Incident Response, Security and Forensics"

.

miércoles, 10 de diciembre de 2008

Ladrones de inocencia

Internet es grandioso, eficaz y un gran sistema de comunicación que abre nuevas vías comerciales, de eso no hay duda, pero en ocasiones también se refleja la inmundicia humana y lo peor de la sociedad. Estoy hablando de la pornografía infantil.

Hace unos días denuncie unas páginas a la Guardia Civil. En estas páginas además de aparecer veladamente imágenes de menores, (o casi recién cumplidos los dieciocho) el autor decía en sus comentarios la incomprensión que la sociedad esta dando a este tema y que no entiende porque es malo enamorarse o tener relaciones con un menor. Vamos un asco.


QUIENES SON

Muchos pedófilos se organizan en internet en torno a lo que se denominan comunidades virtuales, en las que varios individuos comparten información, fotografías y vídeos utilizando herramientas gratuitas de las que se dispone en internet. Como es sabido los programas P2P y actualmente algunos hasta utilizan redes anónimas del tipo tor.

Algunas de estas comunidades estan formadas por 1 o 2 individuos, pero otras por más de 1000 miembros. El número de pedófilos que pueden estar organizándose en torno a estas herramientas, que les permiten exhibir sus fotografías de pornografía infantil, es ciertamente escalofriante.
Para comprobarlo solo hay que ver la cantidad de NewsGroup al respecto.


Toda esta lista esta denunciada por la Brigada de Investigación Tecnológica

Y cuando entras en algún foro te encuentras 'perlas' como esta:



La detección no es muy complicada, solo es cuestión de navegar y tener intuición. El problema es quitarlos de la circulación y en ocasiones hasta google (y por decir más, Blogspot) ha tenido (y tendrá) problemas por los contenidos 'inapropiados' que han sido denunciados por personas anónimas o por fuerzas del estado. Para denunciarlos solo hay que tener valor y fuerza. Fuerza para aguantar el tipo ante imágenes espeluznantes y valor para seguir haciéndolo.

No entro en detalles de como se busca esta información por no dar pistas a nadie en un blog público, pero existen multitud de herramientas que permiten la búsqueda y seguimiento de personas a través de sus direcciones de correo por multiples sitios web, foros y grupos de internet. Si alguno está interesado me puede mandar un correo.

Aquí os dejo algún ejemplo de este tipo.



En sus e-mails y foros solo intercambian "material" que involucra niños de entre 4 y doce años de edad; Se resalta la forma como intercambian ideas de como conquistar niños, cómo seducirlos e incluso de como "botarlos" porque ya no los quieren. No son pedófilos, son bestias sin sentimientos.



Cerrar un sitio web de estas características, dependerá de donde este ubicado el servidor. Por ejemplo en Rusia esta permitido o bien es muy complejo demostrar que se esta cometiendo un delito. Si le sumamos el lucrativo negocio de las mafias que ganan mucho dinero con ello, hace que seguir la pista sea una empresa muy difícil, escapando en muchas ocasiones de la justicia. De todas formas han salido muchas iniciativas por las que los grandes fabricantes y proveedores de servicio se han unido para evitar la expansión de estas actividades. Un ejemplo de ello es Microsoft y Google.

En España, estamos teniendo un buen resultado y prácticamente cada uno o dos meses 'caen' estos pajaritos que 'trapichean' con material pedofilo.

Algunas webs se han cerrado. Pero siempre quedan algunos, especialmente un tipo al que realmente le tengo ganas de que las fuerzas del estado le metan mano es a Dennist1000, su nick.
Este es un ejemplo de página que eliminaron hace muy poco.



COMO SE DETECTAN

La herramienta que más se utiliza por la Guardia Civil, se llama Hispalis., que consiste en rastrear e identificar fotografías e imágenes a través de internet.

Inicialmente fue creado por la firma Española 'Astabis Data Management', Hispalis cuenta con un avanzado sistema detector de huellas, si se les puede llamar así, las mismas que siempre se dejan al momento de crear, transferir y colocar un archivo en internet.

Actualmente ya son más de diez años de alimentar una base de datos con material pornográfico incautado, el cual asciende a 350,000 fotografías y vídeos en los que los niños, por desgracia, son los actores principales.

Una de las operaciones mas sonadas se llama 'Azahar' y arrojó sus primeros resultados en octubre de 2005, los cuales fueron más que halagüeños: 629 objetivos ubicados entre 8,670 usuarios de redes analizadas; en concreto, se detuvo a 24 personas en España y a más de 100 en otros 19 países, incluyendo cuatro pederastas en México. Esta noticia que fue un éxito en esa fecha, prácticamente se viene repitiendo cada cierto tiempo.

Entre las herramientas a utilizar también destaco 'Reveal' que esta desarrollada por una fundación estadounidense dedicada a la protección del menor y que se puede descargar de forma gratuita desde aquí .

Aunque no es una herramienta dedicada al análisis forense, la verdad, es que cumple a la perfección esta función.

La herramienta clasifica la busqueda según su base de datos. Para su clasificación se basa en categorias de su diccionario:

También los resultados son elocuentes y se acercan bastante a la realidad, la utilidad genera un HTML para exponer los resultados

Otra forma de analizarlo consiste buscando titulos utilizando expresiones regulares, metodo estupendo si utilizamos Linux

ambien (?i)[a@/]+\\?.?m+.?[b8]+.?[i:1!\|]+.?[e3€]+.?n+\b
anal (?i)\banal\b
credit (?i)\bc.?r.?[e3€].?d.?[i1!:\|].?[t\+]
discount (?i)\bd.?[i1!:\|].?[s235$].?c.?[oQ0].?[uv].?n.?[t\+]?
ejaculation (?i)ejaculation
enlargement (?i)enlargement
money (?i)\bm.?[oQ0].?n.?[e3€].?y
mortgage \b[Mm].?[OoQ0].?[Rr].?[Tt\+].?[Ggq].?[Aa@/][\\]?.?[Ggq].?[Ee3€]?
penis (?i)\bp+.?[e3€]+.?n+.?[i1!:\|]+.?[s5$]+\b
porno (?i)\bp.?[oQ0].?r.?n.?[oQ0]?
sex \b[Ss25$].?[Ee3€].?[Xx].?[Yy]?\b

También otra forma mas comoda es utilizando un clonado del disco y analizar la memoria del fichero de paginación. Esta solución es la que mejores resultados da en conjunción con alguna herramienta de recuperación de ficheros. Si ademas la combinamos con utilidades del tipo FTK podremos tener una linea base y timestamp de los ficheros con pornografía infantil.

Por ultimo dejar constancia de links donde podemos formular preguntas y denuncias de forma anónima.

Páginas Web de lucha contra pornografía infantil:

  1. Asociación Contra la Pornografía Infantil
  2. http://www.asociacion-acpi.org

  3. Protégeles
  4. http://www.protegeles.com


2 comentarios:

Muy buen post Pedro. Lo que me parece penoso es que esta gente no se pase el resto de su vida en la carcel, hace poco en la redada que cogieron a 200 personas y no metieron a prisión a nadie, y algunos eran reincidentes, la verdad es que no entiendo a la justicia.

Se pegan años y años haciendo leyes estúpidas que no valen para nada y peleandose entre ellos en el congreso y luego cuando tienen que hacer una ley de verdad no hacen nada...

Creo que hay gente que se dedica a buscar páginas de este tipo para denunciarlas, normalmente ONG's y asociaciones similares.

Lo de siempre...Internet es una herramienta muy potente...pero si se usa mal...

Totalmente de acuerdo con Asfasfos. Las leyes de este pais son ridiculas. No quiero imaginar la impotencia de los cuerpos de seguridad al logar por fin detener a estos enfermos y ver que por culpa de X ley quedan libres.

Una cosa que siempre he querido hacer es, cuando haga tiempo, buscar páginas de este tipo e intentar sacar los máximos datos posibles para denunciarlo.
Lo único que me retiene a parte del tiempo es que no se si quiero tener que enfrentarme a esas imágenes. A parte obviamente de que me pueda meter en lios porque se piensen que busco esas páginas y usuarios con motivos distintos a denunciarlos, claro está.

Espero sacar lo necesario para hacerlo algún día.