jueves, 19 de marzo de 2009

ARTICULO: Así actuan las redes de pedofilia

Artículo del 17 de Marzo del 2009

Leo en el blog de uno de los grandes gurús de la seguridad informática, Bruce Schneier, al que tuvimos la oportunidad de escuchar y conocer en persona en el Security Blogger Submit 2009, un artículo que ha hecho que se me pongan los pelos como escarpias.

En él, se nos cuenta que dichas redes funcionan mediante la correcta sincronización de varias piezas en un complejo engranaje. El primer paso es conseguir identidades falsas así como dinero asociado a dichas identidades. Para ello, existe una figura humana llamada "Carders" (personas que consiguen tarjetas de crédito y de identidad válidas de una forma ilícita). Éstos, contactan con falsificadores, que literalmente clonan dichas tarjetas robadas en documentos plásticos físicos. Dicho material se vende posteriormente a los "operadores" como kits de tarjetas de crédito. En USA además se pueden comprar tarjetas regalo de Visa y Mastercard (como las de iTunes, Ikea o el Corte Inglés). Esto, unido a una identidad falsa, permite hacer pagos válidos por Internet de forma anónima, para comprar por ejemplo los dominios o los servidores donde se alojarán los contenidos. Otras alternativas para anoninimizar dichas compras (y no poder ser relacionado con un dominio pedófilo) puede ser la utilización de un mecanismo análogo a Paypal (pero utilizado en Europa del Este) denominado Webmoney, utilizando una identidad falsa también.En general se suelen comprar servidores para estos fines en Alemania, debido a que es sabido que son muy fiables, rápidos y baratos.Una vez comprado el servidor, se hace una conexión contra el mismo a través de diferentes máquinas proxy a través de SSH. La máquina es "securizada" por el vendedor de pedofilia (mejor dicho por quien contrata para ello) utilizando contenedores cifrados como TrueCrypt (donde irán almacenados los contenidos prohibidos subidos por supuesto a través de varios proxies que anonimicen los orígenes) y deshabilitando completamente los logs de la máquina a fin de dejar posibles trazas. Además se suelen configurar medidas por las cuales, cuando se detecta un login mediante la consola, automáticamente se desmonta el contenedor cifrado. Lógicamente cuando se apaga la máquina físicamente sucederá lo mismo.Igualmente, para poder subir contenidos se dejan habilitados en el firewall de la máquina una lista de IPs desde las que se permiten dichos accesos. Estas direcciones IP corresponden a otro tipo de servidores también comprados de las mismas maneras ya detalladas, en los que se aplican también tácticas de anonimización mediante Truecrypt y deshabilitado de logs. Estos servidores proxy o forwarders (como indica Bruce), desplegados por diferentes países de todo el mundo, actúan de puentes para poder subir de forma anónima los contenidos (utilizando túneles SSH y forwarding de puertos por ejemplo).Asimismo, estos servidores proxy son los que actuarán como gateways para los consumidores de pedofilia, permitiendo que el servidor de Alemania que mencionábamos antes no pueda ser motivo de sospecha y sin accesos directos de pedófilos (excepto por estos servidores proxy que canalizan todas las solicitudes).

Para dotar de balanceo de carga a "la solución", se establece, a nivel DNS, para el dominio pedófilo comprado, un TTL (Time To Live) de unos pocos minutos, de manera que cuando diferentes usuarios pregunten por el dominio, cada X tiempo el servidor conteste con la IP de uno de los servidores proxy comentados en modo Round Robin.

El autor, nos deja luego con una reflexión en la que dice que una vez entendido el funcionamiento de estas mafias, es francamente muy complicado de pillar a los causantes de su existencia (aunque según mi punto de vista, los causantes no son los proveedores, sino los consumidores). Dice además que precisamente por este tipo de cosas, los políticos justifican la monitorización del contenido digital que circula por las redes, la creación de proyectos como Echelon o Carnivore por ejemplo, el caso de la ley que obliga a los ISPs a guardar registro de absolutamente todas las comunicaciones entrantes y salientes, la prohibición de utilización de longitudes de clave de más de 40 bits en la criptografía, la de exportar software de cifrado como se hizo con PGP,...

En otros casos, se ha utilizado el terrorismo como argumento para prohibir sobre la utilización de algoritmos y programas específicos de cifrado. Es bien sabido que las células terroristas utilizan los mecanismos de los que nos provee la criptografía para cifrar las comunicaciones, así como la información contenida en los propios PC's referentes a sus objetivos, estrategias y tácticas.¿Es la pornografía infantil o el terrorismo la excusa para poder saber qué es lo que hacemos, cuándo, quiénes y desde dónde? Está claro que realmente necesario cierto control,... pero, ¿son suficientes dichos controles? ¿evolucionan a la misma velocidad que los mecanismos que los ciberdelincuentes utilizan para evitarlos?

Para quien quiera leerse el artículo entero en inglés (traducido del original en alemán), puede encontrarlo aquí:

The Techniques for Distributing Child Porn (English)
Einblicke in die Kinderpornoszene (en alemán)

No hay comentarios:

Publicar un comentario