la dark net descubrimiento y análisis de ciberseguridad
TRANSCRIPT
![Page 1: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/1.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERTCiberseguridad,
hacia una respuesta y disuasión efectiva
Técnicas avanzadas de descubrimiento y análisis de
la Dark Net
![Page 2: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/2.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.eswww.ccn-cert.cni.es#XIIJornadasCCNCERT
Javier Junquera Sánchez
Personal Investigador (Universidad de Alcalá)
![Page 3: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/3.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.eswww.ccn-cert.cni.es#XIIJornadasCCNCERT
1. Introducción
2. Tor como elemento vertebrador
3. Proyecto parche
4. Resultados
5. Conclusiones
6. Trabajos futuros
Índice
![Page 4: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/4.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Introducción
¿Qué es la Dark Net? Internet
![Page 5: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/5.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Introducción
¿Qué es la Dark Net? Surface web / Clear net
![Page 6: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/6.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Introducción
¿Qué es la Dark Net? Deep web
![Page 7: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/7.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Introducción
¿Qué es la Dark Net? Deep web
![Page 8: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/8.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Introducción
¿Qué es la Dark Net? Deep net
![Page 9: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/9.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Introducción
¿Qué es la Dark Net? Dark net
![Page 10: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/10.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IntroducciónPrincipales Dark Nets
![Page 11: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/11.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IntroducciónPrincipales Dark Nets
● .onion ● .i2p ● .bit ● freenet: [hash]
![Page 12: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/12.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IntroducciónPrincipales Dark Nets: Tor
❖ Enrutado cebolla❖ In/Out proxy❖ Busca anonimato❖ Asequible para novatos
![Page 13: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/13.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IntroducciónPrincipales Dark Nets: I2P
❖ Enrutado tipo ajo: mezcla onion con múltiples sub paquetes❖ In proxy❖ Basado en reputación/agenda
![Page 14: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/14.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IntroducciónPrincipales Dark Nets: ZeroNet
❖ Sistema p2p❖ Resolución de nombre basada en Namecoin
➢ https://namecoin.org/❖ Contenido dinámico❖ Permite integración con Tor
![Page 15: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/15.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IntroducciónPrincipales Dark Nets: Freenet
❖ Sistema p2p❖ Enrutamiento similar a I2P❖ Incensurable❖ Al formar parte de la red compartes
contenido
![Page 16: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/16.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IntroducciónTodo un ecosistema
![Page 17: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/17.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IntroducciónFlujo entre redes
5% 3%
![Page 18: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/18.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor
❖ Mantenido por Tor Project, vela por la protección de la privacidad
❖ Gestiona multitud de proyectos➢ Stem➢ Tails➢ Tor Browser
❖ Su tecnología sirve de base para otras redes
La columna vertebral
![Page 19: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/19.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor
❖ Una de los principales elementos diferenciadores de Tor es su modo out-proxy➢ Pero nuestro objetivo consiste en conocer la red
❖ En el modo in-proxy de Tor la funcionalidad la ofrecen los Hidden Services
❖ Su dirección es desconocida para todo el mundo hasta que el administrador del servicio la hace pública
Servicios ocultos
![Page 20: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/20.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
¿Cómo funciona?
Tor
Servicio ocultoCliente
![Page 21: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/21.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
¿Cómo funciona?
Tor
Los dominios de los servicios de Tor, por la construcción de la red, son desconocidos si no los publica su dueño
![Page 22: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/22.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
1. El servicio oculto contacta con varios equipos
¿Cómo funciona?
Tor
![Page 23: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/23.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
2. El servicio oculto publica su descriptor
¿Cómo funciona?
Tor
![Page 24: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/24.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
3. El cliente conoce XYZ.onion y descarga el descriptor
¿Cómo funciona?
Tor
![Page 25: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/25.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
4. El cliente contacta con el servicio
¿Cómo funciona?
Tor
![Page 26: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/26.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
5. La conexión queda emparejada
¿Cómo funciona?
Tor
![Page 27: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/27.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor
❖ HSDir➢ Directorio en el que se almacenan los descriptores de los servicios
ocultos
❖ Guard node➢ Primer nodo al que se conecta la máquina en un enrutamiento a través
de Tor
Elementos interesantes
![Page 28: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/28.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Crawler➢ Tor➢ I2P➢ ZeroNet
❖ Fuentes abiertas❖ Patrones❖ Chalota❖ Nodo
Módulos
![Page 29: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/29.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheCrawler
![Page 30: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/30.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheCrawler
❖ Tenía que cumplir varios requisitos:
➢ Ser distribuible (pocos recursos)
➢ Ser reutilizable
➢ Ser alimentable
![Page 31: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/31.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheCrawler (dificultades)
Centrarse en Tor y no “salir” a Internet
Carga dinámica del contenido
Protocolo de descubrimiento
![Page 32: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/32.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheCrawler
![Page 33: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/33.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheFuentes abiertas
![Page 34: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/34.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Los dominios .onion se generan como un hash de la clave RSA del Hidden Service
Patrones
base32( sha1( PUBKEY ) )[:16]
![Page 35: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/35.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Si quisiéramos encontrar todos los Hidden Services posiblesPatrones
32^16=
1208925819614629174706176
![Page 36: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/36.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Es posible generar un onion a nuestro gusto➢ https://github.com/lachesis/scallion➢ facebookcorewwwi.onion
❖ Hay webs que fuerzan patrones y podemos buscar en base a estos➢ drmarketcie6vdos.onion➢ epicmarketbbhhmm.onion➢ xmarket334dtd4la.onion
Patrones
![Page 37: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/37.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ chan➢ 1.152.921.504.606.846.976 dominios
❖ drugs➢ 36.028.797.018.963.968 dominios
❖ weapons➢ 35.184.372.088.832 dominios
Patrones
![Page 38: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/38.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Análisis de los términos más utilizados en los dominios conocidos
❖ Generación de listas
Búsqueda de patrones
![Page 39: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/39.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParchePatrones
![Page 40: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/40.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheChalota
❖ Necesidad de comprobar eficientemente si un .onion está registrado➢ Uso de sockets y HSFETCH
![Page 41: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/41.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
❖ Conexión HTTP a través de Tor
➢ > 4 segundos➢ ¡Falsos negativos!
❖ Utilizando protocolo de control Tor
➢ < 2 segundos➢ Detección de servicio no web
■ SSH, IRC, FTP
Proyecto ParcheTiempos
GET http://facebookcorewwwi.onion
AUTHENTICATE "pass"
SETEVENTS HS_DESC
HS_FETCH facebookcorewwwi
![Page 42: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/42.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheNodo
42
Es posible levantar un nodo intermedio modificado de
Tor para almacenar descriptores
![Page 43: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/43.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheNodo
43
Transcurridas 96 horas, obtenemos el flag HSDir
![Page 44: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/44.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Desde el nodo obtenemos las claves RSA
❖ Con el algoritmo, generamos el nombre del dominio
❖ Mediante el módulo de comprobación, podemos verificar rápidamente que es correcto
Nodo
![Page 45: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/45.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheNodo
45
![Page 46: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/46.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheNodo
46
![Page 47: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/47.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Extraemos la clave pública del descriptor
-----BEGIN RSA PUBLIC KEY-----MIGJAoGBAPLSSLvEPG6PtXnGBfkkNZ6NxzRNSVh3Ph3ADcGVfcFf0krgZdqTok4ge66ZzlXVfP1MsDYpk2ZNPN2W3wB7iLU9RGTK05xIw/y7Z6BPEZiZ5FsxWrVCPymagnNRA0urAZJWIdBRB0wxqs2Eunz7utSrYyxb7mCh5B5F+RU44xMrAgMBAAE=-----END RSA PUBLIC KEY-----
Nodo
47
![Page 48: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/48.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Gracias a la clave pública podemos obtener el .onion
-----BEGIN RSA PUBLIC KEY-----MIGJAoGBAPLSSLvEPG6PtXnGBfkkNZ6NxzRNSVh3Ph3ADcGVfcFf0krgZdqTok4ge66ZzlXVfP1MsDYpk2ZNPN2W3wB7iLU9RGTK05xIw/y7Z6BPEZiZ5FsxWrVCPymagnNRA0urAZJWIdBRB0wxqs2Eunz7utSrYyxb7mCh5B5F+RU44xMrAgMBAAE=-----END RSA PUBLIC KEY-----
Nodo
48
7gheeonpk6bqfkdi
![Page 49: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/49.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto ParcheNodo
49
❖ Tor tiene mecanismos para detectar exfiltración de dominios➢ Hay que desarrollar técnicas para evitar baneos
❖ La solución deja de ser viable en la versión 3 de Tor➢ Hay que investigar nuevos métodos
![Page 50: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/50.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Nodo
Proyecto Parche
Este es un nodo guard...
![Page 51: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/51.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Nodo
Proyecto Parche
Este es un nodo guard... … pero este también
![Page 52: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/52.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Nodo
Proyecto Parche
![Page 53: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/53.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Nodo
Proyecto Parche
![Page 54: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/54.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Nodo
Proyecto Parche
![Page 55: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/55.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Nodo
Proyecto Parche
![Page 56: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/56.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Nodo
Proyecto Parche
![Page 57: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/57.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ Detección de idioma ❖ Detección de temática ❖ Stalker
➢ Detección en base a regex■ Canales de Telegram, Whatsapp, Discord■ Direcciones email■ Direcciones i2p, zeronet, tor
➢ https://gitlab.com/junquera/stalker
Estadísticas de datos y análisis
![Page 58: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/58.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Proyecto Parche
❖ BTC Wallet: 143.299❖ Email: 74.251❖ tor url: 28.645.396 (11.657 dominios) ❖ i2p url: 2.208.758 (2.041 dominios)❖ Twitter_username: 3.176❖ Whatsapp: 7❖ Canales de Telegram: 254❖ Teléfonos: 11.207 (en torno a 376 de España)
Estadísticas de datos y análisis
![Page 59: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/59.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Resultados
❖ Hemos llegado a ver 139.912 dominios .onion➢ No todos alojan webs
■ ¡Algunos alojan las instrucciones para acceder a la web!➢ No todos están activos 24/7➢ Chalota permite comprobar rápidamente los servicios
Estadísticas de datos y análisis
![Page 60: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/60.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Uso de machine learningDetección de idioma
![Page 61: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/61.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Uso de machine learningDetección de idioma
![Page 62: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/62.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Uso de machine learning
● Generación de modelo usando 20 Newsgroups○ Enriquecimiento del dataset usando datos recopilados○ Nuevas categorías
■ Hitman, Markets, Criptomonedas, Pornografía■ Posible generar en base a marcas concretas
Detección de temática
![Page 63: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/63.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor v3
❖ En lugar de RSA, la versión 3 de Tor utiliza criptografía de curva elíptica, con la curva ed25519➢ Nuevos dominios de 56 caracteres
➢ Nuevo sistema de publicación de descriptores
Criptografía de curva elíptica
![Page 64: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/64.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor v3
VERSION = “\x03”
CHECKSUM = sha3_256( ".onion checksum" | PUBKEY | VERSION )[:2]
base32( PUBKEY | CHECKSUM | VERSION )
32zzibxmqi2ybxpqyggwwuwz7a3lbvtzoloti7cxoevyvijexvgsfeid.onion
Nuevo formato de direcciones
![Page 65: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/65.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor v3
1.942.668.892.225.729.070.919.461. 906.823.518.906.642.406.839.052. 139.521.251.812.409.738.904.285. 205.208.498.176 dominios
Nuevo formato de direcciones
![Page 66: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/66.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor v3Nuevo formato de descriptores
- "hs-descriptor" SP version-number NL
- "descriptor-lifetime" SP LifetimeMinutes NL
- "descriptor-signing-key-cert" NL certificate NL.
- "revision-counter" SP Integer NL
- "superencrypted" NL encrypted-string # Cifrado con credential
- "signature" SP signature NL
- subcredential = H("subcredential" | credential | blinded-public-key)
- credential = H("credential" | public-identity-key)
![Page 67: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/67.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
- En la versión 3 no vamos a poder sacar el dominio, porque se consulta una clave derivada mediante una técnica criptográfica conocida como Blind signature:
descriptor-lifetime 180
descriptor-signing-key-cert
-----BEGIN ED25519 CERT-----
AQgABnCHAX/lD22dsvl9tz+WjyflbJ7OX/+K1cEmRpER698vPNjsAQAgBABAimrQ
Gxj7tcge4aNy7XuMHgvf6JeMg8DOKhwN83BSOb9n4trSVHuybTwUVWPEF5b4KRaZ
vaBxe8Oe1krGkHzYtIR13jxqbXZdy1r0M2o8GbEYwKWUmRU58DzYIMx7vQQ=
-----END ED25519 CERT-----
...
Tor v3Nuevo formato de descriptores
![Page 68: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/68.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor v3Nuevo formato de descriptores
❖ descriptor-signing-key-cert➢ Se firma con blinded-public-key
■ Que se deriva de public-identity-key● Que genera los dominios
❖ superencrypted➢ Se cifra con subcredential
■ Que se deriva de credential● Que se genera con public-identity-key
◆ Que genera los dominios
![Page 69: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/69.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor v3Nuevo formato de descriptores
public-identity-key
blinded-public-key
descriptor-signing-key-cert
![Page 70: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/70.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tor v3
❖ Versión 3
➢ Van a seguir conviviendo las dos versiones■ La versión 3 todavía ha de sufrir modificaciones
➢ Para hacer usables los nuevos dominios (56 caracteres) se está planteando utilizar otros sistemas (estilo DNS o alias de dominio)■ Aumentará la usabilidad a costa de la seguridad
Principales diferencias
![Page 71: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/71.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
❖ Muchos sitios delictivos necesitan darse a conocer
❖ Es más práctico escuchar las redes y conocer el entorno
❖ Obtención del flag Guard➢ Abre nuevas vías de investigación➢ Puede ser más interesante buscar cómo combatir los servicios
que ya conocemos que esforzarse en conocer más
Conclusiones¿Tiene sentido indexar todo?
![Page 72: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/72.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Trabajos futuros
❖ Tor v3 supone un nuevo reto➢ Todavía en desarrollo y sujeto a cambios➢ Actualmente el uso de v3 es muy bajo
❖ Autenticación➢ Existen multitud de foros que requieren autenticación➢ Automatizar registro y autenticación
❖ Incorporar nuevas redes: Freenet➢ Al conectarnos a freenet compartimos archivos de la red➢ Multitud de contenido pedófilo en Freenet
Incorporación de nuevas redes y métodos de investigación
![Page 73: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/73.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
AgradecimientosEquipo de Investigación de la UAH
❖ Juan Ángel López Sanz ❖ Nicolas Logghe Barbini
![Page 74: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/74.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
AgradecimientosEquipo de Investigación de la UAH
- Alvaro W. Schuller Fernández - David Moreno Moreno- Enrique Larriba González
![Page 75: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/75.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
AgradecimientosEquipo de Investigación de la UAH
❖ Dr. José Javier Martínez Herráiz
![Page 76: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/76.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
AgradecimientosEquipo de Investigación de la UAH
❖ Carlos Cilleruelo Rodríguez
![Page 77: la Dark Net descubrimiento y análisis de Ciberseguridad](https://reader035.vdocuments.co/reader035/viewer/2022071506/62cfba5a0ab01a674b519cfa/html5/thumbnails/77.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERTCiberseguridad,
hacia una respuesta y disuasión efectiva• E-Mails
Websites
• www.ccn.cni.es
• www.ccn-cert.cni.es
• oc.ccn.cni.es
• Síguenos en