Blog di Exodus1984

Computer Forensics: la DarkNet Intelligence.

Carissimi bloggers, augurandovi un buon inizio per l'anno nuovo, oggi
parleremo di sicurezza di base e di indagini particolari, dedicate
al mondo sommerso, ovvero la faccia oscura di internet...;-)))

il primo post di questo 2014 è dedicato ad un argomento che ha avuto
una grandissima diffusione all'interno della nostra rete privata, per
cui, viste le particolari insistenze di alcuni amici, è stata presa
la decisione di pubblicare su questo piccolo blog un resoconto
semplificato di come si può usare un comune sistema operativo per
renderlo adeguato ad eseguire indagini particolari operando all'interno
delle reti oscure presenti qui su internet.

Devo dire che molte sono state le domande poste, e ad ognuna di esse
è stata data una risposta reale, quello che andremo a fare con il
nostro sistema operativo, non sarà pertanto nulla di illegale, anche
se molta gente pensa che le reti cifrate e anonime nascondano soltanto
criminali informatici incalliti che vendono i loro servizi al miglior
offerente, nel nostro caso invece, tutto questo ci servirà per
raccogliere informazioni particolari e creare un rapporto di analisi
che riguarda la cosiddetta "DarknetIntelligence".

Ma che cosa significa questa strana parola?
Provate a cercarla su Google: DarknetIntelligence   ;-)))

Prima di tutto dobbiamo fare riferimento alla Computer Forensics, dalla
quale scaturiscono le innumerevoli tecniche e tecnologie sviluppate
per l'Anti-Forensics usata appunto all'interno delle DarkNet.
Dark Net, definizione poco pregevole di "Mercato Nero", alcune recenti
definizioni, dicono che le DarkNet sono un pericoloso mercato nero in
cui criminali, terroristi, hacker, hanno creato questa nuova realtà
virtuale dove poter comprare e vendere qualsiasi cosa.

Come avevamo appurato in una ricerca fatta un po di tempo fa e pubblicata
su questo blog, tutto questo, è reale, ma quello che serve a noi non
è sapere come usare una rete di questo tipo, ma si presume che gli
utenti abbiano almeno una discreta base informatica prima di eseguire
programmi che sbandierano sicurezza e anonimato senza fornire una
garanzia di quello che stanno dando ai clienti sprovveduti che magari
vogliono acquistare della droga su questi siti particolari e pensano
che nessuno ne potrà sapere mai nulla perché sono "anonimi"...:-)))

La Darknet Intelligence, mira a raccogliere informazioni attraverso
agenti software infiltrati attraverso i vari nodi di scambio cifrati
presenti durante una connessione "anonima".

Questi agenti software, hanno il semplice scopo di catturare, cifrare
e spedire i dati raccolti ad un particolare sito web creato proprio
sulla rete anonima sotto controllo al fine di poter ottenere una
valida analisi dei dati raccolti per fornire prove robuste e affidabili
per poter incriminare chi vende armi, droga e pedo pornografia online.
 
Questo concetto, non risulta però valido se usato dalla controparte
ovvero la AntiDarkNet-Intelligence, praticata da elementi addestrati da
qualche agenzia governativa che magari ha degli interessi particolari
su questo tipo di rete, non sono da meno i gruppi terroristici che
scambiano informazioni e materiale particolare, a questo proposito, si
può osservare un aumento delle capacità tecnologiche applicate per
ottenere una cifratura più robusta usando nodi preparati appositamente
per questo tipo di attività.

La raccolta informativa, implica anche una preparazione particolare
del sistema operativo che si dovrà usare per effettuare le investigazioni
informatiche all'interno del complesso sistema DarkNet presente oggi.

A questo proposito, useremo il sistema Tor non per commettere azioni
illegali ma bensì per creare un client di indagine dal quale poter
effettuare una analisi informativa che ci permetta di ottenere un
buon risultato finale.

Per portare un banale esempio reale, è stata utilizzata una distribuzione
GNU/Linux molto conosciuta, la leggendaria Debian (Wheezy 7.2).
La preparazione di questa distro Linux, è quella riportata su tutti
i principali manuali online di sicurezza informatica, ma qui ne vedremo
solo una parte, proprio perché la gestione di un client completo e
funzionante richiede una buona preparazione in materia di porte, servizi
offerti, demoni in ascolto, etc.etc... :-)

Non voglio addentrarmi a spiegare tutte queste cose per non appesantire
troppo gli utenti che leggono questo semplice post, e non riescono a
comprendere bene i protocolli usati, le cifrature e quant'altro, per cui
passiamo al sodo valutando i primi risultati che possiamo ottenere
preparando il nostro client per la prima analisi informativa su una
oscura rete anonima:


Disabilitare le porte internet per i servizi RPC che non ci servono:
da root =>> update-rc.d rpcbind disable

I seguenti servizi potete fermarli anche da gestione servizi(grafica)
dipende da che cosa avete installato sulla vostra Debian, ma in genere
leggetevi i manuali dei servizi che avete in esecuzione per fermarli
sospenderli o riavviarli a vostro piacimento. 

exim4
rpcbind
rsync
rsyslog
nfs-common

Avremo così ripulito e chiuso ulteriori porte che non ci servono sul
nostro sistema.
Questi servizi vanno disabilitati solo se non sono realmente necessari
per la connessione a internet o per il loro specifico uso sul sistema.


Ecco un output di quello che potete ottenere:

enrico@exodus84:~$ netstat -na | grep tcp

tcp        0      0 127.0.0.1:631           0.0.0.0:*         LISTEN    
tcp6       0      0 ::1:631                 :::*                         LISTEN 


root@exodus84:/home/ghost# netstat -nap | grep tcp

tcp        0      0 127.0.0.1:631           0.0.0.0:*         LISTEN
3270/cupsd     
tcp6       0      0 ::1:631                 :::*                         LISTEN
3270/cupsd     

Eliminiamo anche il demone schedulatore di stampa cupsd (Internet
Printing Protocol, version 2.1)e potremo ottenere questo risultato
sulle porte disponibili del nostro client internet:


enrico@exodus84:~$ netstat -na | grep tcp
enrico@exodus84:~$
enrico@exodus84:~$ netstat -na | grep udp
enrico@exodus84:~$

root@exodus84:/home/ghost# netstat -nap | grep tcp
root@exodus84:/home/ghost#
root@exodus84:/home/ghost# netstat -nap | grep udp
root@exodus84:/home/ghost#

Avvio di Tor in ascolto:

enrico@exodus84:~$ netstat -na | grep tcp
tcp        0      0 127.0.0.1:9050          0.0.0.0:*         LISTEN    
enrico@exodus84:~$ netstat -na | grep udp
enrico@exodus84:~$


Tor, verrà eseguito sul sistema senza l'uso di Privoxy, la definizione
di questo proxy web, serve per aumentare la sicurezza con l'uso di
Tor, ma nel nostro caso, ne faremo a meno per questa volta.

Visto che vogliamo fare delle ricerche informative per una DarkNet
Intelligence Agency, dovremo raccogliere molte informazioni e poi
collegarle tra di loro.

Rifiutando Privoxy, il nostro sistema d'assalto Debian per le Darknet
eviterà di filtrare i contenuti che accresceranno i nostri dati per
l'analisi informatica da eseguire, e questo, ci fornirà numerose
informazioni primarie.

Quindi la preparazione di un sistema completo, si potrà ottenere con
un sistema Debian di base e poi lavorando alla chiusura delle porte
che risultino ancora visibili ad una scansione di rete.
A questo, dovrà seguire una adeguata compilazione del kernel nella
vostra distribuzione, inserendoci tutti i vostri moduli d'assalto per
preparare il sistema al lavoro che dovrà svolgere.

Studiate bene il manuale di Tor, per capire come e dove potete mettere
le mani per ottenere quello che vi serve, visto che dovremo lavorare
su una rete anonima, avremo il nostro bel da fare per catturare tutte
le informazioni richieste, metodo difficoltoso ma possibile. :-)

Gli applicativi client come Firefox, possono usare la rete Tor
collegandosi all'interfaccia proxy socks locale fornita dall'istanza
di Tor.
Se l'applicazione stessa non supporta SOCKS, è possibile usare un
client socks come torsocks.

Su Firefox, una volta generata la connessione alla rete Tor, dovrete
impostare il browser perchè possa usare SOCKS4/5, altrimenti non
potrete navigare all'interno della rete anonima.
per impostare Firefox dovete andare sul menù:

Modifica -> Preferenze -> Avanzate -> Rete ->
Determina come Firefox si connette ad Internet -> Impostazioni ->
Configurazione manuale dei proxy -> Host SOCKS:

Impostare Host SOCKS a: 127.0.0.1  porta 9050
e quindi cliccare su OK.
Da questo momento sarete "TORificati" e pronti per la vostra indagine
informativa nei bassifondi di Internet. :-)

Cari bloggers, anche per oggi è tutto, ho cercato di accontentare un
po tutti quanti con questo semplice post, come sempre se non riuscite
a comprendere alcuni significati di quello che ho scritto, potete
trovare tutte queste informazioni in rete, che possono spiegarvi bene
e forse in modo più semplice tutto quello che volevo esprimere qui.

Buon 2014 a tutti, investigatori informatici e hacker compresi :-)