Asociación de Internautas - ns este artículo de
investigación vamos a enseñar cómo se obtienen estos datos de forma ilícita. Son
las técnicas ILEGALES usadas por la empresas que se dedican a asustar al
colectivo P2P, atentando contra la privacidad de estos usuarios.
El artículo está realizado por un miembro de la comisión de seguridad de la
Asociación de Internautas, Jose Mª Luque, y en él también se demuestra que los
usuarios de P2P han de poner más cautela en su seguridad para evitar que
obtengan de sus máquinas tan fácilmente datos que luego son usados para
asustarlos o intimidarlos.
Dentro de los programas P2P hay mucha variedad siendo todos ellos para el
intercambio de cualquier tipo de fichero. Para el artículo se pensaba utilizar
el famoso KaZaA pero después de comprobar la facilidad con la que se obtenían
datos de los usuarios del mismo se descartó. Se probó también el programa
Bittorrent pero pasaba lo mismo, se conseguían las IPs de los usuarios con una
facilidad excesiva:
Los programas P2P tienen distintos grados de privacidad, unos
más y otros menos, y al final se optó por el famoso Emule ya que es uno de los
más usados por los internautas y posee mejores opciones de privacidad, no
facilita la IP y permite elegir si quieres mostrar los ficheros que compartes o
no. Repetimos que las técnicas sometidas a estudio en este artículo de
investigación son "ilegales" y las analizamos aquí porque son ejemplos de las
usadas por algunas empresas para obtener datos de los usuarios P2P.
Buscamos un archivo que tenga muchas fuentes y cuya descarga sea
rápida para intentar conseguir lo antes posible un listado de 30 usuarios con
sus correspondientes nick;
Previamente hemos preparado nuestra máquina, con un netstat
gráfico junto con un sniffer, para monitorizar los paquetes que pasan por
nuestra red (se han empleado herramientas muy simples puesto que nuestra máquina
es bastante antigua). Después de esperar unos minutos el fichero empieza a
descargarse y vamos obteniendo los Alias (Nick) de los usuarios que tienen el
fichero que se está descargando, simultaneamente vamos comprobando sus IP. Ambas
cosas se obtienen mediante la comparación de los kb/s que se están descargando
del Emule y que el sniffer va monitorizando:
Al final hemos conseguido un listado de 30 IPs con sus Alias
correspondientes y no ha resultado difícil. Ahora vamos a INTENTAR obtener más
datos privados de estos usuarios.
Conseguimos localizar el área más cercana de conexión de algunas
de esas IPs;
Pero estos datos (30 IPs, Alias, y localización en algunos) no
son suficientes para poder contactar con estos usuarios. En esta parte del
artículo de investigación pasamos a un nivel más ILEGAL (técnicas usadas por
algunas compañías). Se escanean las IPs para buscar más datos privados, para
ello usamos el programa comercial llamado "LANguard Network Security Scanner"
(para buscar fallos o vulnerabilidades y ver el nivel de seguridad). Después de
varios minutos tenemos bastante éxito y logramos suficientes datos de 5 de las
IPs, como números telefónicos, correo electrónico y algún curriculum vitae
(recordamos de nuevo que ha sido de forma ILEGAL). Pensaran ustedes que obtener
datos de cinco máquinas es un porcentaje muy bajo, pero realmente se trata de un
gran logro, imaginen una empresa que se dedique en exclusividad a realizar esto
con una frecuencia diaria y verán que al final del día han conseguido muchos
datos de los usuarios de P2P. Además hay que tener en cuenta que nosotros hemos
logrado esto contando con muy pocos medios y recursos tanto humanos como
materiales.
Vamos a describir los fallos de estos usuarios. Se han obtenido
los números de teléfono de tres de las IPs con sólo teclear la IP en el
navegador,
Los routers de Telefónica; SpeedStream 5660 y 3Com OfficeConnect
Remote 812 configurados con el programa Megavía, muestran el número telefónico
del usuario, en el caso del 3com hace falta usar una vulnerabilidad del mismo
para poder aceder el número telefónico (las versiones nuevas no tienen este
fallo).
También se obtiene el número tecleando las claves por defecto
del router, accediendo con ello a la configuración y al número telefónico;
Accedemos a las carpetas compartidas de un usuario y vemos que
tiene sus curriculum vitae, pero no procedemos a la descarga de los ficheros por
perservar la privacidad y no tener un conflito legal con este usuario. Pero
verán que el tremendo fallo expone todos los datos de esta persona y las
empresas dedicadas a realizar espionaje no van a tener escrúpulos a la hora de
robarle todo lo necesario para obtener alguna identificación de las IPs y Nicks.
Comprobamos los puertos que tienen abiertos los 30 usuarios
localizados y comprobamos que uno de ellos tiene un ftp en su máquina, accedemos
y nos encontramos con su cuenta de correo electrónico
.
Consejo: como siempre nosotros recomendamos no tener ningun dato
que pueda identificarnos, tanto en los servidores FTP, como en servidores WEB.
Después de localizar datos de estas IPs se puede "asustar" a
estos usuarios, llamándoles a su telefono o enviándoles un correo electronico
por ejemplo. Para rizar el rizo nos ponemos a ver como reacionan estos tres
usuarios P2P de los cuales hemos obtenido datos entre los que figura su número
telefónico y les llamamos por teléfono.
1ª llamada. Descuelgan el telefono y es una empresa del sector
metal, preguntamos por el encargado de administrar la red de la empresa, la
chica que nos atiende no sabe qué es un administrador de red y explicamos que
preguntamos por el encargado de los ordenadores y de la linea de Internet . Con
esto sí nos entendió y nos puso con la persona en cuestión, transcribimos a
continuación la conversación mantenida entre el administrador (X) y nosotros (A.I.):
X: "¿Sí? ¿Quién es?"
A.I.: "Hola buenos días, hemos comprobado que están usando la red de internet de
forma ilícita, descargando y compartiendo ficheros ilegalmente porque poseen
derecho de autor y copyright.
X: "¿Quien es usted?"
A.I.: "Somos de la Sociedad de Cantautores Hispanos Independientes (no se nos
ocurrió nada mejor en ese momento) y hemos comprobado que están ustedes
descargando y compartiendo canciones nuestras.
X: "¿Quien les dió este teléfono? ¿Como saben si hago estas cosas de las que me
acusan?"
Notamos que estaba nervioso y como ya teníamos suficiente para
el artículo acto seguido le contamos la verdad indicándole que estábamos
realizando un trabajo de investigación para la
Asociación de Internautas, para
demostrar a la comunidad P2P que se pueden espiar las redes P2P y que hay
empresas que se dedican hacer estas cosas de forma ilegal. Después de calmarle
nos pregunta de nuevo como obtuvimos el número de la empresa, le explicamos la
forma y cómo poder evitarlo, se queda sorprendido y se muestra agradecido por
los consejos y la información. Le preguntamos si podemos contar en nuestro
artículo la llamada, y accede a ello pero nos pone una condición, el anonimato
de la empresa y de sus datos, cosa que nos pareció de lo más correcto y por
tanto hemos omitido dicha información en nuestro artículo.
- 2ª llamada. Partido XXXXX le atiende XXXXX .... . Directamente
colgamos, no queremos tener ningun conflicto.
- 3ª llamada. Despues de seis intentos durante un día entero
nadie descuelga el teléfono y salta el contestador.
En este artículo se deja patente que las redes P2P se pueden
espiar y con algo de suerte también se pueden obtener bastantes datos privados
de los usuarios. Leemos diariamente que la RIAA (Recording Industry Association
of America) esta asustando y demandando a la comunidad de P2P. No olvidamos que
también generan "listas negras" de ficheros más descargados con su
correspondiente checksum para comprobar si son los mismos ficheros o son nuevos,
realizando listados de usuarios con los ficheros que comparten. El checksum lo
usan como prueba en la demanda para certificar la autentificación del archivo.
También advertimos que los programas de intercambio P2P tienen
que evolucionar para intentar en lo máximo posible que los usuarios de estas
redes tengan asegurada su privacidad. Hay algunos programas que lo están
consiguiendo pero los miembros de la comunidad P2P no suelen migrar a estos
nuevos programas más seguros ya que son más lentos.
Desde la Asociación de
Internautas aconsejamos a los usuarios de P2P que revisen las opciones de su
router para evitar que sus datos estén a merced de los demás y puedan ser
robados, y también todo aquello que pueda exponer su IP como servidores web y
ftps.
En el próximo artículo de investigación llamado "La caza de
los espias del P2P" demostramos que nos están espiando y "cazamos" a estos
espías. Un trabajo de dos semanas donde colaboran amigos que nos cedieron sus
equipos.
Enlaces relacionados con la privacidad y seguridad de redes P2P:
Ámbito legal P2P
(Por Pedro Tur, abogado y editor de
http://www.iurislex.net)
Salvaguardar la intimidad en peer to peer (P2P)
PeerGuardian
Realizado por;
José María Luque Guerrero
Comisión de seguridad en la red.
www.seguridadenlared.org
Asociación de Internautas.
www.internautas.org |