miércoles, febrero 03, 2016

Conseguir la dirección IP de servidores TOR en la Deep Web por info leaks en las herramientas de monitorización

Cuando alguien monta un servidor en la red TOR de la Deep Web puede hacerlo por dos motivos principalmente. El primero es para estar más cerca de los usuarios que se sienten más libres y cómodos navegando a través de una red que ofrece un poco más de anonimato y privacidad. El segundo de los motivos es para no ser descubierta la ubicación del servidor. Por lo que se decida ocultar la ubicación del servidor ya es otro cantar con una gran variedad de argumentos. Se quiere esconder dónde se encuentra el servidor, y por tanto, la dirección IP de la red de Internet no debe conocerse.

Figura 1: Conseguir la dirección IP de servidores TOR en la Deep Web por info leaks

Es por ello, que si alguien decide montar un servidor en la red TOR para ocultar su dirección IP, debe evitar cualquier fuga de información que pueda reflejarla, y si no tienes cuidado en limpiar de tu servidor web cualquier herramienta de monitorización o estadísticas, se puede estar poniendo muy fácil esto. En Naked Secure hablaban esta semana de cómo servidores web en TOR tenían el conocido Apache Server Status abierto, lo que permitía reconocer dónde estaba el servidor realmente.

Figura 2: Apache Server Status

Sin embargo, no son solo esos los paneles que se pueden encontrar que filtren información de las sesiones o el entorno de ejecución de un servidor. Desde errores HTTP que muestran muchos más datos de los que se debería, hasta las famosas herramientas de monitorización que pueden añadirse a un servidor, pasando por los paneles de estadísticas que tanta información dan o los sistemas de traza de aplicación de una web de los que ya he hablado por aquí. 

Figura 3: Clásico AwStats

Cuando hablé de este tipo de herramientas de Server Testing o Server Monitoring os di una buena lista de ellas, pero es que el número de ellas es altísimo y en nuestras herramientas de fuzzing tenemos una lista bien grande ya, en las que voy añadiendo de vez en cuando las que me pasan conocidos y amigos cuando se topan con ellas. Por ejemplo, mi amigo rootkit me pasó un dork para localizar las herramientas ntop, que como podéis ver, muestran toda la información del tráfico de red.

Figura 4: Herramienta en Python de monitorización ntop

En este caso es más sencillo, ya que directamente muestran las direcciones IP que utiliza el servidor, lo que para alguien que tenga esto instalado en sus servidores puede ser bastante trivial que lo localicen. 

Figura 5: Conexiones de red con direcciones IP

Otras herramientas, como los paneles de configuración de routers o de información de sistema puede que no filtren directamente la IP, pero viendo virtual hosts, paths o datos del servidor, tal vez sea sencillo localizarla después cruzando la información.

Figura 7: Un Sysinfo con información de procesos y líneas de arranque de servicio

Y ni que decir tiene que, si se tiene un agente SNMP en el servidor, la cosa puede ser trivial, ya que consultando las tablas de enrutamiento con un downgrade del protocolo a SNMPv1 o SNMPv2 se puede sacar todo lo que tengas en tu red, en tu servidor Windows, o en tu servidor *NIX* publicado en la red TOR.

Figura 8: Información de red obtenida vía SNMPv2

Al final, no basta con solo utilizar una conexión a TOR para mantener el anonimato. Tienes que controlar todos los info leaks que las herramientas que corren en tu servidor puedan generar, porque si no, acabarán por revelar la información de la ubicación. 

Saludos Malignos!

Entrada destacada

IMPACT TALK en la UEM Business School en Youtube

El pasado mes de Julio fui invitado por la Business School de la Universidad Europea - donde sabéis que yo soy además director externo de...

Entradas populares