Incident Response, Security and Forensics"

.

jueves, 11 de febrero de 2010

Depredadores

Una chica de 16 años contactada por Tuenti sufre una agresión sexual en cadiz.

El 'grooming' o acoso a los menores suele ser protagonizado por los adultos que, tras ganarse la amistad o confianza de aquellos a través de Internet, obtienen satisfación sexual mediante imágenes eróticas que el propio menor facilita insconscientemente o bajo amenaza.


En octubre pasado, la BIT detuvo en Cádiz a un depredador que llegó a ocasionar el suicidio de un niño Estonio de 11 años. El hijoputa de agresor se hizo pasar por una adolescente. El chantajista gaditano distribuyo las fotos de este niño ante los amigos de este. Ante la verguenza se pego un tiro con la pistola de su abuelo.

En Agosto un estudiante de 23 años tenía sometido a un bestial asedio a más de 200 adolescentes. Este personaje se pegaba más de 12 horas de caceria por Internet. Una chica de Madrid acosada por este individuo escribio una carta en la que decia "Mamá, no aguanto más. La única salida que veo es el suicidio"

El procedimiento que utilizan es muy simple, buscan un niño o niña que les encaje con sus fantasias sexuales. Les envía un mensaje haciéndose pasar por un adolescente, este solicita su dirección de correo y Messenger (en casi el 95% de los casos) para poder 'intimar' más en su confianza.

Los depredadores son expertos en informática comparados con sus victimas y visitán sitios 'underground' con el objeto de aprender a crear, utilizar y distribuir troyanos a sus victimas para tener el control absoluto. De esta forma tienen acceso a su correo, lista de amigos y demas ficheros.

Como ejemplo voy a poner unas pantallas de un caso que todavía sigue abierto, pero que por motivos etico-morales voy a exponer.

ENTRANDO AL CHAT

Parece ser que este individuo depredador 'habita' por un conjunto de chats de acceso publico y no moderado. La victima de nuestro caso es una adolescente de 16 años y de nombre Eva.

Una vez que nos han pasado sus datos y bajo tutela notarial y judicial nos hacemos pasar por la victima, estos son algunos resultados.

1.- Entramos al Chat (uno muy famoso) a la hora más o menos prevista. El sujeto en cuestión abre una sesión personal de chat conmigo y esta es la conversación. Simplemente le seguimos el juego.


2.- Me invita a una sesión personal en el Messenger. Entro antes que el y el sujeto aparecía como desconectado y con el nombre de 'Carla'. Nada más entrar lo cambia y se llama 'yo'

Comprobamos su perfil publico en Live Messenger, apenas tiene nada, tan solo confirmamos que se hace llamar 'Carla'

 
3.- Seguimos con la conversación y esta sube de tono...la cosa se calienta .
 
 4.- En este punto es cuando 'me seduce'
  
 

Esta conversación la reduzco y vamos al grano. Despues de unos días de conectarnos y hablar durante horas me dice que me manda un albúm de fotos en un fichero. Este se llama "book_barna.jpg.exe.zip" .  Además con objeto de obtener más información de este 'pajarrraco' vamos a obtener como minímo la dirección IP desde donde nos manda el fichero, dado que el envío de archivos no pasa por los servidores de Microsoft.

 

Como nota hay que decir :
  • La videoconferencia, audio, video y llamadas de PC a teléfono utilizan los puertos UDP 5004-65535 (desde el puerto UDP 5004 hasta el puerto UDP 65535). 
  • Compartir aplicaciones y pizarra utiliza el puerto TCP 1503
  • La transferencia de archivos requiere los puertos TCP 5000-6900. Estos puertos permiten hasta 10 transferencias simultáneas por usuario. 
Para ver la IP publica durante la transferencia del fichero hacemos un NETSTAT. He borrado las IP's por confidencialidad, dado que el caso está abierto. En este caso ya lo tenemos.


EL FICHERO BOOK_BARNA.JPG.EXE.ZIP

¿Que nos ha mandado nuestro amigo?. Vamos a ver que opina virustotal.



 

Parece que hay un troyano que solo lo detectan dos casas de antivirus pero indetectable para todos los demas.

Y como se suele decir hasta aquí puedo hablar....

CONCLUSIONES

Hay que incrementar los esfuerzos para proteger a nuestros más jóvenes. Entiendo que con programas de formación o algo parecido. ¿Recordais cuando nuestros padres nos decían?

.- Si un señor te da un caramelo no lo cojas
.- Si te dice que te vayas con el no lo hagas

¿Tan difícil es extrapolar a internet esa concienciación?, ¿Que les pasa a los padres?, ¿saben que hacen sus hijos cuando están horas y horas conectados a internet?.

Creo que es hora de que la concienciación fluya dado que la tecnología nunca podrá solucionar este problema, mas cuando los depredadores aprenden a manejar troyanos como verdaderas pistolas de fuego y es que esta claro, las reglas han cambiado y nuestra forma de actuar también.

19 comentarios:

Desde luego el problema es que los padres no entienden de internet y los niños no entienden de manipulaciones por la ingenuidad de la edad...

Más formación, a niños y a padres,
urge!

Besos

Hola Mariola:

Tienes razón los juguetes han cambiado,y las personas también. Los padres son comodos y no entienden o no quieren entender que es y que no es internet. Por otro lado los 'depredadores de niños' han encontrado otros juguetes y otras formas de acoso.

Gracias por el beso!! ;-)

Se puede hacer público el paquete trampa que envía esta rata para someterlo a análisis

Saludos

Como dice dead... ¿Podrias pasarnos las estupendas fotos? Es decir, tambien me gustaría jugar un rato con el bicho y analizarlo.

Hola!

Me preocupa ese paquete con una utilidad de hacking que solo detecten dos antivirus de Virustotal.

¿Se puede tener más informacion sobre ese paquete?

Saludos

En Windows Live Messenger también se realizan conexiones directas entre los equipos para pasarse los emoticonos personalizados y avatares.
Un icono propio que consista en una imagen 1x1 blanca puede ser perfecto para dicha tarea.

Prueba este filtro estando en Messenger y cambiando tu avatar por uno nuevo o creando un emoticono nuevo y enviándoselo.
tcp contains "srddA-lanretxE"

Gran labor la tuya, saludos!

Dead@, Winsock@-> De momento el caso esta en el juzgado y no puedo pasar 'el bicho', pero cuando salga el juicio, que creo que será sonado en los medios, lo colgare para vuestro estudio y disfrute. La única condición es que nos mostréis los resultados.

Thor@-> Muy bueno, lo probaré

Gracias a todos!!

Tiene que ser difícil tratar con estos temas, pero al menos si se consigue atrapar a semejante especimen vale la pena.

Muy buenas tardes, Pedro

A mí en la Universidad no pasa mes en las que un profesor/a me viene todo preocupado y me dice "oye tú que sabes de seguridad ... ¿cómo puedo bloquear/ver el Tuenti/MSN/Facebook de mi hijo/a?".

Yo les respondo siempre lo mismo: "No vas a poder restringir el uso de tu hijo de las redes sociales. Simplemente no tienes el tiempo ni las ganas que van a poner ellos en saltarse cualquier cosa que les pongas por delante".

Lo que hay que hacer es concienciar y enseñar. Con unas cuantas normas básicas "no des datos personales, no te fíes a primeras de nadie" yo creo que cualquiera con dos dedos de frente puede estar a salvo.

Y dado que los tengo a mano ... 3 docs del INTECO que vienen como anillo al dedo:

Guía sobre ciberbullying y grooming

Guías de ayuda para la configuración de la privacidad y seguridad de las redes sociales

Estudio sobre hábitos seguros en el uso de las TIC por niños y adolescentes y e-confianza de sus padres

Antonio@-> Gracias por los documentos, siempre toda ayuda viene bien. Un abrazo tio.

Pedro, que pasaría si uno quiere sacar información mediante algún tipo de malware a ese individuo?, claramente colaborando con la gente de Delitos Telemáticos, pero me refiero que si aparte de ayudarles, te pueden causar de algo por usar malware contra ese tipo.

SharkI.

SCB Lab's@-> Hola. Si le ponemos un troyano a este individuo podemos incurrir en una falta por intrusión a la intimidad y revelación de secretos, cosa que es penada según la actual ley Española.

Este tipo de actuaciones no las pueden realizar las fuerzas del estado (ni nadie), dado que están dentro de la Ley y en consecuencia no puede actuar al margen de ella.

En solo contados casos se puede actuar siempre y cuando el Juez encargado del caso lo considere oportuno y siempre dentro del marco de la Ley, como es el caso de escuchas telefónicas en casos de terrorismo (SITEL.

En conclusión y con la ley en la mano no se puede (mejor dicho no se debe).

Saludos,

Pedro

Ok Pedro, por cierto abri un pequeño debate sobre este hilo en el foro de indetectables por si te quieres pasar y dar tu opinión.

http://indetectables.net/foro/viewtopic.php?f=10&t=18386

Un saludo

SharkI.

Lo que si es ilegal es vender malware como haces tu:
http://scblabsteam.blogspot.com/2010/01/keybank-v20.html

Rodrigo@-> Estoy contigo, que quede por delante, en esta vida hay que defender la intimidad, el honor y a estos que venden troyanos es como el que vende droga. Ahora vender pistolas es legal, utilizarlas para matar es ilegal. Cada uno con su problema y con la Ley.

Yo desde luego lo tengo claro, tan culpable es quien lo vende como quien lo utiliza. Tarde o temprano unos u otros sin saberlo estan monitorizados.

Estoy contigo!!

Pedro

Muy buen post Pedro, se me ponen los pelos de punta de pensar en esta gentuza en serio.

A ver si un día de estos tomamos unas cervezas y hablamos un ratillo que seguro que tenemos muchas cosas que contarnos!!!

@Rodrigo: Que yo sepa en el mercado hay keyloggers de uso educativo (vigilancia al menor, vigilancia personal local...) mi herramienta no es diferente a ello y por eso no es nada ilegal, se da unas ideas pero cada uno las usa con propias ideas.

@Pedro: Yo no vendo troyanos, y mucho menos atento contra la intimidad de los demás, que quede claro.

Saludos!

PD : Al final termino siendo peor que lo pedofilos que hay por la red.. .__.

Saludos.
¿Podrias ofrecer información, sobre las imagenes donde se muestran diferentes antivirus con sus versiones?..

Muy buenos datos de cómo se mueven estas personas y qué métodos utilizan. Debería ser de lectura obligatoria para los niños que andan por internet (y también para sus padres, claro).

Saludos
PLPLE