Redes Tor: la herramienta para la actuación personal y criminal anónima:
1.-Definición:
TOR es una abreviatura de The Onion Project, un proyecto que busca el poder crear una red de comunicaciones distribuida de baja latencia por encima de la capa de Internet de manera que nunca se revelen los datos de los usuarios que la utilizan, manteniéndose así como una red privada y anónima. En una palabra, una forma de navegar y atacar por medio del ciberespacio sin ser descubierto, en principio.
Tor es una red que implementa una técnica llamada Onion Routing (enrutado cebolla en castellano, aunque suena bastante peor), diseñada con vistas a proteger las comunicaciones en la Marina de los Estados Unidos. La ideas es cambiar el modo de enrutado tradicional de Internet para garantizar el anonimato y privacidad de los datos.
En realidad, este tipo de navegación no está únicamente reservado a expertos o ciberdelincuentes. Lo cierto es que es una práctica deseable y habitual, utilizar un medio que impida perjudicar la intimidad de la navegación que todos realizamos en Internet, lo que es posible si usamos un navegador tipo “TOR Browser”.
Imagen del esquema de red Tor.
2.-Vulnerabilidades:
Cuando un usuario se conecta a la red Tor el tráfico se cifra y se reenvía a través de varios routers, o nodos de Tor, hasta llegar a un nodo de salida a través del cual estableceremos la conexión. El tipo de ataque que permite aprovecharse de esta vulnerabilidad se ha denominado como “circuit fingerprinting attack“. Este ataque ni siquiera requiere descifrar el tráfico de red, sino que se basa en el seguimiento del tráfico a través de los routers por los que pasa y se puede aplicar tanto a usuarios concretos como a objetivos al azar para conocer quién se encuentra tras esa capa de anonimato.
3.-La NSA puede conocer la navegación de los usuarios Tor:
La NSA y el GCHQ han utilizado ataques conocidos junto con su poder e influencia para atacar y “desanonimizar” a usuarios de Tor.
4.-CONCLUSIONES:
Ni es infalible la navegación por medio de este sistema, ni tampoco es posible conocer 100% en todos los casos a los usuarios que la usan. Una forma de conocer quién ha enviado y recibido mensajes es analizar los tiempos. Si el ordenador “X” ha enviado un paquete a las HH:MM:SS y T milisegundos, y TTT milisegundos más tarde el ordenador “Y” ha recibido otro paquete, y se repite el patrón de latencia varias veces, es muy probable que “X” e “Y” estén conectados entre sí. En todo caso, será preciso realizar un estudio pericial forense con todos los datos disponibles.
Examen pericial de las vulnerabilidades que pueden afectar a los sistemas tripulados remotos:
1.-Introducción:
Cada día se introducen en nuestro espacio aéreo nuevos dispositivos que pueden atentar nuestros derechos más personales como son la intimidad personal o profesional y la propia imagen.
2.-Marco jurídico:
¿Cuál es el marco jurídico-legal de estos dispositivos?
Real Decreto-Ley 8/2014, de 4 de Julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficacia.
Propuesta EASA-A-NPA-2015-10 para establecer reglas comunes para la operación de drones en Europa.
3.-Estado de la cuestión. Fenomenología causante de las posibles vulnerabilidades:
Estos dispositivos pueden y deben sobrevolar un espacio aéreo que está acotado en su entorno horizontal y vertical sobre el suelo de referencia o vuelo. Sin embargo, los dispositivos pueden estar preparados para acceder a dimensiones espaciales sobre la que la propia normativa exige. En una palabra, que pueden sobrevolar y controlar bienes y personas de manera prácticamente imperceptible y con riesgo para nuestros derechos.
4.-Aplicaciones y operaciones con Drones y RPAS:
La nueva normativa permite para una aeronave de hasta 25 Kg, grabar en exteriores, pero ha de hacerse de día y en condiciones meteorológicas visuales, en zonas fuera de aglomeraciones de edificios en ciudades, pueblos o lugares habitados o de reuniones de personas al aire libre, en espacio aéreo no controlado, dentro del alcance visual del piloto, a una distancia de éste no mayor de 500 m. y a una altura sobre el terreno no mayor de 400 pies (es decir, como máximo 120 m. sobre el terreno).
5.-Examen pericial: en desarrollo.
Los recintos completamente cerrados (un pabellón industrial o deportivo, un centro de convenciones, un domicilio particular, etc.) no están sujetos a la jurisdicción de AESA, al no formar parte del espacio aéreo. Los titulares de esos recintos pueden decidir si autorizan el vuelo de drones en su interior y en qué condiciones. Un estadio de fútbol no tiene la consideración de recinto cerrado, a menos que su cubierta cubra la totalidad de su superficie, sin abertura ninguna.
Dificultades en el descubrimiento de la cibercriminalidad
Los Derechos fundamentales deben ser respetados en los procesos de la Geolocalización de los sujetos y/o programas que producen injerencia en nuestras vidas y actividades profesionales. Esto es así, por cuanto, las pruebas empleadas, según la LOPJ deben ser obtenidas de buena fe.
Elementos a tener en cuenta:
1º.-La autoría no siempre se corresponde con un sujeto persona física, sino también con un software que permite realizar las pretensiones de aquel, pero que será difícil o imposible su conexión entre el sujeto y el programa del mismo.
2º.-Influyen en esta Geolocalización, el estado de actualización de los servidores, webs, redes informáticas o dispositivos, así como de sus vulnerabilidades: puertos abiertos, hardware, programación, etc. A veces, simplemente, los supuestos ataques que puede sufrir una persona a través de su dispositivo informático, se originan como consecuencia de un mal uso de la informática y en realidad no son verdaderos ataques, sino producto de una mala gestión como decimos, de la ciberseguridad que nos compete a todos.
3º.-Jurisdicción y competencia de los Juzgados y Tribunales. El ciberespacio, como campo de actuación de la cibercriminalidad no entiende de jurisdicciones ni de competencias. El principal responsable de los posibles ataques, es la imprudencia desconocida que la propia víctima sufre al no disponer en beneficio de su seguridad, de los elementos recomendados por los expertos informáticos sobre: actualización del sistema operativo, antivirus de software, firewall de software y de hardware, etc.
4º.-Lo ideal es iniciar por Abogado especializado, Diligencias previas de investigación, para que se oficie por el Juzgado a la Brigada de Información Tecnológica de la Policía correspondiente (mandamiento judicial), informe que estos recabarán de los Proveedores telefónicos sobre las conexiones IPs. Hay que tener en cuenta, que una IP no identifica a un sujeto sino a una conexión que usa un dispositivo informático. Pero, en todo caso, la información así obtenida, será externa y debiera completarse con la información interna que supone intervenir los equipos informáticos, analizando la MAC, conectividad y otros aspectos.
Finalmente, insistir, en las recomendaciones sobre todo lo referente a las medidas a adoptar, por cuanto, la protección del ciudadano y de sus datos es lo primero, frente a la obtención de la titularidad de los ataques, que como hemos dicho, pueden ser verdaderos ataques o bien, fruto de una mala gestión de las actualizaciones que nos corresponde garantizar.
En defensa de España por medio del Ciberespacio
Hoy en día, las nuevas tecnologías permiten conocer con todo detalle y siendo una cuestión de tiempo, aunque sea indefinido, las razones forenses por las cuales se ha producido un incidente informático. Ahora bien, si alguien crea una página web para de manera anónima expresar injurias y/o calumnias, para votar de manera ilíita simulando apariencia de legalidad, falsear el pago de impuestos o transferencias, todo ello, puede ser examinado a través de técnicas como:
1º.-Herramientas:
- Sleuth Kit (Forensics Kit)
- Py-Flag (Forensics Browser)
- Autopsy (Forensics Browser for Sleuth Kit)
- dcfldd (DD Imaging Tool command line tool and also works with AIR)
- foremost (Data Carver command line tool)
- Air (Forensics Imaging GUI)
- md5deep (MD5 Hashing Program)
- netcat (Command Line)
- cryptcat (Command Line)
- NTFS-Tools
- qtparted (GUI Partitioning Tool)
- regviewer (Windows Registry)
- Viewer
- X-Ways WinTrace
- X-Ways WinHex
- X-Ways Forensics
- R-Studio Emergency (Bootable Recovery media Maker)
- R-Studio Network Edtion
- R-Studio RS Agent
- Net resident
- Faces
- Encase
- Snort
- Helix
2º.-Los datos son custodiados, evitándose así la contaminación de la cadena de custodia: Notario y acta notarial, quedando precintado el dispositivo y trabajando con la imagen obtenida por medio del volcado y clonado del archivo o disco de procedencia original.
3º.-Los datos periciales obtenidos de parte, aunque son plenamente válidos para iniciar acciones judiciales, se ponen a disposición Judicial y para que se ordene el mandamiento correspondiente, que permitirá que la Policía científica pueda corroborar el estudio de parte.
Ransomware y su empleo como ciberataque
A raíz de los ciberataques sufridos en mayo de 2017, se precisa a modo de INDICE analizar el estado de la cuestión:
1º.-Antecedentes del Ransomware:
2º.-Definición y posible tipificación penal en España.
3º.-Funcionamiento general y consecuencias de su afectación.
4º.-Modo de protegerse y/o de normalizar el dispositivo informático en caso de contaminación.
1º.-Antecedentes del RANSONWARE:
Ha estado más o menos presente desde finales de los años 80, ha sido en los últimos años cuando ha representado un serio problema para las empresas y particulares debido a la aparición de diferentes variantes. Sin embargo, el ransomware es la amenaza cibernética más generalizada desde 2005 (ransomware criptográfico, ransomware de bloqueo, etc).
Uno de los Ransomware más famosos es el Virus de la Policía, que tras bloquear el ordenador infectado lanza un mensaje simulando ser la Policía Nacional y advirtiendo que desde ese equipo se ha detectado actividad ilegal.
En mayo de 2016: Kaspersky Lab descubrió el ransomware Petya que: a) cifra los datos almacenados en un ordenador; b) sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo.
Este malware es un ejemplo destacado del modelo Ransomware-as-a-Service. Sus creadores ofrecen su producto malicioso ‘on demand’ a través de múltiples distribuidores y cobran una cantidad (bitcoins como moneda virtual o en otra moneda).
EVOLUCIÓN HASTA EL RPAS, Y EL ENTORNO DE LA CIBERSEGURIDAD Y CIBERDEFENSA
En poco tiempo la sociedad internacional ha experimentado una evolución desde el DRON, DRONE, UAV, UAS, RPA y hasta el RPAS…
I. Definición:
Dron / drone: adaptación válida al español del sustantivo inglés drone (literalmente abeja macho o zángano), con el que se designa en aeronáutica para denominar los vehículos aéreos no tripulados, la mayoría de uso militar. Sin embargo, este término no figura aún en el diccionario de la Real Academia de la Lengua por lo que no existe como tal.
UAV (Unmanned Aerial Vehicle): Vehículo aéreo no tripulado.
UAS (Unmanned Aerial System): Sistema aéreo no tripulado.
UCAV (Unmanned Combat Aerial Vehicle): Vehículo aéreo no tripulado de combate, para referirse a los aparatos que son capaces de portar armamento para interceptar objetivos.
RPA (Remotely Piloted Aircraft): Aviones controlados de forma remota. Se trata de un concepto que surgió con fuerza en EEUU para evitar que la gente se atemorice por el uso de estos ingenios en medios urbanos pensando que no hay ninguna persona que se haga cargo de evitar un desastre en caso de avería en vuelo.
RPAS (Remotely Piloted Aircraft System): Sistema aéreo tripulado de forma remota. Este término ha ido introduciéndose en todo tipo de documentos, sobre todo de la UE que llama con este nombre a los aparatos de uso civil.
II.-Ciberespacio:
Todos estos sistemas quedan afectados por el ciberespacio por cuanto pueden ser interferidos y por ende geolocalizados al disponer de dispositivos GPS para su navegación y control.
III.-Funcionalidades:
Seguimiento e interceptación de todo tipo de personas y bienes.
IV.-Derechos fundamentales afectados:
La intimidad puede verse vulnerada si se usa con una finalidad ajena al salvamento, protección, detención y otras tareas legalmente administradas y autorizadas. Por el contrario, el espionaje y la injerencia en la vida privada, puede ser la razón de que una persona quede expuesta o desprotegida frente a la intimidad que garantiza la constitución.
ARP Spoofing
A.-Definición:
Consiste en un tipo de ataque en el que un actor (sujeto persona física o software) con intenciones malintencionadas, envía mensajes falsificados ARP (Address Resolution Protocol) a través de una red de área local. Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de un equipo legítimo o servidor en la red. Una vez que la dirección MAC del atacante se conecta a una dirección IP auténtica, el atacante comenzará a recibir cualquier dato que está destinado a esa dirección IP.
B.-CONSECUENCIAS TÉCNICAS Y PERSONALES:
ARP Spoofing puede permitir a los atacantes para interceptar, modificar o incluso detener los datos en tránsito. Los ataques de suplantación ARP sólo pueden ocurrir en las redes de área local que utilizan el protocolo de resolución de direcciones.
Los efectos de los ataques de suplantación ARP pueden tener graves consecuencias para las empresas. En su aplicación más básica, los ataques de suplantación ARP se utilizan para robar información sensible. Más allá de esto, los ataques de suplantación de ARP se utilizan a menudo para facilitar otros ataques tales como:
1º.-Ataques de denegación de servicio: los ataques DoS a menudo destacan la suplantación ARP para enlazar varias direcciones IP con la dirección MAC de un solo objetivo. Como resultado, el tráfico que se destina para muchas direcciones IP diferentes será redirigido a la dirección MAC del destino, la sobrecarga de la diana con el tráfico.
2º.-Secuestro de sesión: ataques de secuestro de sesión pueden utilizar ARP Spoofing para robar los identificadores de sesión, la concesión de acceso a los atacantes y los sistemas privados de datos.
3º.-Man-in-the-middle ataques: ataques MITM pueden confiar en ARP Spoofing para interceptar y modificar el tráfico entre las víctimas.
C.-SOLUCIONES TECNOLÓGICO-LEGALES:
Los siguientes métodos son medidas recomendadas para la detección, prevención y protección contra ataques de suplantación ARP:
1º.-Se requiere un análisis previo por Abogado Especializado en Nuevas Tecnologías que sea Perito informático:
El profesional emitirá informe de viabilidad del Estado de la cuestión, tras un análisis previo de los datos suministrados por el cliente y en contraste con las pruebas tecnológicas. Las soluciones recomendadas son la práctica de una pericial informática forense, ante notario quien emitirá Acta notarial para luego iniciar acciones legales que deberán ser consultadas al profesional y que este mostrará en su hoja de encargo.
2º.-Desde un punto de vista tecnológico. Medidas:
2.1.-El filtrado de paquetes: Los filtros de paquetes inspeccionan los paquetes que se transmiten a través de una red. Los filtros de paquetes son útiles en la prevención ARP Spoofing, ya que son capaces de filtrar y bloquear los paquetes con información de la dirección fuente de conflicto (paquetes desde fuera de la red que muestran las direcciones de origen desde el interior de la red y viceversa).
2.2.-Evitar las relaciones de confianza: Las organizaciones deben desarrollar protocolos que se basan en relaciones de confianza lo menos posible. Las relaciones de confianza se basan únicamente en las direcciones IP para la autenticación, por lo que es mucho más fácil para los atacantes para ejecutar ataques de suplantación ARP cuando están en su lugar.
2.3.-Utilice software de detección de ARP Spoofing: Hay muchos programas disponibles que ayudan a las organizaciones detectar ataques de suplantación ARP. Estos programas de trabajo mediante la inspección y la certificación de los datos antes de su transmisión y el bloqueo de los datos que parece ser falsa.
2.4.-Utilizar protocolos de red criptográficos: Transport Layer Security (TLS), Secure Shell (SSH), HTTP seguro (HTTPS) y otros protocolos de comunicaciones seguras refuerzan ARP Spoofing prevención de ataques mediante el cifrado de los datos antes de la transmisión de datos y la autenticación cuando se recibe.
D.-RESUMEN:
Este tipo de ataques precisan un examen forense inmediato de los dispositivos informáticos afectados. El volcado y clonado de los datos obteniendo imagen fiel de todo, supone el paso previo para cualquier intervención legal posterior. Del examen forense, pudieran únicamente extraerse evidencias de las consecuencias que han facilitado o producido los ataques, sin poder obtener la autoría del atacante. Ahora bien, todo depende del origen del ataque: a) Ataque interno por conocimiento del estado de la red local de la víctima: se puede conocer los accesos y el ataque empleado. Hay que distinguirlo de un ataque con fines legítimos; b) Ataque externo: con Arpwatch que es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía correo electrónico al administrador de la red, cuando una entrada ARP cambia, se pueden detectar las intrusiones. Asimismo, comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser también un indicio de la presencia de ARP Spoofing, aunque hay que tener en cuenta, que hay usos legítimos de la clonación de direcciones MAC. Finalmente, con RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a partir de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada.
