P2P Tracking

CAMPUS-TI 2004CIUDAD DE LAS ARTES Y LAS CIENCIAS DE VALENCIA

P2P Tracking

Roger Carhuatocto

rcarhuatocto[AT]intix.info

2P2P Tracking

Roger Carhuatocto – 24.Jun.04

Contenido

• El escenario

• Aspectos legales

• Técnicas

• Herramientas

3P2P Tracking


El escenario

• Una red de intercambio de ficheros, cada red con un protocolo:– Gnutella– FrastTrack– eDonkey– BitTorrent

• No hay servidor central

• Basado en P2P, aunque existen nodos intermedios

4P2P Tracking


Los problemas de seguridad

• Clientes P2P no velan por seguridad del usuario:– Privacidad– Antivirus– Spyware– Privacidad

• Las redes P2P abren una nueva “windows exposure” a antiguas prácticas ilícitas :– Tráfico ilícito de ficheros, piratería– Pornografía

5P2P Tracking


La acción

• Vigilancia de las redes P2P por parte de Compañías

• Denuncia a usuarios

• Nuevos virus/gusanos se distribuyen por este canal

• Nuevos impuestos

• Nuevas leyes

6P2P Tracking


La reacción

• Mejora de redes: Sin servidor central

• Mejora de clientes P2P: multiprotocolo, antivirus, hashing, proxy, bloqueo de IP (p.e. RIAA) sin dejar de compartir.

• Aparecen más redes:– Más democráticas: verdadero P2P– Más seguras: Criptografía

• Canal

• Identidad

• Contenido

– Anónimas

• Más conciencia en seguridad, libertad.. Más responsabilidad

7P2P Tracking


Aspectos legales

• ¿Es delito compartir?– No es delito, es un ilícito civil ya que no hay “ánimo de lucro”.– El tráfico ilícito es delito, tanto si se hace en la calle como por

Internet.– Art. 270 del C.P.: Reproducción, plagio, distribución o

comunicación pública, en todo o en parte con ánimo de lucro y en perjuicio de terceros.

• ¿Es delito espiar?– Art. 286 del C.P.: El acceso no autorizado a servicios interactivos

prestados por vía electrónica es delito.– La privacidad es un derecho fundamental

• ¿Es delito tener/hacer una copia privada?

8P2P Tracking


Referencias 1

1. Who is spying on your downloads?http://dir.salon.com/tech/feature/2001/03/27/media_tracker/index.html

2. Surveillance on Peer-to-Peer Networkshttp://slashdot.org/yro/01/03/27/173218.shtml

3. The RIAA Succeeds Where the Cypherpunks Failedhttp://www.shirky.com/writings/riaa_encryption.html

4. Anti-piracy vigilantes track file sharershttp://www.securityfocus.com/printable/news/8279

5. La información como delitohttp://www.kriptopolis.com/more.php?id=P28_0_1_0_C

6. Compartir no es delitohttp://www.kriptopolis.com/more.php?id=91_0_1_0_M

7. Investigación de delitos en plataformas P2Phttp://www.kriptopolis.com/imprimir.php?id=92_0_1_0

8. Ciberderechos y ciberdelitos: corren malos tiemposhttp://www.kriptopolis.com/ciberdelitos.pdf

9P2P Tracking


P2P: La red, el protocolo

• Predomina el basado en el protocolo FastTrack– KaZaA, Morpheus

• Gnutella

• eDonkey: eDonkey, eMule

• BitTorrent

• Freenet

10P2P Tracking


La red FastTrack y KaZaA 1

• Cifra las conexiones, excepto el inicio de la conexión cuando se negocia los algoritmos de cifrado

• No hay documentación del protocolo• Se hizo ingeniería reversa a la porción del protocolo

relacionado a cliente-supernodo. La porción supernodo-supernodo aún permanece desconocida.

• Los primeros clientes son closed-source• Eventos:

1. Cliente se conecta a red2. Red anuncia a cliente disponibilidad de nodos y ficheros3. Cliente hace una búsqueda4. Cliente descarga un fichero5. Cliente sirve un fichero

11P2P Tracking


La red FastTrack 2

• Usado por muchos clientes como KaZaA, iMesh, Grokster,…

• TCP, UDP

• Puertos 1214, 1080, SOCKS5, 80,… versiones >=2.0 usan puertos aleatorios

• UUHash

12P2P Tracking


Análisis de la red FastTrack con Ethereal 1

• Herramientas: Cliente KaZaA, Ethereal

• Ejecutar las operaciones básicas mientras se captura el tráfico en una red switcheada. Sólo nos interesa el tráfico que sale y entra del cliente relacionado a KaZaA, desde luego, se capturará tráfico que no corresponde a estas acciones como ARP, DNS, etc.

13P2P Tracking



• Solicitud de descarga y respuesta satisfactoria

Hash del fichero

Descarga total

IP y PORT de donde descargaré el fichero

Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author

Usuario KaZaA y KaZaA network

14P2P Tracking



• Solicitud de descarga y respuesta con servicio no disponible

Hash del fichero

Descarga no disponible



15P2P Tracking



• Solicitud de descarga y respuesta con servicio no disponible

Hash del fichero

Descarga parcial o reanuda descarga


Los X-KazaaTag representa metadatos: 3 = File hash 4 = Filename 6 = Author


16P2P Tracking



• ¿Y qué pasa con el resto de paquetes que se generan en otros eventos?, Ellos van cifrados!

• Es necesario decodificar/descifrar el tráfico capturado usando herramientas más sofisticadas:– Construir un “FastTrack Dissector” para Ethereal– Usar SOCKS4/SOCKS5 Proxy man-in-the-middle que permita

registrar todo el tráfico saliente y entrante. Esto no resuelve la decodificación.

– Usar herramientas sofisticadas de análisis de tráfico de red como:• NetIntercept

• NetDetector

• DCS1000 (FBI) a.k.a. Carnivore

17P2P Tracking


FastTrack Dissector para Ethereal

SNIFFER

ANALIZADOR

DISSECTOR

ETHEREAL

1. Captura el tráfico de red

2. Descrifra o decodifica el tráfico

3. Se analiza y se presenta

CLIENTE SUPERNODO / CLIENTE

18P2P Tracking


FastTrack Dissector para Ethereal

CLIENTE SUPERNODO / CLIENTE

SOCKS

PROXY SERVER

ANÁLISIS Y DECOFICACIÓNEN OFF/ON LINE (similar a Achilles)

19P2P Tracking


Tracking

• Identificar al usuario P2P (IP, Port, client, username, etc.)– Network sniffing con Ethereal

• ¿Qué fichero (parcial o total) quiere descargar o está descargando?– Network sniffing con Ethereal

• ¿Qué otros ficheros tiene el usuario?– Descifrar/decodificar, ingenieria reversa al protocolo– Network sniffing con Ethereal

• ¿Quién más tiene el fichero?– Descifrar/decodificar, ingenieria reversa al protocolo– Network sniffing con Ethereal

20P2P Tracking


Herramientas de análisis de tráfico de red

• Sirven para obtener información a partir del tráfico de red• Sirven como herramientas de soporte a procesos de Digital

Forensics, aquí la información a analizar no es un H.D., es el flujo de la red.

• Características que debe cumplir las herramientas:1. Soporta formatos para import/export2. Reconocimiento e interpretación de muchos protocolos3. Reducción de datos4. Ficheros conocido (usan MD5, SHA1,..)5. Recuperación de datos: extracción, reconstrucción de fragmentos6. Recupera data oculta: tráfico anómalo, esteganografía7. Capacidad de búsqueda de cadenas, documentación, integridad,

fiable/completo, seguro.

21P2P Tracking


Referencias 2

1. Sniffing (network wiretap, sniffer) FAQhttp://www.robertgraham.com/pubs/sniffing-faq.html

2. Wikipedia - FastTrackhttp://en.wikipedia.org/wiki/FastTrack

3. WinPcap: the Free Packet Capture Architecture for Windowshttp://winpcap.polito.it/misc/links.htm

4. Detecting evasive protocolshttp://www.p2pwatchdog.com

5. Ethereal Stuff - Writing a Dissectorhttp://www.richardsharpe.com/ethereal-stuff.html

6. Replay captured network traffichttp://sourceforge.net/projects/tcpreplay

7. Securing Your Network against Kazaahttp://www.linuxjournal.com/article.php?sid=6945

22P2P Tracking


Alternativas al inseguro P2P

• Para el canal: oculta el tráfico y hace dificil su identificación– Proxies– Tuneles cifrados

• Para el cliente– Cifrado e Integridad de los datos– Anonimicidad del usuario

• Para el supernodo/servidor– Freenet

23P2P Tracking


Referencias 3

1. Encrypted File Sharing: P2P Fights Backhttp://www.technewsworld.com/story/34052.html

2. Wikipedia – Freenethttp://en.wikipedia.org/wiki/Freenet

3. Web serving publishing, secure sharinghttp://www.badblue.com

4. WINW is a small worlds networking utilityhttp://www.winw.org

5. MUTE File Sharing - Simple, Anonymous File Sharinghttp://mute-net.sourceforge.net/

6. GNUnet - decentralized, peer-to-peer networking, link-level encryption, peer discovery and resource allocation.http://en.wikipedia.org/wiki/GNUnet

7. I2P - an anonymous communication networkhttp://www.i2p.net

8. Mnet is a distributed file storehttp://mnetproject.org

Technology

P2P Tracking