1. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
DarkNet ed anonimato:
problematiche nelle indagini
I. Il sogno dell'invisibilità
II. Strumenti di anonimato
III Darknet ed indagini
IV TorPark
V. Wardriving ed anonimato
Emanuele Florindi
A.I.S.F. – Accademia Internazionale di Scienze Forensi
2. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
I. Il sogno dell'invisibilità
Premessa
Una delle principali cause di rimozione dei freni inibitori è la convinzione di non
essere riconoscibili o identificabili, di essere invisibili.
L'utente internet, spesso, si sente avvolto dall'oscurità della rete, convinto di essere
“invisibile” e che non sia
possibile identificarlo.
In realtà dal momento in
cui si collega ad internet
fino al momento in cui
interrompe il suo
collegamento, naviga
lasciando delle tracce più o
meno difficili da seguire, a
seconda della sua
esperienza e delle sue
capacità.
3. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
I. Il sogno dell'invisibilità
Premessa
Allo stesso
modo si
lasciano tracce
di ogni genere,
nei log di
accesso ai siti,
nei forum, nei
gruppi di
discussione e
nei sistemi di
p2p.
4. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
Premessa
Non mancano, tuttavia, gli strumenti per arginare (o eliminare) il rischio di
individuazione andando a costituire un nuovo e particolare problema relativamente
all'accertamento delle condotte criminali ed all'attribuzione delle responsabilità.
Si tratta di tecniche ben note agli investigatori, ed ai criminali, ed oggi in via di
diffusione anche tra soggetti desiderosi soltanto di preservare la propria “privacy”.
Da un punto di vista giuridico l'impiego di tecniche di anonimato non può ritenersi
vietato e, pertanto, perfettamente legittimo deve essere considerato il possesso e
l'utilizzo di programmi in grado di rendere più difficile la propria individuazione da
parte di chiunque.
In rete esistono guide dettagliate sull'impiego e sulla configurazione dei programmi
di anonimato e guide altrettanto dettagliate su come bypassarli ed arrivare ad
accertare l'identità degli utenti in una perenne partita a “guardie e ladri”.
5. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
Premessa
Non mancano, poi, siti criminali in cui la copertura delle proprie attività è quasi una religione ed in cui
i novellini vengono amorevolmente istruiti su come navigare in modo sicuro ed anonimo.
Walter > Files sharing, Newsgroups,etc. yes, of course they can be dangerous if you don't know what you are
doing! Even IRC can probably be made safe - but why, why, why do you Admins here forbid talking about
these methods? There is something very sinister about your deleting messages like mine... what is going on?
Answer please - or are you going to delete this message straight away - fascists!!!!
hali > I agree, but morpheus can´t control which files are shared, and when you´re surfing safe, too?
ADMINS > To Walter, We are not fascists. We run a public on-topic board and I would guess at least 1/3rd of
our visitors here are newbies. Dangerous methods of trading files which are insecure and cannot be easily or
reliably anonomized are OFF-TOPIC on this board (read our rules) and any messages promoting peer to peer
methods like Kazza or winMX will be deleted. We have had numerous lengthy threads about this in the past,
they do not belong here and no more discussions on this subject will be tolerated.
Bilbo Baggins > To ADMIN and walter re: ADMIN RULES Good job too admins if it wasn't for your policy the
1/3 newbies might VERY easily become fodder to LEA great job admins MUCH appreciated by thousands
peace and surf safe !
rudolp > to walter :( because you may think your knowledgeable talking about these programs you should
learn to understand TCP/IP; how it works, it's protocols, it's configuration. Then you need to learn how to
protect, block and restrict these protocols on your own system....get a version of LINUX if that's your interest.
The ADMIN here is excellent and keeps what's relevant to the board on the board. He's far from a facist.... If
your ego is dented go somewhere else.... the internet has plenty of other places for you to exercise your
recommendations! Thank you ADMIN for excellent
maintanance of the board :)
Miner > hali > Read: Darkfaqs http://[OMISSIS]
onlybeauty > admins > i suggest to add "morpheus / winmx howto" on the to off the screen which will lead
to red page, where will be written NEVER EVER USE FILE SHARING.
6. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
Proxy
7. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
Proxy – Limiti e contromisure
Il protocollo HTTP prevede la possibilità di inserire nelle richieste inoltrate dal proxy degli header
standardizzati, che possono contenere anche l'indirizzo IP del client. Tuttavia, quando viene usata
questa funzionalità, il server web deve necessariamente fare affidamento sulle informazioni inviate
dal proxy non potendo in alcun modo effettuare delle verifiche.
Si usa suddividere i proxy in:
* Non anonimi (Transparent Proxy): modificano alcuni header trasmessi dal browser e ne aggiungono
altri, mostrano anche l'indirizzo IP reale del richiedente. Sono molto facili da riconoscere da parte del
server web.
* Anonimi (Anonymous Proxy): non trasmettono l'IP del richiedente, ma modificano o aggiungono
alcuni header. Sono pertanto riconoscibili facilmente.
* Distorcenti: trasmettono un IP casuale, diverso da quello del richiedente e modificano o aggiungono
alcuni header. Solitamente vengono scambiati per proxy Anonimi, ma offrono una protezione
maggiore, in quanto il server web vede le richieste di un utente provenienti da indirizzi IP diversi.
* Altamente anonimi (Highly Anonymous): non trasmettono l'IP del richiedente e non modificano gli
header della richiesta. Sono difficili da riconoscere attraverso i normali controlli.
Spesso, i proxy si limitano a supportare soltanto il protocollo http, per cui quando la durante la
navigazione interviene un altro protocollo (per esempio ftp o https) è possibile che il traffico da questi
generato non passi attraverso il proxy rivelando il reale IP dell'utente.
Numero relativamente basso: sono pochi ed ancora meno sono quelli che consentono di navigare ad
una velocità decente; le fdo che possono creare e mantenere dei propri proxy server in grado di
garantire una navigazione adeguata agli utenti. In questo modo sarà possibile monitorare
agevolmente il traffico, semplicemente analizzando i log generati automaticamente dal proprio proxy
server.
9. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
Proxy – Limiti e contromisure
L'alternativa è quella di inserire delle backdoor in programmi o siti che cnsentono di tutelare
l'anonimato, ma, in genere, i proxy allestiti dalle autorità, così come eventuali backdoor inserite nei
software di anonimato, hanno vita breve in quanto, non appena scoperti, vengono segnalati a tutta la
comunità come è avvenuto nel caso della trapdoor inserita nel programma di anonimato JAP:
Sender: Fritz Wuehler <f...@rodent.frell.eu.org>
Comments: This message did not originate from the Sender address above.
It was remailed automatically by anonymizing remailer software.
Please report problems or inappropriate use to the
remailer administrator at <a...@remailer.frell.eu.org>.
Newsgroups: alt.test,alt.privacy,alt.privacy.anon-server,alt.fan.unabomber,sci.crypt
Subject: Re: JAP compromised, privacy community panics
From: "Edison Carter" <edison.car...@network.23>
References: <V1C1050J37830.7089699...@anonymous.poster>
Message-ID: <9e58f7719195fe68cc183a1e50362...@remailer.frell.eu.org>
Precedence: anon
Date: Tue, 12 Aug 2003 02:08:43 +0200
Mail-To-News-Contact: postmas...@nym.alias.net
Organization: mail2n...@nym.alias.net
"Captain FUD" <f...@fubar.org> wrote in
<V1C1050J37830.7089699...@anonymous.poster>
> The JAP page now has a very strange "update" on their site after the service
> was mysteriously down due to a "hardware failure. [OMISSIS]
> There is no indication of what this "upgrade" is, which is very bizarre.
10. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
Proxy – Limiti e contromisure
> Even Microsoft explains
> "upgrades." So they mysteriously disappear and come back, ordering an
> "upgrade" with no
> apparent reason, as if they have been taken over and their hardware
> replaced, requiring
> this ham-handed segue into tricking users into installing some weird spyware.
> What does the new code contain but strange data like
> "CAMsg::printMsg(LOG_INFO,"Loading Crime Detection Data....n");"
> "CAMsg::printMsg(LOG_CRIT,"Crime detected -- ID: %u -- Content:
> n%sn",id,crimeBuff,payLen);"
> Additionally, there are other bizarre variable names that sound like
> something from a bad
> hacker movie.
> I would have to say that at this point, JAP is obviously compromised and
> should be avoided.
> Who got to them?
11. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
P2P ed anonimato
Diretta evoluzione dei proxy è l'impiego di programmi che, basandosi sulla tecnologia
peer to peer, forniscono funzionalità di proxy anonimizzante: in questa situazione
ogni soggetto è al tempo stesso tente e server.
Uno di questi programmi è ANTs che si basa sui singoli nodi: ogni computer che si
collega alla rete diventa un nodo di Ants che trasmette agli altri dei messaggi. Questi
possono essere messaggi di collegamento, di ricerche oppure file trasferiti.
Gli IP e gli ID di coloro che condividono i file sono separati ed indipendenti: quando si
scarica un file lo si preleva da un ID senza poter sapere quale sia il nodo di origine per
il download.
ANTs P2P non ricorre agli indirizzi IP tradizionali e, quindi, non permette di rintracciare
il computer di colui che sta condividendo un determinato tipo di materiale. A tal fine
ANTs P2P utilizza un suo protocollo di instradamento proprietario, indipendente dal
TCP/IP e protetto con tecniche di crittografia.
Tutte le trasmissioni vengono effettuate utilizzando dati criptati e, pertanto, non sono
leggibili, ma solo individuabili in termini di sorgente e destinazione. Non è, quindi,
possibile capire cosa faccia un singolo nodo, perché potrebbe inviare dati, farli passare
ai nodi vicini o anche semplicemente non fare nulla.
A ciò si aggiunga che ANTs P2P supporta sia la cifratura end-to-end ovvero quella tra
due nodi adiacenti sia quella endpoint-to-endpoint, ovvero tra i due PC che si trovano
in comunicazione alle due estremità della rete. Non è possibile intercettare queste
comunicazioni o stabilire cosa si stiano scambiando i due PC.
12. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
Ants P2P ed anonimato
Tunnell http: ANTs P2P è in grado di comunicare con l’esterno anche se si trova dietro
ad un firewall aziendale che, teoricamente, dovrebbe impedire le comunicazioni P2P. Il
programma riesce a fare questo camuffando le sue comunicazioni da normali
connessioni web (cioè connessioni HTTP).
Server HTTP: per pubblicare su Internet documenti e siti web senza rivelare in alcun
modo la propria identità e la propria posizione. La pubblicazione avviene sulla rete
proprietaria di ANTs P2P (non sul normale web) e sfrutta gli stessi meccanismi di
protezione del sistema di scambio file. La navigazione e l'accesso alle pagine avviene
attraverso il programma che consente di visualizzare un elenco delle pagine web
disponibili nelle rete Ants. Una volta ottenuto l'elenco e scelta una pagina di interesse
con il pulsante destro del mouse si attiva il proxy e, una volta attivato, si apre la
pagina con il browser. La navigazione in quella pagina avviene poi normalmente, ma i
dati arrivano in forma anonima direttamente attraverso la rete ANTs.
13. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
II. Strumenti di anonimato
TOR
Electronic Frontier Foundation,
Tor è una sigla che sta per The Onion Router ed è un programma, promosso dalla
14. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
TOR promette di garantire una navigazione del tutto anonima. Rappresenta, oggi, lo
stato dell'arte in questa disciplina.
L'utilizzo di Tor riduce al minimo la possibilità di utilizzare l'analisi del traffico, sia
semplice che sofisticata:
le transazioni vengono distribuite attraverso molti nodi della rete, in modo che sia
estremamente difficile collegare una transazione alla sua effettiva destinazione: invece
di seguire il percorso più diretto dalla sorgente alla destinazione nella rete Tor i
pacchetti rimbalzano attraverso molti server, che non si limitano a "fare da sponda",
ma collaborano attivamente alla copertura delle tracce, in modo che nessun
osservatore, situato in un singolo punto della rete, possa dire da dove venga o dove
sia diretto un certo pacchetto.
In breve Tor è una rete virtuale all'interno della quale le informazioni viaggiano cifrate
e nascoste: quando un utente che sta usando TOR si connette ad un sito web, la
richiesta invece di essere inoltrata direttamente al sito web viene cifrata, incapsulata e
inviata ad uno dei nodi della rete Tor.
II. Strumenti di anonimato
TOR
15. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
Il software agisce creando un circuito di connessioni crittate attraverso i server della
rete; il circuito viene esteso un salto alla volta e ogni server lungo il percorso conosce
solo quale server gli ha dato le informazioni, e verso quale server inoltrarle. Nessuno
dei server conosce, o è in grado di ricostruire, il percorso completo che il pacchetto ha
preso. Per garantire che nessun nodo riesca a tracciare le connessioni durante il
passaggio Tor negozia una nuova coppia di chiavi crittografiche ad ogni salto.
Il mittente originario, al quale deve essere rispedita la risposta, è sempre contenuto in
un pacchetto cifrato e la cifratura cambia da nodo a nodo. Ogni nodo in pratica può
svelare soltanto un livello, ma la risposta tornerà al mittente originale senza che i nodi
intermedi ne possano sapere di più.
II. Strumenti di anonimato
TOR
16. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
In ambito investigativo le maggiori preoccupazioni vengono soprattutto dalle darknet
che è possibile costruire utilizzando i rendezvous point e gli hidden services di Tor.
Si tratta di una vera e propria rete nella rete, completamente anonima ed accessibile
soltanto agli utenti del programma che conoscono l'indirizzo preciso (sono tuttavia
presenti alcune pagine di indicizzazione). La rete, forse la principale darknet per
importanza, ha suoi motori di ricerca interni (solo per le pagine che accettano di
essere indicizzate), forum di discussione, BBS, siti web ed anche una propria hidden
wiki, versione anonima della celebre enciclopedia.
I rendezvous points rappresentano lo strumento con cui Tor consente ai suoi utenti di
collegarsi ai servizi anonimi offerti da altri utenti senza conoscere il reale indirizzo IP
del server che ospita i contenuti.
E' proprio questa la caratteristica più interessante degli hidden services: è possibile
attivare e gestire un sito web senza che sia possibile localizzarlo, ma consentendo a
chiunque di accedervi. Le possibilità sono molteplici:
II. Strumenti di anonimato
TOR: il signore delle darknet
17. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: divulgazione sicura di file
18. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: divulgazione sicura di file
19. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: divulgazione sicura di file
20. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: forum di discussione
21. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: forum di discussione
22. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: forum di discussione
23. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: proclami e pubblicazioni
24. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: proclami e pubblicazioni
25. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: siti web
26. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: BBS e scambio files
27. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: analisi del traffico
28. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
III. Darknet ed indagini
TOR: analisi del traffico
Immagini tratte da http://secunia.com/advisories/product/38557/
29. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
Non si può omettere di ricordare Torpark, un pacchetto integrato contente Tor,
Privoxy e il browser Firefox per l'ambiente Windows. La particolarità di Torpark è che
tutte e tre le applicazioni non necessitano di installazione per essere lanciate e che le
stesse salvano dati unicamente nella propria cartella. Installando Torpark su una
chiavetta USB si dispone di uno strumento di navigazione anonima e portatile
utilizzabile in luoghi di navigazione pubblica.
Oggi come oggi è ipotizzabile che un sospetto utilizzi una chiavetta USB da 48 Gb,
vi installi un suo sistema operativo live e sia in grado di delinquere con la relativa
certezza di uscire indenne anche da una perquisizione domiciliare con relativo
sequestro del PC.
IV. TorPark
TOR ovunque...
30. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
V. Wardriving ed anonimato
L'alternativa.
L'alternativa a TOR ed ai vari programmi di anonimato è rappresentata dalla
possibilità di accedere abusivamente ad una rete wi-fi ed utilizzarla per i propri
scopi.
In questo caso eventuali abusi ed illeciti saranno imputati al titolare della rete che
potrebbe anche trovarsi nell'impossibilità di dimostrare la propria innocenza. D'altra
parte non può trascurarsi che una rete Wi-Fi appositamente lasciata priva di
strumenti di sicurezza potrebbe rappresentare un ottimo alibi...