Serverless & Bullet-Proof Web Sites (1 de 2)

En este artículo me gustaría contaros una pequeña PoC que hicimos en el equipo de Ideas Locas que teníamos guardada para algún evento de Web3, pero que como tengo ganas de contárosla, he decidido hacerlo desde hoy. No es un estudio completo, ni mucho menos, porque el escenario es enorme, pero se basa en un idea muy sencilla, que es hacer Serverless & Bullet-Proof WebSites, capaces de soportar el intento de bloqueo o censura de cualquier entidad.

Figura 1: Serverless & Bullet-Proof Web Sites (1 de 2)

Esto no es algo nuevo, y la Serverless Web lleva tiempo estudiándose, y trabajándose con diferentes arquitecturas, todas ellas totalmente distribuidas.

Dust-RSS

Uno de esos ejemplos fue un proyecto personal del equipo de Ideas Locas, en aquel entonces en Informática 64, en aquel entonces del año 2010, y que presentamos en la RootedCON de 2011 y se llamó Dust-RSS.

Figura 2: Dust-RSS en su presentación en RootedCON 2011

La idea era muy sencilla, evitar la censura de los servidores RSS de los blogs para permitir que cualquiera que tuviera algo que comunicar lo pudiera hacer siempre, y para eso diseñamos una arquitectura muy sencilla, basado en claves PGP y una red P2P para hacer la distribución. Esto hacía que no hubiera un único punto de fallo en el servidor web, ni en el DNS, y que con tener la clave pública PGP del publicador se pudiera buscar por redes P2P las publicaciones. 

Figura 3: Demo de Dust RSS funcionando

De esta forma, el publicador lo único que debía conservar era su clave PGP privada para poder poner en la red P2P una nueva publicación. La arquitectura funcionaba, pero se quedó en una PoC que presentamos en DefCON 2012, y que se quedó como un bonito experimento.

OSIRIS SPS

Uno de las arquitecturas que buscaba solucionar estos problemas de censura de servidores Web se trataba de OSIRIS SPS (Serverless Portal System) y su Gateway ISIS, para poder publicar servidores Web que no dependieran de un único punto de fallo. Para ello, la solución era similar a tener a páginas web cacheadas y compartidas por una red P2P.

Figura 4: Foro de Anime publicado en Osiris SPS visible vía Isis Gateway

Las páginas web de los portales que se ven a través de esas URLs realmente no están en ningún servidor web concreto, sino distribuidos por toda la red P2P de Osiris SPS, lo que impediría un bloqueo o censura del sistema. Es perfecto para crear foros y portales de denuncia social que no puedan ser quitados de Internet si no quieren sus usuarios.

DeepWeb: TOR, I2P, FeeNet, Hyperboria, CJDNS

Todas estas soluciones no accesibles a través de los navegadores de "superficie", son consideradas redes de la DeepWeb, no solo porque no son accesibles con las herramientas más comunes de Internet, sino porque además cuentan con herramientas y protecciones contra el control, ya sea cifrados especiales o como hemos visto, para evitar el bloqueo de sus contenidos, como en el caso de OSIRIS SPS o el sistema DUST RSS que utiliza mecanismos P2P para ello.  q

Figura 5: Libro de Deep Web: TOR, FeeNEt & I2P.  Privacidad y Anonimato 
de Daniel Echevarry a.k.a. "adastra" en 0xWord.

Por supuesto, muchas de las funciones de seguridad que se buscan en estas redes, están en las más conocidas de la DeepWeb como son  TOR, FreeNET e I2P, donde el cifrado de las comunicaciones es una de las claves en todas ellas.

Figura 6: Arquitectura de conexión CJDNS para la red Hyperboria

Pero la búsqueda de arquitecturas distribuidas y seguras ea algo que se ha estudiado mucho, como el caso de CJDNS y su red Hyperboria con conexiones cifradas y certificadas sobre IPv6, GNUNet, Lantern, YaCy para conseguir que no puedan ser accesibles los contenidos por nadie.

Malware en BlockChain

Por supuesto, pensar en arquitecturas Serverless y Distribuidas, es hablar del core de las cadenas de bloques de BlockChain, y utilizar las capacidades que tiene para poder almacenar datos de forma permanente y protegida con la distribución por diseño que tiene esta tecnología.

Figura 7: PoC de C&C con OP_Code en cadena de BitCoin

propuesta por Yaiza Rubio y Felix Brezo en EuskalHack 2017

En la EuskalHack del 2017, Felix Brezo y Yaiza Rubio hacían una demostración de cómo se podrían almacenar comandos de un C&C de una Botnet de malware en el campo OP_CODE la cadena de bloques de BitCoin.

Figura 8: Libro de "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo en 0xWord

Esto, al precio que está hoy el BitCoin parece un poco caro, pero esta idea de usar la cadena de OP_CODE para hacer servicios no es nueva, y algunos proyectos lo han utilizado en el pasado, aunque co la proliferación de cadenas de bloques a precios mucho más más económicos, hace que ya no sea necesario centrarse en ese campo.

Figura 9: Análisis del malware de Etherhiding

Y como muestra de esto lo hemos tenido con el caso del malware de Etherhiding, donde el binario del malware se han escondido dentro de la cadena de Binance Smart Chain, y ha utilizado SmartContracts para actualizarse.

Redes Sociales Descentralizadas

Por supuesto, la explosión de las cadenas de Blockchain, y otras arquitecturas distribuidas, hayan ido apareciendo en todos los verticales tecnológicos nuevos servicios que pretenden ser más resistentes contra los ataques a servicios descentralizados, como son las Redes Sociales.

Figura 10: Yo tengo mi curenta en Mastodon

Ahí, propuestas como Mastodom, Diaspora, Matrix, Block Square, que son sólo una pequeña muestra, han ido apareciendo por todos los rincones de Internet, y se han convertido en parte de la transformación y disrupción que se está viviendo en este mundo de las redes sociales.

Figura 11: Red social Diaspora 

Pero la descentralización de todos los servicios digitales que se están construyendo hoy en día. Algunos que se han hecho piezas fundamentales en las arquitecturas Web3, como el almacenamiento IPFS (Inter Planetary File System) del que ya hablamos.

Y esto nos lleva a nuestra PoC, que es cómo aplicar todas las arquitecturas al servicio fundamental de la web, y que como veremos es rápido y sencillo, pero será en la segunda parte de este artículo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Deep Web: TOR, FreeNET & I2P. Privacidad y Anonimato

Desde hoy mismo ya está disponible el nuevo libro de la colección de 0XWord que tiene como objetivo explicar el funcionamiento en detalle de las principales redes de la Deep Web. El libro, que lleva por título "Deep Web: TOR, FreeNET & I2P. Privacidad y Anonimato", se centra en explicar cuál es la tecnología detrás de cada una de las redes que se estudian y cómo se pueden configurar para que los usuarios obtengan con ellas Privacidad y Anonimato.

Figura 1: Deep Web: TOR, FreeNET & I2P

El autor es Daniel Echeverri, que ya ha publicado en 0xWord antes los libros de Python para Pentesters y Hacking con Python, y en sus propias palabras, el libro trata de lo siguiente:

Figura 2: Deep Web: Privacidad y Anonimato

"La privacidad es un derecho fundamental que se encuentra recogido en la declaración universal de derechos humanos, sin embargo es uno de los más vulnerados por gobiernos y entidades con altos niveles de autoritarismo y fuertes medidas de represión. La libertad de expresión en los tiempos que corren es considerada por muchas entidades como una seria amenaza para el orden público y debido a esto, últimamente se comienza a apreciar un aumento de leyes y regulaciones cuyo principal objetivo es el de controlar qué se puede y qué no se puede hacer o decir en medios como Internet. Esta situación ha dado lugar a grandes controversias y críticas sobre dichas regulaciones y debido a esto, desde hace algunos años se han ido creando y consolidando varios grupos de personas que se dedican a crear herramientas cuya finalidad es la de proteger la privacidad de sus usuarios por medio de mecanismos de anonimato fuertes. 

Se trata de herramientas con una finalidad bastante clara y con un nivel tecnológico alto, lo que ha permitido el surgimiento de las "darknets" en las que es posible encontrar personas que comparten información libremente sin ningún tipo de censura, no obstante, como ocurre con cualquier herramienta, pueden ser usadas de forma legitima para ayudar a personas que sufren abusos en zonas conflictivas o por ciberdelincuentes que se dedican a realizar actividades ilegales, valiéndose de los fuertes niveles de anonimato que aportan estas soluciones. En el presente documento encontrarás el funcionamiento de las principales herramientas para proteger tu privacidad y consolidar tu anonimato en entornos como Internet."

Además de las redes TOR, FreeNET e I2P, se explican también el funcionamiento de otras redes de la Deep Web, como el caso de Hyperboria con conexiones cifradas y certificadas sobre IPv6, GNUNet, Lantern, YaCy o de OSIRIS SPS, que utiliza mecanismos P2P como el sistema DUST RSS que creamos nosotros hace tiempo, para conseguir que no puedan ser destruidos los servidores. Para que podáis ver en detalle el contenido del libro, lo he subido a mi cuenta de SlideShare.

Figura 3: Índice del libro Deep Web: TOR, FreeNEt, I2P. Privacidad y Anonimato

Los libros ya están disponibles, y desde este lunes se comenzará la distribución de los mismos de forma individual y dentro del pack de Colección Completa, que consta de 33 libros, y en breve estará disponible también en los distribuidores de latinoamérica que tenéis indicados en la web de 0xWord.

Saludos Malignos!