En este artículo, hablaré sobre cómo se identifican los administradores de recursos en la red Tor, es decir, Darkweb. Veremos la estructura de los sitios en Tor, discutiremos casos conocidos de anonimización y muchas otras características de este rincón oscuro de Internet, que se considera anónimo. En el camino, recomendaré software para ayudarte en el camino.
Creo que ya sabes que los sitios cuya dirección termina en .onion no son sitios comunes y no podes abrirlos en un navegador normal sin esfuerzos adicionales. La llamada DarkWeb está formada por sitios como este. Muy a menudo se dedican al comercio de bienes y servicios ilegales. Por supuesto, debido a que los administradores de estos sitios no tienen que completar sus datos de contacto cuando registran un sitio web, no hay censura y el enrutamiento "cebolla" a través de una serie de servidores proxy debería garantizar el anonimato.
Los sitios de la red Tor no están indexados por los motores de búsqueda habituales, pero existen motores de búsqueda especializados que buscan únicamente en Tor. En general, como te habrás dado cuenta, es un mundo completamente aparte.
¿Cómo funciona la Red TOR?
En el enrutamiento de IP directo convencional, todo es relativamente simple: un nodo realiza una solicitud a una determinada dirección, otro nodo responde a la misma dirección de donde proviene la solicitud. En el enrutamiento onion, por otro lado, cualquier solicitud pasa primero a través de tres nodos llamados nodos Tor. De forma predeterminada, los nodos de entrada, medio y salida cifran la información para que pase al siguiente nodo.
¿La defensa perfecta contra el seguimiento? No exactamente. Cualquiera puede, en teoría, convertir su computadora en un nodo intermediario y recopilar datos de consulta. Vos te preguntas, ¿quién querría hacer eso si la información está encriptada? ¿Qué sucede si un atacante recopila parte de la información antes del cifrado al infectar el nodo de entrada? ¿O viceversa: el nodo de salida, después del descifrado, y obtener datos sobre los recursos solicitados? La segunda opción es la más común.
Además, un atacante puede modificar o cambiar por completo la información transmitida desde el servidor al cliente. Incluso es posible infectar el dispositivo del cliente con código malicioso.
En 2020, se descubrió que el grupo de delincuentes informáticos KAX17 ejecutaba 900 servidores infectados que utilizaba hasta el 16 % de los usuarios de Tor.
Aquí hay algunas herramientas para ayudarlo a explorar los nodos Tor:
TOR Node List: Lista de nodos TOR
ExoneraTor: Comprueba la IP si se usa como nodo TOR
Onionite: Información de nodo
Tor Metrics: Métricas de Tor
Collector Tor: archivo de IP y puertos de nodos
Al igual que en Clearnet, los sitios Tor pueden recibir información del cliente sobre la resolución de la pantalla, la cantidad de núcleos de la computadora y otros parámetros, que juntos pueden formar una huella digital única.
Es por eso que los expertos aconsejan no habilitar JavaScript en los sitios de la red oscura, o al menos no usar el navegador en modo de pantalla completa, para no revelar el tamaño de la pantalla. Una huella digital ciertamente no es tan aterradora como los datos personales reales, pero le permite distinguir a un usuario único de una cierta cantidad de usuarios.
DNS de Onion
La inteligencia a través de Whois y herramientas como DNSdumpster es simplemente imposible en la red Tor, porque el sistema de dominios ONION funciona de manera bastante diferente al habitual. Estas son sus principales diferencias:
Solo hay una única zona de dominio .onion, los dominios se componen de identificadores generados, por lo que básicamente no existe una estructura jerárquica con TLD, SLD y subdominios.
El almacenamiento descentralizado es el principal problema del recolector de información, por lo que es imposible enviar una solicitud a Whois. En el DNS clásico, la información sobre los dominios y sus direcciones IP correspondientes se almacena en servidores DNS centralizados. En Tor, la información sobre los dominios .onion y sus direcciones se almacena en nodos distribuidos en la red Tor.
Los protocolos también son diferentes. Mientras que el DNS clásico usa consultas UDP y TCP, el sistema Tor DNS accede directamente a los nodos de almacenamiento distribuido para obtener la dirección deseada.
TorWhois: es un tipo de servicio Whois para Tor. Permite obtener información sobre puertos abiertos, certificados, claves e información sobre
robots.txt.
Hay
un estudio que ha demostrado que el tráfico de DNS en la red Tor se puede utilizar para identificar los sitios web visitados. Los investigadores han utilizado varios métodos para analizar las consultas de DNS que pasan a través de los nodos de salida de Tor y averiguar si estas consultas se correlacionan con sitios específicos.
Simplemente podes buscar dominios en las consultas. Debido a que los dominios en las direcciones .onion consisten en identificadores generados, es fácil compararlos con los identificadores en las consultas de DNS y establecer coincidencias. Esto permite determinar qué sitios específicos ha visitado un usuario a través de Tor.
Además, en casos excepcionales, los administradores no eliminan los metadatos de los archivos publicados en un sitio y los metadatos pueden incluir información como el modelo de la cámara, el nombre, la ubicación geográfica y más. Ahora, incluso las redes sociales comunes eliminan los metadatos al cargar archivos.
Estructura del sitio onion
Los sitios en Tor usan un CMS ordinario, al igual que los sitios en "ClearNet". Por supuesto, en su interior utilizan el mismo HTML, CSS y otras tecnologías familiares. Así que no hay nada sorprendente o nuevo aquí. En la captura de pantalla, puede ver que el autor del sitio lo hizo en Bootstrap. Y el uso de tecnologías populares, por supuesto, abre la posibilidad de automatizar la auditoría con fines de inteligencia. Para ello disponemos de:
Onionscan (auditoría del sitio onion);
Onion Nmap (Nmap para sitio onion);
OWASP ZAP (escáner);
Nikto (escáner);
WPScan (escáner);
Suite Burp (escáner);
Wapití (escáner);
Lista de vulnerabilidades de Mitre.org
Economía de la red oscura
DarkWeb se utiliza con mayor frecuencia para el comercio de bienes y servicios ilegales. Las ganancias deben retirarse de alguna manera, y aquí los traficantes de bienes ilícitos inventan los esquemas más sofisticados. Por lo general, con el uso de criptomonedas. Es en la etapa de retiro cuando los propietarios del mercado suelen ser atrapados.
A menudo se ve así: un cliente compra criptomoneda, la usa para comprar algo en la red oscura, la criptomoneda se almacena en el depósito del mercado, luego la mayor parte va al vendedor y luego intenta cambiarla por moneda fiduciaria.
Resulta que es posible determinar qué intercambiador utiliza el vendedor si conoce la dirección de su billetera de criptomonedas. Para hacer esto, basta con visualizar su actividad con la ayuda de un programa especial. En la billetera del cambista, por supuesto, habrá una gran cantidad de transacciones y una cantidad considerable de dinero.
Los visualizadores suelen ser de pago, pero también hay algunos gratuitos:
Breadcrumbs
OXT.ME
Blockpath
Los mezcladores de criptomonedas se utilizan a menudo en el lavado de dinero. Permiten que los activos de criptomonedas se oculten distribuyéndolos en varias otras billeteras y luego transfiriéndolos nuevamente a una. Esto dificulta el seguimiento de las transacciones, pero no las hace completamente anónimas.
Si visualiza las transacciones de la billetera que utilizó el mezclador, puede ver las siguientes características:
múltiples entradas y salidas en una sola transacción, incluidas direcciones no relacionadas con la billetera original;
mezcla de fondos entre diferentes direcciones y billeteras;
enlaces a otras transacciones: cadenas y grupos de transacciones vinculadas al mezclador de bitcoins;
heterogeneidad en los montos de las transacciones;
intervalos de tiempo inusuales entre transacciones.
Los motores de búsqueda
Los motores de búsqueda y los dorks (recetas de consulta) siempre han sido el arma principal del especialista OSINT moderno, y es exactamente lo mismo en la red Tor. Echemos un vistazo a qué motores de búsqueda buscan información en la web oscura.
Estos son los motores de búsqueda disponibles en clearnet y sitios de cebolla de indexación:
Onion Search Engine (Motor de búsqueda Onion);
Torry;
OnionLand Search (Búsqueda de OnionLand);
Tor Search (Búsqueda Tor);
OnionSeach;
DuckDuckGo.
Muchos de ellos son fáciles de usar y le permiten combinar resultados de ClearNet y DarkWeb.
Y aquí hay una lista de motores de búsqueda que operan dentro de la red Tor (los enlaces se dan a las direcciones .onion):
DuckDuckGo;
Not Evil;
Ahmia;
Haystak;
Torch;
Demon.
Con estos sistemas, puede probar trucos básicos como encontrar una coincidencia exacta (comillas dobles), especificar el sitio para buscar (operador del sitio), el operador intext y otros en el mismo sentido. Esto funcionará en la mayoría de los motores de búsqueda.
Si nuestro objetivo es encontrar al administrador del foro, entonces podemos utilizar cualquier técnica de inteligencia. Por ejemplo, si conocemos sus intereses, podemos buscar en foros temáticos una mención de su apodo.
A continuación se muestra un ejemplo de una consulta que producirá el resultado de una búsqueda en el archivo del foro xakep.ru para el usuario luna:
sitio:oldforum.xakep.ru intext:luna
Hablando de foros temáticos. Hay wikis que recopilan enlaces a sitios web oscuros y es fácil extraer una colección de direcciones de foros criminales a partir de ahí. Éstos son algunos de ellos:
The Hidden Wiki;
IACA DarkWeb;
DarkWeb Links;
The DarkWeb Links.
Si sabe que a la persona le gusta leer, por ejemplo, puede consultar las secciones relevantes de los foros.
¡También son personas!
Los usuarios del foro y los administradores del mercado tampoco son robots, por lo que es natural que cometan errores. Por ejemplo, alguien puede enviar una foto de sí mismo a una persona que conoció en línea. Personalmente he oído hablar de varios casos en los que a los administradores de los sitios ilegales más importantes se les ofreció reunirse, pero cuando llegaron al lugar, la policía los estaba esperando. Los expertos usan una variedad de trampas y trampas para engañar a un delincuente con un archivo, un enlace y, a veces, una aplicación o mercado falso completo.
Trampas
Las trampas como IP Logger o Canary Tokens son las cosas más fáciles y de menor presupuesto para implementar. En el caso de Canary Tokens, puede implementar su servidor utilizando la imagen preconstruida para Docker que los desarrolladores amablemente nos proporcionaron. Esta herramienta tiene muchas características interesantes y, en mi opinión, a menudo se subestima.
En cuanto a
IP Logger, no recomiendo su uso cuando se intenta localizar profesionales. Esta herramienta se parece más a un juguete para niños que a una herramienta de trabajo, y un usuario relativamente avanzado sospechará de inmediato que algo anda mal.
Toma de huellas dactilares
Dado que los sitios Tor no tienen prohibido el uso de todas las tecnologías estándar, la toma de huellas dactilares (rastrear a los usuarios a través de huellas dactilares únicas) también puede funcionar aquí.
Por ejemplo, veamos el sitio
AmIUnique.org. El servicio identificará fácilmente la versión del motor, el sistema operativo, el idioma, las fuentes, los complementos y, con cierta precisión, los complementos de audio y video admitidos por el navegador. Es difícil llamarlo identificación precisa, pero puede ayudar a identificar a un sospechoso entre miles.
Tor Browser
enmascara la resolución de la pantalla para dificultar la identificación, además, los usuarios pueden falsificar la huella dactilar ellos mismos en función de la etiqueta User-Agent del navegador. Todo esto hace que la toma de huellas dactilares sea menos precisa, pero no la evita por completo.
También hay tácticas más sofisticadas basadas en huellas dactilares. No todo el mundo sabe que si abre el Navegador Tor y un navegador normal y luego cambia entre ellos con las teclas de acceso rápido o el mouse, puede revelar la conexión entre su IP real y la IP en la red Tor. Se resumen patrones únicos como la posición del cursor del mouse que se pueden rastrear. Lo mismo ocurre con el uso de dos pestañas en Tor Browser. Tor usará diferentes nodos de entrada para ellos, pero si JavaScript está habilitado, aún se puede establecer la relación entre las pestañas.
Análisis de texto
No es ningún secreto que todos tienen su propio estilo de escribir mensajes virtuales y los administradores de foros y mercados no son una excepción. Alguien a menudo pone espacios antes de las comas, alguien no es fanático de las letras mayúsculas, y alguien simplemente tiene un teclado roto y algún botón a menudo no se presiona.
Todas estas pequeñas cosas te ayudarán a encontrar otras cuentas en otros foros, redes sociales, etc. Se cree que Ross Ulbricht, propietario de un gran mercado de la Ruta de la Seda (Silk Road), cometió precisamente esos errores.
Crawlers, Scappers y Arañas
Existen diferentes tipos de herramientas para recopilar datos en Internet.
Crawler: es una utilidad que navega automáticamente por los sitios web y recopila información. Funciona como una araña pero puede recopilar diferentes tipos de información.
Scraper: un programa que extrae datos de sitios web, a menudo automáticamente, y los almacena en un formato estructurado para su uso o análisis posterior.
Araña (Spider): un programa que sigue automáticamente enlaces en sitios web, analiza el contenido de las páginas y las indexa para búsquedas u otros fines.
Estas herramientas son útiles para analizar sitios en la red Tor. Le ayudan a recopilar información sobre fotos, directorios y todo tipo de información sobre la estructura de los sitios. Lo que los hace interesantes es que te brindan la mayor cantidad de información sobre lo que sucede en un sitio sin visitar el sitio en sí.
Comencemos con los rastreadores (crawlers), que pueden usarse para recopilar cierto tipo de datos en un sitio, por ejemplo, fotos, videos, texto, etc. Por ejemplo, deseas rastrear todas las fotografías de un sitio y encontrar aquellas que contienen metadatos.
Aquí hay algunos rastreadores para sitios onion:
TorBot;
OnionBot;
OnionScan;
VigilantOnion;
OnionIngestor.
Los Scrapers funcionan de acuerdo con un algoritmo predefinido que determina qué datos recopilar y cómo recuperarlos. Normalmente, realizan solicitudes a un servidor y luego analizan el HTML resultante para extraer la información que necesitan. Se utilizan diferentes métodos para analizar páginas: análisis HTML, búsqueda de etiquetas y clases CSS, expresiones regulares, etc. A menudo los sitios se cargan en su totalidad para su posterior análisis.
Aquí hay algunos programas y bibliotecas para hacer scraping:
Scrapy;
BeautifulSoup;
Selenium;
Puppeteer;
Frontera.
Las arañas (spiders), por otro lado, están diseñadas para indexar cientos y miles de enlaces. Para Tor, están
Onioff y
Onion Spider.
Informática forense
Hacia el final, cubramos brevemente el tema de análisis forense en lugar de OSINT. Al examinar forensemente una computadora en la que se ha utilizado Tor, lo primero que debe verificar es:
Carpeta C:Windows\Prefetch, que puede contener archivos relacionados con el inicio del navegador Tor (el archivo ejecutable del navegador o los archivos DLL cargados durante su funcionamiento). Al analizar sus marcas de tiempo, puede averiguar cuándo se inició el navegador.
Caché de miniaturas (Thumbnail Cache). Puede almacenar vistas previas de imágenes vistas a través de Tor. Se pueden vincular a sitios específicos.
Archivo de intercambio (Swap). También puede contener información sobre inicios del navegador, visitas al sitio y operaciones de archivos relacionados con el uso de Tor.
Registro de Windows. Ayuda a recuperar la configuración del navegador, el historial de navegación, los datos almacenados en caché y los registros de extensiones y complementos descargados.
El análisis de dumps también es una parte integral del análisis forense. Contienen mucha información sobre lo que sucedió en la computadora. Puede capturar un volcado de RAM, por ejemplo, utilizando Belkasoft RAM Capturer.
Para analizar el registro, es posible que necesite el programa
Regshot.
Recomiendo Wireshark y NetworkMiner para analizar el tráfico de red. Wireshark es bueno para identificar diferentes tipos de paquetes y los hechos de establecer enlaces entre nodos. Ayuda a identificar las características de los protocolos utilizados en Tor. Y NetworkMiner se especializa en analizar el tráfico de red e identificar conexiones y patrones ocultos. NetworkMiner puede ayudar a detectar y analizar la actividad en la red Tor, incluido el intercambio de información y el uso de servidores proxy anónimos.
Y, por supuesto, debe estudiar la base de datos del navegador Tor. Se puede encontrar en esta ruta: