Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/12/2014
Adobe Flash i Metasploit, així va identificar l'FBI els usuaris de la xarxa TOR
En nombroses ocasions ens hem fet eco de les sofisticades tècniques utilitzades per l'FBI per a identificar usuaris sospitosos o ciberdelinqüents per tota la xarxa.
Però a vegades no cal ser tan modern, perquè les ferramentes més clàssiques, unida a la confiança excessiva d’alguns usuaris, poden fer perfectament el treball.
És el cas de l’operació Torpede, que va ser duta a terme en el 2012 contra usuaris de diverses webs de pornografia infantil allotjades en la Deep Web, i els detalls de la qual s’estan coneixent ara en els juís contra els acusats. En eixa operació, l'FBI va utilitzar el popular Adobe Flash i Metasploit, una no menys popular ferramenta de codi obert que ha sigut utilitzada per milers de pirates durant quasi una dècada per a identificar les adreces IP de les seues víctimes. L’aparició d’una versió del client Tor denominada "TorBrowser Bundle" va permetre que qualsevol persona sense quasi coneixements informàtics poguera superar amb èxit qualsevol test d’anonimat basat en el motor de Metasploit, per la qual cosa l’aplicació va acabar caient en desús. Així i tot, l'FBI va aconseguir utilitzar-la reeixidament contra els usuaris d’eixes mateixes aplicacions de Tor.
Enganyant el criminal
Decloaking Engine va ser llançat en el 2006, i utilitzava cinc mètodes diferents per a trencar els sistemes d’anonimat de diferents pàgines web. Un d’estos mètodes es basava en Adobe Flash per a connectar-se directament amb els usuaris i botar-se les proteccions de Tor i mostrar la seua IP real, raó per la qual els responsables del popular sistema d’anonimat sempre han desaconsellat la utilització de Flash.
Però una vegada que els usuaris de les webs de pederàstia picaven l’ham i instal·laven Flash, l'FBI no tenia problemes per a aprofitar eixa vulnerabilitat de Tor i aconseguir les seues adreces IP reals. Gràcies a esta operació els federals van aconseguir identificar 25 nord-americans i un nombre inclús sense determinar d’usuaris estrangers d’estes tres webs.
Identificacions massives
Comparada amb altres operacions en què l'FBI utilitza programari maliciós per a accedir per la força a servidors, logs i arxius interns d’usuaris, potser la Torpede puga paréixer més suau, però això no lleva que siga la primera de què tenim notícia en què l'FBI ataca tots i cada un dels usuaris d’una web en compte de centrar-se en els sospitosos. L’Operació Torpede es va realitzar al novembre de 2012, però l'FBI va tornar a utilitzar una metodologia semblant en en una altra operació l'estiu de 2013, però esta vegada utilitzant un codi propi dissenyat per a aprofitar vulnerabilitats de Firefox, en una prova que gran part de la guerra entre autoritats i delinqüents s’han traslladat a la xarxa, passant d’utilitzar pistoles a infectar ordinadors amb programari maliciós per a identificar adreces IP.