dark internet

All posts tagged dark internet

eric-eoin-marques-2.jpg

Presunto facilitador de pornografía infantil enfrenta extradición a EEUU y posible cadena perpetua

En el 2013, el FBI explotó una vulnerabilidad de día cero en Firefox para tomar el control de una red Dark Web de sitios de pornografía infantil. A partir de ahí dieron con el presunto operador y propietario de esa red hospedad en Freedom Hosting, Eric Eoin Marques de 33 años, quién fuera arrestado en Irlanda ese mismo año bajo orden de los Estados Unidos y quien ha estado bajo custodia desde entonces. Esta semana, la Corte Suprema de Irlanda despejó el camino para que Marques sea extraditado a los Estados Unidos.

El FBI ha calificado a Marques como el facilitador más grande del mundo de pornografía infantil. Es buscado por cuatro cargos vinculados a sitios ocultos de pornografía infantil entre los que se incluyen “Lolita City” y “PedoEmpire“, que según el gobierno son extremadamente violentos, gráficos y que representan la violación y la tortura de niños pre-púberes. Los investigadores alegan que los sitios en Freedom Hosting tenían miles de clientes y generaron a Marques más de $1.5 millones de dólares.

Durante años, Freedom Hosting había desarrollado una reputación como un refugio seguro para alojar pornografía infantil. Marques supuestamente operaba Freedom Hosting como una solución “llave en mano” para sitios web que ocultan su verdadera ubicación con Tor, una herramienta de anonimato en línea.

Solo se pudo acceder a los sitios utilizando el paquete del navegador Tor, que se basa en el navegador web Firefox. El 4 de agosto de 2013, agentes federales de los EEUU explotaron una vulnerabilidad previamente desconocida en la versión 17 de Firefox que les permitió identificar las verdaderas direcciones de Internet y los nombres de las computadoras de las personas que utilizan el Navegador Tor para visitar los sitios de pornografía infantil en Freedom Hosting.

A Marques, que posee doble ciudadanía irlandesa-estadounidense, se le negó la libertad bajo fianza y se mantuvo en espera de su proceso de apelación de casi seis años para impugnar su extradición. Los investigadores del FBI dijeron a los tribunales que temían que intentara destruir las pruebas y / o huir del país. Los agentes del FBI declararon que Marques había hecho investigaciones sobre cómo obtener una visa y entrada a Rusia y de cómo establecer la residencia y ciudadanía.

Mi sospecha es que estaba tratando de buscar un lugar donde residir para que fuera lo que más difícil ser extraditado a los Estados Unidos“, dijo el agente especial del FBI, Brooke Donahue, a un tribunal irlandés en 2013.

¿Un exploit desarrollado por el FBI?

Incluso antes de que el FBI testificara ante el tribunal sobre sus acciones, empezaron a surgir pistas de que el exploit de Firefox utilizado para registrar la verdadera dirección de Internet de los visitantes de Freedom Hosting se desarrolló específicamente para los investigadores federales de EEUU. En un análisis publicado el 4 de agosto, el ingeniero especialista en ingeniería inversa, Vlad Tsrklevich, concluyó que debido a que el payload de la vulnerabilidad de Firefox no descargaba ni ejecutaba ninguna puerta trasera secundaria o comandos “es muy probable que esto sea operado por una [agencia policial] y no por los blackhats “.

Según The Irish Times, en unos pocos días es probable que Marques sea escoltado desde la prisión de Cloverhill hasta el aeropuerto de Dublín, donde lo embarcarán en un vuelo con destino a EE. UU. Y lo esposarán a un mariscal de EE. UU. Si es declarado culpable de los cuatro cargos, se enfrenta a cadena perpetua (30 años por cada cargo).

Referencia: https://krebsonsecurity.com/2019/03/alleged-child-porn-lord-faces-us-extradition/

leer más
Isaul CarballarPresunto facilitador de pornografía infantil enfrenta extradición a EEUU y posible cadena perpetua
1-1.jpg

Prosperan las ventas de certificados SSL/TLS en la Dark Web

En los últimos años han surgido mercados prósperos en la dark web, uno de los más recientes es el de los certificados SSL/TLS en la Dark Web. En estos se venden los certificados como bienes individuales con una variedad de malware y otros servicios auxiliares.

Así lo afirma una investigación de Venafi, la Universidad de Surrey y el Grupo de Investigación de Ciberseguridad basada en la evidencia en la Escuela de Estudios de Políticas Andrew Young en la Universidad Estatal de Georgia. El informe fue presentado en la Conferencia RSA 2019 en San Francisco.

La investigación echó un vistazo a cinco mercados representativos en la dark web: Dream Market, Wall Street Market, BlockBooth, Nightmare Market y Galaxy3. Se descubrió que todos estos mercados están facilitando accesos para los ciberdelincuentes que desean falsificar sitios web, espiar el tráfico cifrado, realizar ataques de intermediarios y robar datos confidenciales.

Cuando los ciberatacantes pueden acceder a SSL/TLS legítimos, logran configurar phishing y otros sitios maliciosos que parecen inocuos para las medidas de seguridad. Así que ante el software de navegación segura pasan completamente desapercibidos.

¿Qué son los certificados SSL/TLS?

SSL (Secure Socket Layer) y TLS (Transport Layer Security) son dos protocolos criptográficos cuyos propósitos son proveer autenticación y cifrado de datos entre servidores, máquinas y aplicaciones (web, email, FTP, VoIP, VPN) que operan a través de una red.

Los investigadores se toparon con un problema de ciberseguridad enorme: encontraron certificados de validación ampliados con servicios para soportar sitios web maliciosos. Aparecían formulados con dominios de antigüedad indexados por Google, soporte postventa, servicios de diseño web e incluso integración con una variedad de procesadores de pago, incluidos Stripe, PayPal y Square. El informe declara:

“Los certificados SSL se mencionan en segundo lugar en la lista de servicios ofrecidos por este proveedor, junto con los ‘dominios antiguos’, es decir, los sitios web que se han registrado y están activos durante un largo período de tiempo, lo que hace que el sitio parezca más legítimo. Los certificados SSL, TLS y los dominios antiguos se utilizan para transmitir confianza a los visitantes del sitio web y los motores de búsqueda”.

El análisis descubrió a por lo menos un proveedor clandestino llamado BlockBooth, encargado de emitir certificados de Autoridades de Certificación acreditadas junto con documentación falsificada de la compañía. Entregaba además los Números DUNS (Sistema patentado desarrollado y regulado por la empresa calificadora Dun & Bradstreet) que son números de identificación únicos de nueve dígitos que corresponden a la ubicación física de una empresa.

El paquete de productos hace que los atacantes tengan una imagen creíble y de confianza, que trabaja desde EEUU o Reino Unido con precios asequibles (US$2,000) en este tipo de mercados. “Este estudio encontró evidencia clara de la venta rampante de certificados TLS en Dark Net”, concluyó Kevin Bocek, vicepresidente de seguridad e inteligencia de amenazas para Venafi. 

Un análisis de los resultados en dichos marketplaces arrojó los siguientes datos:

Por mucho la cantidad de resultados con las palabras ‘SSL’ y ‘TLS’ supera otros servicios relacionados con el cibercrimen.

“Los certificados TLS que actúan como identidades de máquinas confiables son claramente una parte clave de los kits de herramientas disponibles para los ciberdelincuentes, así como los bots, ransomware y spyware. “Hay mucha más investigación que hacer en esta área, pero todas las organizaciones deberían preocuparse de que los certificados utilizados para establecer y mantener la confianza y la privacidad en Internet se estén empaquetando y vendiendo como productos enlatados a los ciberdelincuentes”.

Referencia:

https://www.helpnetsecurity.com/2019/03/06/ssl-tls-certificates-dark-web/

leer más
Diarleth G.Prosperan las ventas de certificados SSL/TLS en la Dark Web