podéis creer todo lo que sale en la prensa. Hay partes de verdad, y otras de ficción para adornar la historia y construir un buen artículo'.

Y para aclarar un poco lo sucedido, voy a tratar de ser lo más claro posible para que todo el mundo lo entienda.
  • Para unas investigaciones, he programado un crawler que recorre páginas web dentro de la red Tor, con la finalidad de crear una base de datos de URLs. Lo mismo que hace Google, pero con dominios '.onion' y con un sencillo script de andar por casa. Es decir, no he inventado la penicilina, simplemente he creado un crawler, spider, araña o como lo queráis llamar, que por cierto, anda ya circulando por Internet.
  • He lanzado ese script durante 2 meses para que indexe todo tipo de páginas y crear un buscador de dominios '.onion'. Evidentemente la función del crawler es indexar y categorizar todas las URLs que encuentre y no sólo webs de contenido pedófilo.
  • Todo el análisis de páginas web se ha realizado dentro de la red Onion y no usando pasarelas de Internet del tipo http://tor2web.org.
  • Como aclaración, el crawler NO descarga fotografías ni vídeos, ni siquiera de forma temporal. Es decir, no sigue enlaces a archivos que no sean los típicos (html, php, asp, jsp, etc).
  • El FBI 'monitorizando' conexiones (no voy a entrar en la legalidad de esto en España) detecta accesos de mi script hacia un foro de pedófilos, o sea, conexiones desde mi IP. Por tanto, decide alertar a nuestras autoridades de la existencia de un posible pedófilo.
  • Llega la orden a España y sin dilación ni comprobación alguna, un juez autoriza que me realicen un registro (algo correcto según la ley española).
Aclaración: es una operación a gran escala, donde yo soy uno más y, evidentemente, hay mucha gente implicada en diferentes lugares del mundo que habrán sufrido mejor o peor suerte que yo.

Es fácil de entender, ¿no?. Creo que en ningún momento se habla de justiciero que va reventando webs, de ciber-vigilante cazador de pedófilos, ni de nada por el estilo. Simple y sencillamente, se han monitorizado accesos a un blog pedófilo, que provenían de mi IP, así de sencillo.

Ahora, sin tener yo mucha idea de leyes, me surge una duda: en Internet se interviene un servidor por realizar actividades ilegales de la índole que sea, se miran los logs, se pide una orden judicial para ver quién está detrás de las IPs y se investiga a dichas personas. Hasta ahí todo correcto, pero si a España llega una orden del FBI diciendo que, usando técnicas de espionaje al más puro estilo americano (e ilegales en nuestro país), hay una IP que ha accedido a un foro pedófilo (recuerdo que el capitán del GDT ha comentado en la lista de la Rooted: 'los tipos penales son tenencia y/o distribución…..no la visualización o acceso voluntario'), ¿es motivo suficiente para que un juez mande arruinar la vida de alguien?. Dejando a un lado la parte legal, ¿no es mejor que tras la denuncia del FBI, la policía española inicie su propia investigación para corroborar esto?.

El tío la vara (licencia para hackear)

Bien, y ahora la segunda parte y, que NO tiene nada que ver con la orden de registro ni con la detención. Dentro de todas las webs indexadas por el crawler, se tuvo que hacer una selección de diferentes temáticas para nuestra investigación, y no sólo de páginas pedófilas que es en lo que parece que se centra todo esto. Aparte de ver webs de armas, drogas, asesinos, tarjetas de crédito, etc, aparecieron multitud de foros pedófilos.

“Cualquier hacker que no haya puesto una comilla en una web para ver si tiene algún fallo de SQLi, que tire la primera piedra”

Con esto quiero aclarar también que ha habido una confusión entre lo que se ha escrito en el artículo y lo que mucha gente ha interpretado. Lo repito de nuevo para que quede claro: NO se me detuvo por atacar ninguna web. Se me detuvo por lanzar un crawler que accedió a un foro concreto y, que supuestamente estaban monitorizando.

Aparte, sí, es cierto que en un foro pedófilo, cuyo administrador era ruso, puse una comilla y que me dio un error. Y que a partir de ese error vi que se podía extraer toda la base de datos. Y que con un 'SELECT COUNT(*)' vi que había más de 30.000 pedófilos registrados. Y que sin descargarme datos de nadie, creé un script que tras ejecutarlo sería capaz de dumpear toda la base de datos.

Este script se lo envié al GDT, por si ellos podían y querían hacer uso de él para extraer esos datos. Tampoco fue de mucha utilidad dado que tras hablar con uno de sus agentes, alguien a quien muchos conocemos y que personalmente aprecio bastante, me dijo que eso no podía hacerse, puesto que era ilegal hasta para ellos.

¿He cometido un delito por poner una comilla? Si gracias a eso meten en la cárcel aunque sea a un sólo pedófilo, pues pagaré gustosamente la multa por ello, pero que quede claro que no soy un justiciero y, ni mucho menos, un pedófilo.

Y aquí llega la parte de aclaraciones, acerca de todos los comentarios que he visto en diferentes lugares …
  • Lo más importante, no tengo nada que ver con ningún cuerpo del estado. Nadie me ha pedido nada. No colaboro con nadie. No soy un hacker a sueldo. Simplemente informé inicialmente al GDT de la investigación que estaba realizando, sobre lo que he ido encontrando, y posteriormente les cedí el crawler por si les era de utilidad.
Tal y como comenta el capitán del GDT, desde el principio de la investigación lo primero que me ha dicho el GDT es 'cuidado con lo que haces' y cuando he tenido el problema, su ayuda ha sido crucial y me han ahorrado bastantes disgustos dando la cara por mi. Un 10 por la gran labor de todo el equipo del GDT.

  • Por otro lado, no he descargado ningún tipo de material pedófilo, ni fotografías, ni vídeos, ni nada. Lo digo porque en algunos comentarios he visto gente que, sin pruebas, me acusa de ello, simplemente por conclusiones propias que han sacado tras leer el artículo. Como he comentado antes, el crawler NO descarga ni imágenes ni vídeos.
  • No tengo ningún dump de ninguna base de datos hackeada. Repito que hice la herramienta que permitía dumpear la base de datos de un foro concreto y la facilité al GDT por si ellos podían usarla legalmente, pero no me dediqué a extraer de forma ilegal ningún dato, que por otro lado, tal y como dijo Alejandro Ramos, moralmente me hubiera apetecido sacar los datos de los 30.000 personajes y publicarlos en Internet, pero no lo hice.
  • No me dedico a buscar webs de pedófilos ni para denunciarlas ni para reventarlas. Todo ha ocurrido, como he comentado ya decenas de veces, por una investigación acerca de lo que se encuentra en la Deep Web, es decir, por preparar una conferencia.
No soy un justiciero ni nadie que dedique su tiempo libre (que por cierto es muy poco) a cazar pedófilos. Si me topo con alguna web de este estilo me hierve la sangre, al igual que a cualquiera que esté leyendo esto, pero sé de sobra que nadie se puede tomar la justicia por su mano y no es algo que yo haga tampoco.
  • ¿Por qué he lanzado el crawler desde casa? ¿soy tonto? ¿un novato? Simplemente, porque no hacía nada ilegal.
Bueno y como resumen de esta desagradable historia, al menos para mi, recalcar una vez más que NO se me ha detenido por 'hacking' sino por posible 'corrupción de menores'. Sí, suena fuerte, pero es así.

Y lo que quiero decir con esto es que los comentarios que he leído en la lista de la Rooted del tipo 'alguien me argumenta la pederastia para pedir poderes excepcionales' o 'me descargo fotos de niños desnudos porque soy un luchador por la libertad' y demás, pues aparte de dolerme por venir de alguien a quien consideraba amigo, están totalmente fuera de lugar, porque repito que todo ha ocurrido por realizar accesos desde un script a páginas HTML de un foro determinado y no por ser 'el tío la vara' ni 'Duckman'.

Mi primera vez

En el artículo también se hace referencia a otro caso de hace unos años en el que visitando una web, que no tiene nada que ver con todo esto, vi unos mensajes despotricando sobre un foro de pedófilos. Entré en ese foro, y vi un montón de comentarios de gente hablando sobre 'sus hazañas' como el que habla de recetas de cocina. Me dio tanta grima que me puse a indagar un poco.

Con un whois vi que el dominio estaba registrado anónimamente pero una geolocalización de la IP situaba el servidor en Barcelona. Además, accediendo por web a la IP en lugar de al dominio, se podían ver una serie de directorios con copias de otros foros previamente desmantelados por las FCSE en diferentes operaciones.

Además de enviar un informe detallado a la Brigada de Investigación Tecnológica (BIT) del CNP y a diferentes asociaciones anti-pedofilia, se lo comente al 'amigo' que aparece aquí:


y que no tardó en hablar con la prensa diciendo que todo lo había hecho él.

Como curiosidad, la primera vez alerté al CNP y apareció en mi casa la GC enviada por los Mossos. La segunda vez alerté a la GC y apareció en mi casa el CNP … ¿hay una comunicación fluida entre los diferentes cuerpos policiales? Yo creo que no. No dudo que a posteriori exista una comunicación, tal y como afirma el capitán del GDT, y como se ha demostrado en mi caso, pero creo que sería muy interesante un cruce de información inicial para evitar no sólo estos temas sino posibles investigaciones paralelas.

Oiga, pero Tor ¿no es anónimo?

Dejando de lado los motivos de la detención, que creo que han quedado más que claros (si tienes más dudas escribe a hache@salvame_deluxe.es), supongo que mucha gente se hará esta misma pregunta. ¿Cómo te rastrean desde la Deep Web?

Sinceramente yo también le he dado muchas vueltas a la cabeza y tengo algunas teorías:

Control de nodos


Básicamente el funcionamiento de los Onion Routers consiste en aplicar capas con diferente cifrado en cada nodo por el que va a pasar nuestro paquete. Un ejemplo:

  • A quiere enviar un mensaje a B, el cual pasará por 3 nodos.
  • A usando la clave pública del último nodo (el tercero), cifra el mensaje.
  • A usando la clave pública del nodo 2, vuelve a cifrar el mensaje (previamente cifrado).
  • Por último, A vuelve a cifrar usando la clave pública del primer nodo.
Y ya está listo el paquete, en este caso con 3 capas de cifrado, para su envío:
  • El primer nodo recibe el paquete y con su clave privada lo descifra (aún así seguirá teniendo 2 capas de cifrado). Luego lo envía al nodo 2.
  • El nodo 2 realiza la misma operación, descifra con su clave privada y manda al nodo 3.
  • El último nodo (en este caso) descifra el mensaje obteniendo el paquete en claro, que entregará al destinatario, a B.

Aclarar también que cada nodo únicamente conoce únicamente la ruta hacia el nodo siguiente.

Y aquí tenemos 2 puntos débiles:
  • Por un lado, la conexión con el último nodo no va cifrada y si alguien monitoriza ese nodo, verá toda la comunicación en claro … pero esto ocurre cuando accedes desde tu ordenador a una URL pública a través de la red Tor, es decir, accedes a http://cualquierweb.com … pero en el caso de acceder a un dominio .onion no tengo tan claro que ese último paquete llegue a pasar por un nodo de salida, puesto la comunicación NO sale de Tor.


  • Por otro lado, supuestamente el primer nodo, donde la información va cifrada, es el que comunica directamente con tu IP y el que mediante diferentes ataques puede revelar tu identidad.


Y no creo que diga ninguna tontería al suponer que diferentes cuerpos policiales americanos controlan muchos nodos de salida.

Control de descriptores

A diferencia de la Open Web que usa servidores DNS, en la Deep Web, cuando tratamos de acceder a un dominio .onion, nos descargaremos los descriptores de una tabla de hashes distribuida, donde realizaremos la consulta y de donde obtendremos información para llegar a nuestro destino. ¿Y si alguien altera los descriptores de ciertos Onion Router y nos envía a un servidor controlado en lugar de al destino solicitado? ¿Es posible realizar algún tipo de ataque MITM?.


DNS Leaks

Pancake (@trufae) me planteó otra posibilidad que me parece bastante coherente e interesante.



¿En qué consiste un DNS leak? Como se puede apreciar en la imagen, a pesar de que realicemos una comunicación segura a través de una VPN, o en este caso, hacia la red Tor, las consultas DNS se realizan antes de establecer la comunicación.

¿Cuánta gente utiliza las DNSs de Google? Esas que son tan rápidas resolviendo, tan fáciles de recordar y totalmente gratis? Yo soy uno de ellos.

Ahora imaginemos sobre el dibujo anterior que se hace una petición al dominio xxxxx.onion:
  • Mi equipo intenta resolver ese dominio a través de mi servidor DNS (el de Google).
  • No resuelve pero continúa la navegación usando la red Tor.
  • Y la consulta con Google está hecha, donde perfectamente han podido guardar un registro de la URL a la que estaba intentando acceder, desde mi IP, antes de entrar en la red Tor.

Honeypots

¿Quién dice que la web destino, dentro de Tor, no sea un cebo? Siempre cabe la posibilidad de que sea un foro falso montado por el FBI, que tengan un 0-day que afecte a navegadores, y que cuando entre un 'visitante' le infecte, o que traten de colarte algún tipo de malware o troyano … aunque este no sería el caso dado que un crawler ni descarga ni ejecuta.

Diferentes técnicas de ataque a redes Onion

Recomiendo la lectura de:


donde se explican diferentes técnicas para atacar redes Tor, como por ejemplo:
Stream Correlation
Consiste en tratar de ver la correlación de diferentes paquetes capturados. Al estar los datos cifrados, es necesario usar otras técnicas como análisis de tiempos, recuento de paquetes, etc.
Clogging
Consiste en saturar X nodos para forzar la comunicación por uno concreto. Esto actualmente con miles de nodos, no es viable.
Round-Trip Travel Time
Consiste en un ataque desde el servidor destino, que recibe el mensaje, y desde donde se intenta forzar al cliente a realizar un número elevado de conexiones o redirecciones para analizar la frecuencia del tiempo de ida y vuelta. Si esta frecuencia es similar, se puede asumir que las conexiones provienen de una misma ruta.
Metrics for Tor Traffic
Consiste en analizar los factores que provocan, según la definición del algoritmo, las diferentes decisiones que pueden tomarse para que se escoja un determinado nodo (tráfico, latencia, etc).
Correlation Algorithms
Básicamente, controlando el nodo de inicio y el nodo final de un circuito, se trata de comprobar las tramas recogidas en el nodo final (en claro) con las recogidas en el nodo de inicio (cifrado) para buscar una asociación entre ambos.

Reflexiones


No quiero pensar mal pero también que existen muchas papeletas de que el tío Sam apuntara su dedo hacia mí por intercambiar conversaciones a través de Gmail con mi compañero de investigación … y con esto volvemos al todopoderoso Google … ¿leen mis correos? ¿poseen filtros de palabras que hacen saltar alarmas? Si es el caso (algo que nadie duda), ya que leen, que lean todo para poder obtener una visión global de toda la comunicación. Podemos imaginar a un periodista realizando su tesis doctoral sobre terrorismo y realizando búsquedas en Internet que puedan hacer saltar algunas alarmas y, tal y como me ha ocurrido a mi, pasar un mal trago por ello.

Creo que queda en cada uno la decisión de sacrificar tecnología por privacidad. ¿Quiero hacer fotos con el móvil y que, sin ningún esfuerzo, aparezcan solas en mi ordenador? ¿Quiero que mis amigos del pueblo vean mis fotos de la playa? El peaje por ello es que el gran hermano tendrá copia de todo, extraerá los metadatos, sabrá dónde las has tomado, con quién has estado, tu forma de vestir, tus gustos culinarios, …

Tened cuidado ahí fuera y, no hagáis nada malo.

Hache

67 comments :

Rafa dijo...

BRUTAL

chambertuX dijo...

Sin ser un experto en seguridad ni nada de eso, cuando leí lo sucedido en el diario.es, no me fue nada difícil saber que hiciste y que te sucedió. Yo mandé en dos ocasiones alguna cosa relacionada con la pedofilia y anduve bastante acojonado. Tiene mas impunidad el usuario pedófilo habitual que cualquiera de nosotros que por error o desconocimiento entre o difunda con buena intención cualquier dirección o foro relacionado con la pedofilia. Esta claro que gracias a personas como tu que a sabiendas que se arriesgan, se podrá erradicar una mínima parte de esta mierda que tenemos en la red. Saludos y un abrazo desde Euskadi.

Alejandro Ramos dijo...

No se que me ha gustado más, si que contases con SbD para explicar tu historia, si la historia de lo que ha pasado (ya sabes, un hacker no es más que un marujo cotilla con rulos y teclado) o el repaso técnico a Tor.

Gracias Hache!

Un admirador.

Emilio dijo...

Gracias Hache! por contar todo en primera persona. :) Y ¡¡ Enhorabuena por la investigación !!, gran trabajo, aunque hayas tenido que pasar por ese mal trago :(

xxxxxx dijo...

Ese manual de leyes no escritas sobre hack te saltaste la de NUNCA, NUNCA, uses tu propia conexión!, joder, haberle juankeado la conexión al vecino, y lo divertido que hubiese sido al ver a la GC en la casa del vecino xD

Alister (ITEA SEC) dijo...

Me sumo al comentario de AR.
Saludos
AA

vierito5 dijo...

Genial y una aportación fundamental :)

w_h_d dijo...

Y yo. Gran trabajo. Gracias.

w_h_d dijo...

Al no haber hecho nada ilegal, no se esperaría todo esto. Evidentemente si supiera lo que iba a pasar, habría actuado de otra forma.
El comentario es IMHO, claro.

APOKLIPTIKO dijo...

Increíble leerlo el relato viniendo del propio implicado, aunque leí todo lo que se escribió en la lista de la rooted esperaba que el propio Hache explicara las cosas (si así le parecía claro está) y tal cual lo pensé desde el comienzo: todo es fruto de un mal entendido producto de una mente inquieta que vive investigando. Gracias por compartir el relato.
Un saludo,

waters dijo...

Buenas!!

Me ha encantado la aclaración, y contrastando esto, con el articulo, me queda bastante claro que lo que has hecho tu, lo hemos hecho todos antes o despues (creo que yo mi primer crawler cayo en perl, hace años ya....)

Si me gustaria que "puntualizaras" una cosilla, dado que se tiene q aplicar a ti, y a todos... cuando hicistes el select count(*), y vistes los 30.000 "pedofilos" en este caso, es mejor decir "presunto", dado que me parece mas justo. Alguien podria pensar lo mismo de ti, precisamente y solo por eso, me parece razonable llamarlos asi.

Apuntar tambien, que este pais no protege ni fomenta este tipo de cultura, y aunque tengamos algunos canas, o otros (como yo) una bonita pista de aterrizaje por cabeza, nos tomas por pequeños delicuentes en casa de mama, intentando hacerse notar.

Espero, de corazon, que todo se aclare, y que todo acabe en un pequeño susto...

Security Network Adm dijo...

Tremenda historia. Muy interesante las disquisiciones sobre TOR en la que se pueden sacar bastantes ideas claras sobre anonimato y privacidad en esta red. De todas formas, me da a mí que te ha salvado de una 'más gorda' la comunicación previa de tu estudio al GDT y, sobre todo, su posterior implicación-aclaración en el asunto.

Un saludo y ánimo con todos tus proyectos. Este del crawler de TOR estoy deseando conocerlo desde ya.

hachaza dijo...

enhorabuena tr1ana! free hache! ;-)

https://twitter.com/tr1ana/status/336830159313305600

El llanero solidario dijo...

Soy otro con canas.....uno mas. Del valiente y acertado articulo, por desgracia la manera mas util de salvar el culo, me quedo con dos cosas. Primera y mas hirviente que tenga que aparecer el no invitado fbi en ninguna fiesta que no sea suya ya que ademas el efecto que provoca es el de obediencia y sumision de nuestros propios organismos de investigación. Penoso pero real. Segundo, que visto lo visto y ademas ocurre desde hace tiempo, si descubres algo como eso puedes hacer dos cosas o informar en modo paranoid o bien te lo quedas, meditas y dices "que mal esta el mundo" entre otras cosas porque lo que sería informar de esto tiene repercusiones personales no deseadas y mucho menos merecidas. Tambien contribui alguna vez informando de un caso similar "mierdofilo". Cuando dije antes modo paranoid es paranoid: maquina no tuya, TAILS o similar, spoofed ip, wifi vecinal, cuenta correo unica y nueva y similares.


Me alegro que todo haya salido bien (poco mal) ya que el daño hacia ti se ha producido pero estoy seguro que de tu intención se obtiene un beneficio exculpatorio claro.


Un abrazo.


El llanero solidario.

Laureano dijo...

Una pequeña anécdota. Hace algún tiempo vi como de noche y al lado de mi casa llevaba mucho tiempo un coche con alguien en su interior. Dado que es un pueblo y una zona no muy poblada llame a la Guardia Civil y se armó el lio porque era un coche de la policía vigilando narcotraficantes. ? Tan importantes somos que no podemos coordinar? .
Ah y además el policia importante me vió asomado a mi valla y vino a que me identificara.

jainko dijo...

cambia ese "tener" de la línea final por el tiempo verbal adecuado.


desmerece mucho el final del artículo

gzostx dijo...

Hemos llegado a un punto en que mejor no informar de nada, se busca una sociedad impersonal, para que solo la policia y otros organismos decidan a quien detener. Soy paranoico quizas, pero en una base de datos de 30000 personas, habra de todo tipo, gente a quien no se debe molestar, y gente molestable, es decir si en esa base de datos hay alguien realmente importante, ¿se le va a proteger o detener?. Segun nos cuentas, no existe ningun error sobre tus intenciones, les estas facilitando una serie de datos, y se ve la buena fe, pero el FBI aparece, manda y nuestra policia obedece. ¿Por que?.

Luisete2222 dijo...

No te preocupes por lo que diga la gente, los que saben un poco de esto saben que no hay nada de malo en lo que hiciste y no te juzgarán...en cuanto a la policía española, qué decir, demasiadas películas americanas han visto me parece a mi...

Eres un grande Hache

Regi dijo...

No eres un justiciero, pero eres una persona honrada.
Soy estudiante de seguridad informática y me aterra lo que ocurren en la Deep Web te encuentras desde lo mejor, hasta lo peor...
A seguir trabajando y no dejar que un sustillo nos aparte de nuestros queridos sistemas "pinguino". Un saludo.

jal dijo...

A veces es horrible cuando intentas ayudar y sólo recibes golpes, te quita las ganas...

alejandro rivero dijo...

¿Vas a publicar en algun sitio una comparacion entre las paginas encontradas por tu scan y las que encuentra un buscador normal (google, bing) cuando indexa el dominio tor2web.org o similares?

E dijo...

Las chicas (con canas teñidas) también te seguimos, mucha admiración desde Barcelona. Un abrazo.

hytom dijo...

PEAZO ARTICULO! (y)

hytom dijo...

y usar un proxy para emarronar a alguien y hacer que se lo lleven por pedofilia...interesante!

Jose dijo...

Posibles ataques:

1) Poner una imagen que apunte a un servidor propio (la la "clear web") esa imagen, metería una cookie si es posible y mandaría un 302 a otro subdominio (este único para cada petición) de este modo tienes cada visita a esa web concreta de la dark web fichada, ya que el servidor de DNS (si es google o tu ISP) dice a qué subdominio ha pedido resolución cada IP.

2) Comparar tiempos y hacerse con varios nodos dentro de la red tor: Algo acabarás sabiendo, al menos de algunos usuarios.

3)Vulnerabilidades del navegador.

Métodos hay varios. Me inclino porque hayas usado un useragent concreto en tu crawler, descargado recursos de la clear web o entrado en algún foro normal (dominio sin .onion) al que hayas intentado el sql injection.

La explicación más sencilla suele ser la buena.


Yo también ando investigando sobre los servicios web de tor, funcionamiento, resolución, sobre los nombres de dominio i2p u otros vinculados al uso de bitcoin. Me gusta el concepto, claro que no hago nada ilegal, de ahí que también use la conexión de casa y no me esconda :) nadie se espera no haciendo nada reprobable que le registren la casa.


Ánimo y me gustaría ver tu conferencia o al menos algún paper y el propio crawler. Le veo potencial a la red tor, aunque se use mal en ocasiones, no se van a prohibir los cuchillos porque haya asesinatos.


A los que dicen que los que investigamos sobre temas de seguridad tenemos menos derechos que los pedófilos les diría que se equivocan, a los pedófilos se les acaba cogiendo, aunque se tarde y van a la cárcel.

Alberto dijo...

¡Animo! Yo no se si hubiera resistido la tentación de publicar la lista de enfermos mentales del foro.

UnoMás dijo...

No debes entrar en tal paranoia, piensa mal y acertarás. Las IPs de cuando hablaste con los "amigos" policías enviando correos para "ayudarles" son las que te han delatado y metido en ese marrón. Buen artículo.

Otak4 dijo...

Moraleja no invites a varias agencias solo a una, porque te van a caer varias veces en csa y me gusto “Cualquier hacker que no haya puesto una comilla en una web para ver si tiene algún fallo de SQLi, que tire la primera piedra”

CarloX dijo...

Hola,

Es que ya esta bien de no poder usar las conexiones, de no fiarte del telefono, de no fiarnos de las llamadas... de no fiarnos de nuestro Win, o de nuestro MAC. Mañana sera el kernel el que tiene un backdoor que habla con el Gran Hermano... o quien te dice que no hay idp's leyendo cualquier tipo de trafico?. La cuestión es que, sin ser paranoicos, nos estamos cuestionando absolutamente todo. Y en el fondo, quizas deba ser así. Quizás haya que pensar que absolutamente nada es confiable. Quizás deberiamos analizar el porcentaje abrumador de americanos que prefiere ceder su privacidad por la seguridad. Este debate es mas amplio.. y si alguien hace un scan de una red y le "cae" una BBDD por poner una coma de mas.. joder, cuantos recursos se han movilizado por algo que NO es ilegal? (supuestamente)

Anon dijo...

Creo que una de las declaraciones que encontraste en las redes sociales fue producto mío (sobre los poderes excepcionales). Pido disculpas por haber afirmado algo sin conocer el transfondo, en adelante intentaré no precipitarme a sacar conclusiones.

Y gracias por la información sobre la red Tor.
Saludos.

elDudas dijo...

A ver si eres tan amable de explicar bien como rastrear usuarios de la red Tor que han visitado ciertas web dentro de ella con cookies.


Bien, supongamos que pones la imagen esa, que apunta fuera de la red tor, el navegador dentro de tor la visualiza "anónimamente" desde tor, se le mete la cookie que tu quieras y luego qué pasa? Esperamos a que desde fuera de la red tor el usuario visite esa web propietaria de la imagen y así gracias a la cookie le identificas? No sería eso algo improbable?

Quizás no lo haya entendido bien y hayas encontrado una forma simple de rastrear a gente en tor por medio de cookies locas. A ver si lo puedes aclarar

Manuel Bocos dijo...

Yo creo que las leyendas Urbanas de ECHELON tienen poco de leyenda y si entonces había eso que no habra ahora? Lo que me sorprende es que la gente se lleve las manos a la cabeza cuando salen cosas como lo del PRISM, cuando se sabe hace mucho de la regla de oro por la que toda empresa con negocio en USA tiene que dar la info que tenga de quien sea sin chistar al tio SAM. Un poco lo de siempre, si quieres privacidad, como te fias de un nodo de sabe dios donde y sabe dios quien? doy por seguro que probablemente todas las agencias de inteligencia tengan honey pots en la TOR, y seguramente algunas organizaciones no gubernamentales también, hace no mucho los de karspersky fliparon con una red digamos "clandestina" que pillaron usada para sabe dios que (no legal) de la que nadie parecia saber.



Muy bueno el articulo :)

gnumax dijo...

Que las Fuerzas de Seguridad del Estado NO están coordinadas en materia de intercambio de información, no es ninguna novedad y debería ser asunto nacional que así fuese.

Felicito tu estoicismo frente a la "odisea" que has pasado por hacer lo que otros hubiésemos hecho en tu lugar.

Que TOR es "vulnerable" y "muy escuchable" lamentablemente es algo que queda de manifiesto desde hace tiempo y que tu has ilustrado de forma muy clara dada tu experiencia en estas lides. Ni siquiera las implementaciones y mejoras de un TOR dentro de TAILS son suficientes para evitar un MiTM o que los que tienen acceso a todos los logs de Google y otros (altamente demostrado en el caso PRISM) puedan finalmente escuchar lo que les plazca.

Estoy contigo!! ;)

karcrack dijo...

Me ha encantado. Muy bien redactado y lleno de reflexiones.

Indignado7777 dijo...

DICES "¿He cometido un delito por poner una comilla? Si gracias a eso METEN EN LA CÁRCEL aunque sea a un sólo pedófilo, pues pagaré gustosamente la multa por ello "

El problema surge si con tu labor metieran en la cárcel a personas como tú que nada tienen que ver con los abusos sexuales infantiles.

Indignado7777 dijo...

Yo fui detenido en una redada P2P de la BIT por pornografía infantil en el año 2006. El criterio policial fue la aparición de mi IP pública en un metadato P2P localizado con un eMule Plus utilizado como rastreador durante cuatro minutos. Sí, una redada basada en una única descarga P2P.



El agente tradujo ese evento digital en presunción de placer en esa única descarga QUE NUNCA HALLARON EN MI CASA. También fui acusado de CORRUPCIÓN Y PROSTITUCIÓN DE MENORES. Después de cuatro años de pesadilla, fui absuelto en 2010.
http://indignado7777.wordpress.com/2008/12/11/un-resumen-de-mi-caso/



Lamento mucho tu situación. Tú al menos has tenido el apoyo del GDT para dar la cara por ti. Por los detenidos P2P nadie da la cara. Los detenidos P2P somos venididos en los medios como pederastas y nadie levanta la voz. Ni siendo absuelto te quitas esa loza de la cabeza.

Debido a mi blog, que creé después de mi detención, tuve encontronazos con el joven webmaster de protegenos.com. Yo no soy pedófilo, pero creo que para quitar la bruma que estos asuntos generan debemos separar entre parafílicos (mentales) y pederastas (abusadores). Por tal motivo ese joven puso mi blog en su lista de "web pedófilas" y eso me está costando el acoso constante del perturbado de Joshua el colombiano (supongo que muchos ya lo conocen) y las críticas de Marcelino Madrigal.



En mi opinión la afición a cazar pedófilos está convirtiendo la Red en un lugar caótico. Las presunciones remotas fallan como escopetas de feria. Si a tu casa entrarón porque tu IP fue detectada en EEUU, los cientos de detenidos P2P de las redadas Carrusel y Ruleta lo fueron porque sus IP aparecieron en Brasil en un software llamado SpyMule (un sucedanio de eMule utilizado para leer metadatos públicos en las redes P2P). En muchos casos estos detenidos P2P no eran los infractores, pero la loza que les han puesto sobre sus cabezas será difícil de quitar.


Quede constancia que condeno cualquier tipo de abuso sexual infantil y defiendo que la esfera sexual de la infancia debe ser protegida de cualquier ingerencia por parte de un adulto. Antes de ser detenido yo ladraba contra todo lo que sonara a pedofilia. Ahora inevitablemente separo y creo que es urge separar para evitar errores como el que tú has padecido.

Indignado7777 dijo...

Al moderador de los comentarios. Si no considera la publicación de mis comentarios, ruego remita mi post y mi correo a HACHE. Gracias.

Hache dijo...

¿Me vas a comparar introducir una comilla con ser un pedófilo? Indignado7777 sé que te mofas por todo Internet de que te gustan los niños y de hecho ya te han detenido por ello. Espero que vuelvan a hacerlo.

Alejandro Ramos dijo...

tal vez solo lo haya visto yo en el mail, he entrado via web (estaba cenando en la cocina xD) y no se te ve.
otra opcion es que lo hayas quitado tu, sea como sea, no se ve nada ahora

2013/6/18 Disqus

Yo soy aquel dijo...

Artista, vamos a ver ... Indignado de que? de jugar con niños? ...

"...como tú que nada tienen que ver con los abusos sexuales infantiles."... si de eso, ya sabes tu mucho ... !! ;)

Manuel Bocos dijo...

Me emocione con las redes TOR y pase por alto lo mas importante, darte las gracias Hache a ti y a la gente como tu que colabora para poner a disposición de los cuerpos de seguridad del estado a semejante gentuza. Chapó

María García dijo...

Pues 30.000 hijos de Satanás que antes o después recibirán su merecido. Pero si mientras hay alguien valiente que si se los encuentra (aunque sea por casualidad) intenta hacer algo... para mí lo que se merece es un aplauso. Me alegro de haber conocido el testimonio de primera mano.

Pero hay cosas que se me escapan. ¿Acceder a páginas de pedófilos no es delito? (!) Y ¿desde cuando el FBI tiene jurisdicción en España? O sea, que aquí no es delito, pero como allí sí, vienen y se la lían. ¿Y por qué no se la lían a los 30.000 que estaban dentro hablando de guarradas?

Por otra parte, me he metido en la rooted, pero no encuentro el hilo ese del que habláis. Si alguien fuera tan amable de copiar el enlace...



Para terminar, todo esto de Hache me ha recordado una cita de Jardiel Poncela: "Las cosas importantes, las únicas cosas importantes que existen en el mundo, se escriben con hache, y, por el contrario, se escriben sin hache las infinitas cosas que no tienen importancia." ¿Como "espías"?

(A los espías que lean el foro: que no se enfade ninguno; que es broma, son cosas de Jardiel y la ortografía no la pongo yo :-)

Guest dijo...

Yo no me dedico a cazar pedófilos, no se si lo has leído bien el post. Soy un investigador de seguridad.


Conozco a Joshua (de oídas) y su causa. Si dices que no eres un pedófilo yo no soy quién para juzgarte. En ese caso, siento que pases por esto.


La primera vez no tuve apoyo de nadie y ni siquiera me detuvieron, porque no tenía nada, al igual que tampoco tenía la segunda vez. Si no has hecho nada malo, todo se aclara con el tiempo aunque se pase un mal trago.


Y lo que no entiendo es tu comentario inicial. ¿Qué quieres decir con eso de 'personas como tú' ¿soy un bicho raro?

asdas dijo...

" "

indignado7777 dijo...

Vaya! veo que los únicos que interpretan mal unas comillas no son los del FBI. He dicho que con esta cacería de pedófilos que reina en la Red es posible que en la cárcel existan personas que nunca han abusado de ningún niño.

indignado7777 dijo...

No hombre. Me refería a la frase: "Si gracias a eso METEN EN LA CÁRCEL aunque sea a un sólo pedófilo, pues pagaré gustosamente la multa por ello". Creo que ese pensamiento, lejos de aportar soluciones al problema, genera otros: falsas imputaciones, vidas destrozadas, etc.. Además de ser una medida (meter a los pedófilos en la cárcel) que creo que no protege a la infancia. A la cárcel deben ir los pederastas. Los pedófilos deben recibir terapia para que nunca se conviertan en pederastas.

Tener una idea distinta de este problema me suele mandar a la esquina de los apestados. Pero no, NO SOY PEDÓFILO.



MI MOTIVACIÓN: analizo la HISTERIA DIGITAL que genera esta situación que nos ha llevado tanto a ti como mi a recibir una imputación por CORRUPCIÓN Y PROSTITUCIÓN DE MENORES. Tú por unas comillas y yo por un metadato.

Mientras, los abusos sexuales infantiles siguen ocurriendo en el ENTORNO CERCANO de los niños, lejos de Internet. La inmensa mayoría de los abusos suelen ocurrir en el silencio del entorno cercano sin generar evidencias digitales en forma de pornografía infantil.

Dime una cosa ¿realmente hallaste pornografía infantil en el servidor de Barcelona? DICES: "Entré en ese foro, y vi un montón de comentarios de gente hablando sobre 'sus hazañas' como el que habla de recetas de cocina."
Posiblemente estoy equivocado, pero tengo la impresión de que el joven pedófilo que tenía alojado en su PROPIO DOMICILIO ese servidor no era tan estúpido como para permitir el intercambio de pornografía infantil desde su propia casa.
¿Hallastes evidencias digitales del delito o sólo relatos hirientes en su lectura?

indignado7777 dijo...

SEPAREMOS.

Ciertamente es incomprensible que a HACHE lo hayan detenido por acceder a un foro "pedófilo" y que su IP fuera pillada por el FBI. Es incomprensible porque eso no es delito en España = No está en el Código Penal.

Acceder a páginas de pedófilos = lugar dónde los pedófilos "hablan" de su parafilia no es delito en España, mientras:

1) en esas páginas no se haga apología de la pederastia = se escriba que se va a abusar o cómo abusar de un niño, ya que esta situación podría provocar que la policía obrara de oficio por temer que un menor pudiera ser abusado.

2) no se facilite enlaces o se difunda desde ese site pornografía infantil (189.1.BCP).

Acceder a páginas web que contengan pornografía infantil, de momento tampoco es delito en España. Con el próximo código Gallardón, lo será. Ver las imágenes de un delito (abuso sexual infantil), será delito. Esto es importante que lo sepan sobretodo los cazapedófilos:
https://indignado7777.wordpress.com/2012/11/06/codigogallardon-art-189-5-ver-un-delito-sera-delito/

Y antentos, con el nuevo código Gallardón, pornografía infantil será toda aquella imagen que "parezca ser un menor"
https://indignado7777.wordpress.com/2013/05/22/codigogallardon-pornografia-infantil-sera-una-imagen-que-parezca-ser-un-menor/

chemi dijo...

Me he quedado a cuadros, y eso que habia leido dos o tres articulos en prensa general.
A cuadros por un lado por como la gente, habiendo leido, probablemente, los mismos articulos que yo puede sacar conclusiones tan equivocadas, más aún, cuando dices que incluso algunos eran gente conocida o a la que apreciabas. Y a cuadros por lo interesante de tu trabajo sobre la deep web.


Solo puedo darte la enhorabuena por dicho trabajo y todo el apoyo, aunque sea "virtual".

Jose dijo...

El tema no es la cookie, que se pondría para rastrear incluso mejor, lo importante es la consulta al DNS:

img src=servidor.tld/imagen.php?web=tor.onion

De ahí, el php (que puede ser un gif o lo que quieras con url rewriting) almacena una cookie (innecesario, pero si se puede mejor) y hace un 302 hacia un subdominio creado sobre la marcha con un ID único y guarda ese ID único en una base de datos. Imaginemonos que el ID único es: 3X5R7U:

3X5R7U.servidor.tld/imagen.loquesea

Y ahí tienes que si el usuario de tor no ha configurado correctamente su navegador para que las peticiones DNS las resuelva el proxy, la solicitud de resolución: 3X5R7U.servidor.tld la hará su ISP local o bien las de google si las tiene configuradas: 8.8.8.8 (y firefox por defecto sin configurar hace la petición DNS localmente).

Bien, la cookie ¿para qué? sencillo, cualquiera puede hacer una petición a: 3X5R7U.servidor.tld/imagen.loquesea y no sabes si viene de tor (teóricamente, ya que con el referer lo sabrias) entonces si has asignado la cookie correcta antes (un código adicional cualquiera) puedes demostrar fehacientemente que esa persona que ahora ha hecho la petición DNS es el usuario de la red tor y no uno externo. La cookie es innecesaria, pero añade una capa más de "certeza".

Ahora sólo te hace falta ser EEUU y pedir a google u a otros ISP información sobre qué IP ha resuelto el subdominio: 3X5R7U.servidor.tld en la fecha X.Y.Z y en la hora hh:mm aproximadamente.

Y este método es de los más inocentes, con análisis del tráfico de los nodos se podría saber también sin preguntar, hecha un ojo al paper que citan en el artículo.

Indignado7777 dijo...

Una aberración es entrar en casa de un ciudadano español con este tipo de acusaciones fundamentadas en indicios técnicos de dudosa credibilidad, para luego no encontrar nada, no liberar a ningún niño y no detener a ningún agresor.

Pero claro, eso importa poco, pese que para el usuario ya es tarde porque ya se le ha ejecutado socialmente. HACHE creo que ha podido experimentar esta situación.

Hydria dijo...

Este articulo es una maravilla

Capo dijo...

Da gusto leer información de primera mano. Y lo del repaso técnico a Tor hace del artículo un post épico. ;-)

Sólo añadir que la posibilidad del "DNS leak" es, de hecho, conocida y popular entre la comunidad Tor. Pero no debería suceder si usas el Tor Browser Bundle, o si, simplemente, tienes Tor bien configurado.

Hay algo de información esclarecedora sobre el tema en la FAQ de Tor: https://trac.torproject.org/projects/tor/wiki/doc/TorFAQ#HowdoIcheckifmyapplicationthatusesSOCKSisleakingDNSrequests

leonel dijo...

Amerita ir en la sección "hackeos memorables" P.-)

IvanVihe dijo...

El señor Stallman hace lustros que viene diciendo eso.

3hy! - ☠ dijo...

Acojonante, no tengo nada más que decir.

María García dijo...

Yo me acabo de enterar de que existen cosas como el i2p y el Syndie (se me está poniendo el pelo cada vez más rubio). Y me pregunto si ahí también se esconderá la misma gentuza...

elDudas dijo...

Am ok, Te referías entonces al DNS leaks. De producirse un DNS leak, con preguntarle al dns de google quien preguntó por el dominio de la web pedófila valdría XD, claro que también sirve para atacantes. Pero eso es más una falla de configuración del proxy o bien del funcionamiento de los sistemas windows que un ataque en Tor.

Los ataques mostrados en el paper,.. no sé,.. no lo veo yo muy factible, pero como tesis genial.

Un saludo !!

dh4rm4n dijo...

Que buen post, con esto queda comprobado que cada vez estamos mas jodidos. Saludos

Charly dijo...

Muy bueno la verdad, una lectura muy interesante, y muy aclaratoria, Estoy realizando una "tesis/investigacion" sobre el tema de tor , enrutamiento cebolla y el porque de que no sea tan indetectable como nos venden y tras esto y muchas otras cosas me han dado una vision globan bastante amplia, me gustaria mantener el contacto por mail para sino te importa debatir sobre este tema y sobre otros, muy gradecido por este articulo.

wenx dijo...

muy buen articulo, sobretodo el analisis de la red TOR y posibles vulnerabilidades

botijo dijo...

Aunque es algo extendido a todo el mundo, en España concretamente hay una obsesión social y legal con la pedofilia y con todo lo que rodea a los menores acojonante. Los políticos dedican más tiempo a leyes relacionadas con menores que a los verdaderos problemas que sufre el país. Leyes anti-aborto, aumento de la edad del consentimiento sexual, despenalización de delitos por parte de menores, incontables asociaciones y ONG's relacionadas con el tema y la lista sigue y sigue. La pregunta es: se está llegando a un nivel obsesivo con el asunto? Al contrario de lo que mucha gente en la sociedad española piensa hoy en día, los pedófilos siguen siendo una vasta minoría, y no todo hombre que se acerca a un/una menor es un un asaltacunas. Pero joder, es que ya da hasta miedo siquiera mirar a un chaval, no vaya a ser que sus padres te vean mirándolo y ya se monten historias para no dormir.

Respecto a TOR, no entiendo mucho del tema y no lo he usado nunca pero entiendo que puede tener muchas buenas utilidades. Es un internet un poco fuera del alcance del espionaje masivo y obsesivo llevado a cabo por la NSA (y lo equivalente en otros países). Y digo un poco porque lo rastrean y lo espían igual. Al igual que el sistema de DNS (es decir, el internet de toda la vida), también habrá delincuentes que lo utilicen para sus propios fines, pero ello no es óbice para que inmediatamente se catalogue toda la red TOR como una plataforma pro-pedófila o pro-terrorismo, al igual que tampoco se hace con todo el internet.

Creo que estoy en lo cierto si digo que aunque no te dediques a cazar webs pedófilas, esa era sin duda la razón de ser de tu crawler y con esa finalidad lo desplegaste, ya que tras leer tu artículo no he entendido muy bien en qué se basaba o centraba tu investigación. Ya sé que desplegaste un script -crawler- pero por qué? para qué? Para investigar qué? Con qué finalidad? - Tú dirás.

Raz0na dijo...

Gracias a gente como tu que que solo busca acabar con esa malvada pederastia que parece una pesadilla que no tiene fin, la red tor consatntemente sufre ataques y linchamientos mediaticos.

Quizas sepas mucho de ordenadores pero te dire alogo que no encontraras en ningun scipt, i es que donde no hay control hay delincuencia. Porque? porque hay mucha gente que no ha recibido la educacion adecuada o porque han tenido problemas psicologicos o traumas de infancia etc... Un delincuente no nace se hace. Entonces porque se recorta en educacion o en sanidad publicas (que en USA ni existe)? Pues para poder invertir en defensa (que son estos sistemas de control i ranstero). Que supuestamente es para imponer un control para poder acabar con la delincuencia.

Esto si uno lo piensa un poco es un circulo cerrado la delinciencia no se acabara por controlar a todo el mundo un ejemplo es Joan Vila Dilmé un psicopata que mataba anciandos, gracias a las camaras de vigilancia lo detubieron, pero pudieron devolverle la vida a la anciana NO. Este hombre ya habia solicitado ayuda psicologica antes pero aun asi no le han ayoudado los suficiente.

Un enfermo mental (un pederasta es un enfermo mental) le da igual que le pillen o no piensa en ello pero el delito lo cometera, abusara de los menores hara aberraciones y muy probablemente le detendran pero sus victimas tendran traumas que afectaran cando sean mayores. Recordemos que muchos asesinos enserie han tenido traumas en la infancia.


Pero en todo este proceso habra algo irreversible i es que la libertad que pierden TODAS las personas. I yo personalmente te sugeriria que ayoudases a la gente a tener mas libertat en vez de hacer de peon en todo este asunto tan complejo.

Porque para estas cosas esta la policia que pagamos todos pero para ayudar a tener privacidad a la gente no hay nadie.

SunOs dijo...

Alguien me puede decir si puedo contactar a Hache, para ver si puede dar un taller o conferencia sobre este tema de como buscar o rastrear gente en tor

SunOS dijo...

Veo que puse un comentario pero no aparece no se si lo borran del post o no se por que motivo no aparecio.

valenverga dijo...

o que mierda si borran mi comentario aqui .

MisterRojo dijo...

Algo que no me queda claro, que se hizo con los pedofilos del foro? Cual es la situacion con los demas pedofilos o otros usuarios que sea por investigacion o de forma accidental pasen por sitios de pedofilos? Hay casos como el tuyo? Ya que no comentaste nada acerca de esto y pareces ser la unica victima, me atrevo a decir que te han tocado las pelotas por gusto, tal vez porque tengas alguna relacion mas estrecha con la GDT que cualquier otro, pero no tenes ningun poder ni rango siendo como uno cualquiera fuera de la justicia o cualquier otra organizacion del gobierno.
Si ahora mismo hackeo un sitio web para robar toda una base de datos o busco mil sitios pedofilos (no tengo los conocimientos y no me interesa hacerlo), podria hartarme 1 mes entero haciendolo sin que nadie sepa nada lo que hago, lo mismo seria para los demas. Entonces porque justo vos si y a la primera?
O me equivoco en lo que estoy diciendo? Si ese es el caso corregime.

Otra cosa que tengo dudas, te creeria mas si todo hubiera sucedido en España ya que las leyes por alla son muy estrictos. Pero vivis en Argentina segun lei en antiguos post. Segun tengo entendido en Argentina, las leyes aplicadas a la Informatica es muy irresponsable y desorganizado, lo cual hace que cualquier crimen informatico que exista sea impune.

Chivi Basualdo dijo...

Excelente articulo