No hay escapatoria de las botnets
Hace años leía a Digdeeper en su blog relatar lo siguiente:
“El falso luchador de botnets: El tipo sentado en su apartamento con una sudadera con capucha, usando un ThinkPad totalmente libre, QubesOS irrompible, TOR para todas las conexiones, evitando cuidadosamente toda estilometría y compartir cualquier dato personal en absoluto, encriptando sus cosas con un one time pad tres veces, y preocupándose de sí alguna botnet no se ha colado de todos modos. No tiene teléfono o sólo usa “teléfonos desechables” y paga con bitcoins. Y luego… al final tiene que salir de su casa, y una cámara de seguridad le graba la cara cien veces. Hay que respetar a este tipo por su dedicación, pero es inútil para una revolución. No se puede luchar contra la Botnet sólo con tecnología”.
Y justamente este fragmento de texto viene a mi lluvia de ideas por cuestiones que han estado pasando y otras que sucedieron hace mucho tiempo, pero que jamás podemos olvidar, en lo absoluto, son de esas cosas que por más que intentes superar nunca será suficiente y hay que estar preparado para la siguiente.
¿Qué es una botnet?
Una botnet es una red de computadoras infectadas con malware que se controlan de manera remota por un atacante (botmaster). Los dispositivos comprometidos pueden ser utilizados por el botmaster para llevar a cabo acciones maliciosas, como enviar spam, propagar virus y malware, atacar sitios web, robar información personal y financiera, entre otros. Las botnets pueden ser muy grandes y difíciles de detectar, lo que las convierte en una amenaza importante para la seguridad cibernética.
La red TOR y el secreto perfecto hacia adelante
Perfect Forward Secrecy (PFS) y la red Tor están estrechamente relacionados en términos de seguridad de comunicaciones. La PFS es una propiedad de los algoritmos de cifrado que protege las comunicaciones contra futuras vulnerabilidades en el cifrado actual. Con PFS, las claves de cifrado se generan en tiempo real y se descartan después de cada sesión, lo que evita que alguien pueda hackear el cifrado actual y desbloquear el tráfico anterior… todo muy bien, ¿verdad? En la teoría todo parece funcionar muy bien, aunque cuando conocemos las grandes operaciones que el FBI y demás organizaciones de inteligencia de USA ha hecho sobre la red TOR quedamos un poco desconcertados ¿cómo lo lograron? ¿Qué componente/característica están explotando del sitio? Y muchas preguntas más que hasta el día de hoy no han sido resueltas, lo único que hay son rumores.
Uno de los casos más sonados, fue: La operación Onymous fue llevada a cabo en noviembre de 2014 por las autoridades de diferentes países europeos y la agencia estadounidense del FBI. El objetivo era desmantelar una red de mercados negros en la dark web que se dedicaban a la venta de drogas, armas, falsificaciones, entre otros delitos. La operación resultó en el cierre de varios de estos mercados y la detención de varias personas involucradas en ellos. Los detalles de esta operación fueron expuestos de tal forma:
410 servicios ocultos eliminados.
17 vendedores y administradores detenidos.
Valor de 1 millón de dólares en Bitcoins.
180.000 eUR en efectivo, además de droga, oro y plata incautados.
-
Dentro de estos datos, lo qué más destaco fue la detención de Blake Benthall, el presunto operador de Silk Road 2.0, subrayando que fue el inicio de esta gran operación coordinada porque ocurrió un día antes de que cayeran todo el resto de sitios. La Operación Onymous es la acción policial más grande hasta la fecha contra los sitios web que operan en la red Tor, sin embargo, ha sido también la más cuestionada debido al secrestismo que hubo detrás de los métodos que utilizaron para realizar tal labor, incluso el especialista en asuntos públicos del Departamento de Justicia, Peter Carr, dijo que una lista completa de los sitios Tor incautados aún no está disponible públicamente, por lo que a la fecha solo confirmaron 27 sitios y no esa lista inflada de 410 urls.
Supuestamente, la forma con la que obtuvieron la ubicación de Blake fue por medio de la ingeniería social, después de que un agente encubierto de Seguridad Nacional pudo ganarse la confianza de los administradores de Silk Road 2.0 y recibió acceso a “áreas privadas y restringidas” del sitio reservadas para sus líderes. A través de esa operación, el agente dijo que pudo interactuar directamente con Defcon. Según detallaban el agente llego a tal punto de ganarse la confianza que lo promovieron a la moderación del foro para más adelante relatar lo siguiente: “Según una revisión de los registros proporcionados por el proveedor de servicios para el servidor Silk Road 2.0, descubrí que el servidor fue controlado y mantenido durante el tiempo pertinente por una persona que usaba la cuenta de correo electrónico blake@benthall.net”.
Otro de los casos más sonados fue el de Freedom Hosting: era un proveedor de alojamiento web en la darknet en el servicio Tor, que se especializaba en alojar sitios web que contenían contenido ilícito, como pornografía infantil y actividades criminales. El 3 de agosto de 2013, el FBI logró infiltrarse en los servidores de Freedom Hosting y descubrir que alrededor del 50% de los sitios alojados en esta empresa estaban dedicados a contenidos ilegales.
Aunque tal acción era positiva en la lucha en contra de la pornografía infantil, sí que tuvo un nefasto proceder, uno del que seguramente seguirá afectando a muchos otros sitios y quién sabe que más pudieron obtener bajo esta bandera cómo justificación, según indicaba la organización detrás de la red Tor “la brecha fue utilizada para configurar el servidor de modo que inyectara algún tipo de ‘exploit’ en JavaScript en las páginas que servía a los usuarios”.
¿Deberíamos saber cómo el FBI logró atrapar al capo de la 'dark web'?
“Alrededor los días 2 y 3 de agosto de 2013, algunos usuarios notaron algún “Javascript desconocido” oculto en los sitios web que se ejecutan en Freedom Hosting. Horas después, a medida que el rumor y el pánico sobre el nuevo código se iba extendiendo, todos los sitios cayeron simultáneamente. El código explotaba una vulnerabilidad de Firefox que le permitiría descubrir y desenmascarar a los usuarios de Tor, incluso a aquellos que lo usaban para fines legales, como Tor Mail, si no lograban actualizar su software suficientemente rápido. Cuando la agencia ya tenía controlado a Freedom Hosting, lanzó un malware que probablemente afectó a miles de ordenadores.
El FBI había encontrado una manera de romper las protecciones de anonimato de Tor, pero los detalles técnicos de cómo lo lograron siguen siendo un misterio. “Tal vez la mayor pregunta relacionada con la investigación de este caso es cómo el Gobierno pudo destapar el velo de anonimato de Tor y localizar la dirección IP del servidor en Francia”, escribieron los abogados defensores de Marques en una presentación reciente“.
Fue una granada de código indiscriminada que pudo afectar mucho otros servicios fuera del potencial peligroso.
Ahora bien, según leo en artículos de esa misma fecha, las vulnerabilidades especificadas fueron parcheadas, aunque ¿cuál será la siguiente? ¿Qué no conocemos aún que se esté explotando? De seguro alguna se debe estar explotando en el fondo y no es de extrañar cuando incluso las organizaciones de inteligencia han pagado a universidades para eliminar el anonimato en la red Tor e incluso otros casos particulares en donde han cerrado casos judiciales con tal de no revelar información acerca de cómo obtuvieron tales accesos.
¿Y la solución?
Volviendo a la idea del principio donde citaba a DigDeeper, pues es claro que no puedes combatir la botnet usando solo tecnología, todas nuestras soluciones tecnológicas eventualmente caerán… esa es al menos la respuesta corta.
Es inevitable. Si controláramos la infraestructura, no solo podríamos eliminar todos los registros de todo el ISP, sino también solucionar los problemas del resto de proveedores maliciosos, aunque eso es simplemente una idea fantástica; una qué solo vive en nuestra imaginación.
La descentralización puede ser la clave, incluso una red en malla, aunque probablemente nuestro enemigo, qué es el Estado, tarde o temprano instalará puertas traseras en los diferentes tipos de cifrados y protocolos, su músculo financiero es superior e incontrolable frente a cualquier causa justa. Internet dentro de unos 20 años no tendrá las libertades que poseemos ahora, de momento podemos expresarnos… más adelante ni eso.
De momento solo podemos imposibilitar cualquier semajanza con nuestros datos reales, incluso hay quienes plantean desde el anonimato utilizar dos máquinas: una para delinquir y otra para hacer tu vida “normal”, lo cual posee sentido impidiendo cualquier relación entre datos. En cuanto a la red Tor… sí, los nodos de espionaje maliciosos se pueden evadir siempre que esté usando el cifrado en otro punto de terminación. Es por eso que he recomendado utilizar una VPN sobre Tor para mitigar el monitoreo que realizan los nodos de salida malignos. Sin embargo, un problema adicional con un nodo de salida malicioso es el análisis de tráfico simple, donde el contenido de los datos es irrelevante, pero aún es posible desenmascarar al usuario final. Hay casos en los que es suficiente desenmascarar a un usuario final, si va a “gatooscuro.xyz”, por ejemplo. Si tomamos el caso de un adversario en el ámbito de estado nacional que puede monitorear todo el tráfico IP dentro de su país, y lo combinamos con el mismo adversario operando (o monitoreando) un porcentaje significativo de nodos de salida, entonces ese adversario puede desenmascarar trivialmente a los usuarios de Tor. El costo de esta operación estaría dentro del presupuesto de cualquier agencia de inteligencia respetable.
En si… todo una ilusión, de allí mi pesadilla que he escrito en “Sensación de privacidad” y esto es todo por hoy; gracias por leer y estoy pendiente ante cualquier correción u contribución.