Incident Response, Security and Forensics"

.

miércoles, 6 de octubre de 2010

¿Donde estás lolisex? (Parte I)

Hola Lectores,

Carlos es una persona aparentemente normal, que en su vida hace las cosas que hacemos todas las personas normales, trabaja cerca de donde trabajas tú y es vecino de tu barrio, es amable, educado y culto, con unos ingresos medio-altos y es posible que hasta lo hayas saludado más de una vez. Pero la realidad a veces supera la ficción Carlos realmente es Lolisex un sujeto de aproximadamente 35 años, es un depredador sexual, que utiliza las redes sociales como medio de caza, también utiliza diversas personalidades, edades y sexos, su orientación sexual como el se define es 'amante de niños' conocido en el ambiente como 'BoyLovers'

Hoy voy a contar un caso, que todavía está en investigación, pero que considero importante para que si algunos/as  os pasa, por favor lo denunciéis. (En algunas de mis charlas lo suelo contar)

Como os habréis imaginado, he cambiado nombres y direcciones IP's, todo lo demás está en la denuncia.

Antes quiero aclarar como se pronuncian en España las leyes y voy a aclarar que es la pornografía infantil.

Se denomina pornografía infantil a toda representación de menores de edad de cualquier sexo en conductas sexualmente explícitas. Puede tratarse de representaciones visuales, descriptivas (por ejemplo en ficción) o incluso sonoras.

En España, según artíulo 189.1.a del Código Penal, se establece pena de prisión para "El que utilizare a menores de edad o a incapaces con fines o en espectáculos exhibicionistas o pornográficos, tanto públicos como privados, o para elaborar cualquier clase de material pornográfico, cualquiera que sea su soporte, o financiare cualquiera de estas actividades.". Sin embargo, en el punto segundo del citado artículo, se establece asimismo pena de prisión o multa por la sola posesión de material pornográfico, aunque cita para su propio uso, lo cual establece dudas sobre la voluntariedad de la posesión, y tampoco especifica si esto es aplicable a todo tipo de material y a todo tipo de soporte o formato.

Del artículo 189.7 puede interpretarse que la pornografía infantil no foto/vídeográfica (dibujos, animaciones) no es ilegal en España mientras no se hayan utilizado las imágenes o voz modificadas de un menor

LOLISEX

Lolisex es un 'pájaro' pederasta que en mi opinión personal, vende pornografía infantil, o como mínimo trafica con ello.

Vamos a ver como lo descubrimos:

Nuestra herramienta Spectum

Recibimos un correo en nuestro Honey-Spam (lo llamamos spectum). Este es un servidor con relay abierto y en el cual corre una aplicación que en base a una lógica y como parámetros de unos determinados 'strings' conseguimos obtener una copia del correo para su posterior análisis. Nuestro objetivo es monitorizar posibles phisings cuyo destino son los usuarios de entidades financieras. Aunque nuestro producto es primitivo (tiembla proyecto echelon)  hemos conseguido añadir funcionalidades como temas de pornografía infantil y últimamente estamos practicando con temas de terrorismo.

Como os iba diciendo recibimos este correo:



Como podemos apreciar en color amarillo, se anuncia algo parecido a comercializar con vídeos de niños y en la parte inferior tenemos una web como referencia. ¿que será esa web? salgamos de dudas.


Bueno, todo apunta a una bonita página alojada en un hosting en Rusia, donde se pueden subir imágenes, como no ofrece mucha información, voy a mirar por encima, es decir el hosting en si, proveedor, directorios virtuales, ficheros de configuración etc. Para ello voy a utilizar la herramienta DIRB, desarrollada por Ramón conocido en el mundillo de la seguridad como darkraver.

Este es el resultado que nos llevo al descubrimiento:



Tenemos un directorio de nombre "pappusi", lo más interesante de todo es que tenemos evidencias de ficheros dentro del directorio con alto contenido sexual y además visibles , es decir el servidor web Apache, no tiene la clausula "Options -Indexes" activada (vaya cagada del administrador).

Vamos a comprobarlo.


Esta foto es de las más normales, pero vimos algunas de miedo. 

Revisando los directorios virtuales y diversos ficheros nos vamos dando cuenta que hay foros (álbum) protegidos por contraseña, la cuestión es como nos podemos hacer con uno de estos, para poder ver la información que contiene.


Después de varias revisiones sin éxito, nos proponemos pasar a la acción. ¿Probamos con un SQL Inyection? La probabilidad de que tenga MySQL es alta dado que está desarrollado en PHP, vamos aprobar aleatoriamente...con algunos comandos y.......

OOOPSS!!! ¡¡PREMIO!!


Bueno, a partir de aquí, solo os diré que nos hicimos con las contraseñas de las bases de datos y pudimos entrar a la mayoría de los foros.

Ni que decir tiene como se lo montan estos pederastas, hay un foro en particular que solo hay imágenes con  poses de niñas modelo, en algún caso con autorización de los padres (¿un padre hace eso con su hija?). Desgraciadamente en esta vida, siempre hay desgraciados que a sus vez desgracian a sus hijos.

Aquí tenéis un ejemplo:


Mirando el listado de foros nos sorprende estos que están en Español (con contraseña)


Una vez dentro de uno de ellos nos encontramos con muchas imágenes de este tipo


Y al final de las imágenes comentarios sobre la foto y como podréis apreciar hay un tipo con la bandera de España. ¡¡ Vamos a por el !!.


Como se puede apreciar disponemos de una dirección IP, de dos cuentas de correo, fechas y hora. Con esa información vamos a sacar su perfil, su registro y por donde se mueve este pájaro y donde tiene el nido.

En la siguiente entrega veremos su blog y sitios que frecuenta y como con un poco de ingeniería social conseguimos identificarlo y atraparlo...


29 comentarios:

Interesante artículo. Muy bueno.

Acuérdate de ir poniendo las denuncias pertinentes a medida que descubras cosas nuevas. No hay que dejar esacapar a esos miserables.

Este tipo de artículos me ponen de buen humor :D

Sin duda tiene que ser un hackeo muy gratificante, sabiendo que acabas poniendo en "buenas manos" a gentuza de esta calaña.

Ahora a esperar la segunda parte

Dejanos las ips y demas, que veras que bien lo pasamos en sus servidores... Menuda colección de *·#$*+#

Que hijos de puta, no veas la mala sangre que me ponen estas cosas.

Menos mal que gracias a la guardia civil y gente como vosotros al final van cayendo. Se que lo sabes, y que vais sobrados, pero si os puedo ayudar con algo.

Excelente articulo, enhorabuena!

Saludos

Enhorabuena Pedro, por el gran profesional que eres, y a todo el equipo, gracias a vosotros y vuestro trabajo, gentuza como esa, irán a donde deben estar.

Un abrazo

No es correcto decir que es una enfermedad, una carencia, una deformación de la naturaleza propia del ser humano.
después de protegerse en la frase: “Las personas son siempre dignas del mayor respeto” y peor aún que apelen a sus derechos,cuando estos han vejado
y pisoteado aquellos derechos de estas pequeñas personas.
Es asqueroso que pueda existir gente que lastime, viole y lucre con la inocencia de un ser humano, sin ir mas lejos hasta la iglesia alberga a muchos
pederatas que esconden detras de una sotana y una cruz..es tan repulsivo que un obispo "JUSTIFIQUE" la pederastia porque hay niños que lo provocan.
Qué ha fallado entonces? ¿La Ley? ¿Los que la aplican? ¿Todo el sistema judicial? Es evidente que algo falla señores
y que las personas no se ven protegidas ni amparadas ni por la Ley, ni por los que la aplican.
No basta con disculpas ni buenas intensiones adornadas de palabras bonitas deberian de endurecer la ley para aplicar condenas justas que se cumplan.
Y en casos puntuales como pederestas, asesinos, terroristas, violadores..aplicar cadena perpetua porque para esta gente no existe la rehabilitación y
en casos muy puntuales y excepcionales como el que nos ocupa la pena de muerte.
Mediten sobre ello señores, pero seriamente no lo usemos como comentario en los cafés (a 1,60.

Gran post. Gracias por vuestra aportación. Enhorabuena!. Ojalá todo esto llegue a buen puerto y no se quede por el camino. Muchos de estos pájaros luego contratan abogados expertos en sacar a los pájaros de la jaula y no llegan ni a entrar.

Saludos.

Gran articulo, aunque menudas fotos....yo me pongo malo incluso de verlas de reojo....

Como cuestión que me surge, cuando dura mas o menos una investigacion de este tipo? Entre que empezais a ver mails, descubris material y demas...

Un post brutal en todos los sentidos: por el hecho de la "caza" de los sinvergüenzas, como de las actividades de estos ********** (censurado).

Estoy esperando leer el siguiente post.

Gracias Pedro.

A por ellos Pedro!!!

Menuda gentuza, ya les vale.

Una duda. Cuando te pones a ver el servidor y abres esas imagenes que nos enseás, estas se te quedan en la cache del navegador. ¿Luego te pueden decir que tienes imagenes "para uso personal" y meterte en un lio?

Gran artículo, gran trabajo. Mucho estomago para ver las fotos, mucho, pero que mucho.

Espero que algún día podamos tener la facilidad de poder evitar estas cosas en la red, la libertad en la red es una cosa pero esta es otra diferente.

Este es el tipo de trabajo que te hace ver las cosas de otro modo.

Suerte y que caigan muchos mas, si puede ser todos.

Un post genial, y la continuación promete! :D

Comentar que me parece una torpeza bastante grande por parte de estos bichejos guardar las IPs con las que se publican los posts (los datos de la última imagen son públicos para ellos, ¿no? De vista parece que no están sacados por vulnerabilidad). Bueno, eso y las demás pifiadas que se pueden ver en el post.

Pero shhhh, sus torpezas, nuestras ventajas :D

Muy bueno el post e impresionante el trabajo realizado.

Desgraciadamente existe este tipo de indeseables y afortunadamente contamos con gente como tú.

Pues no sé qué decirte ahora. Estoy como en medio... he sufrido abusos sexuales continuados a los 6 y a los 8 años... y por otro lado, he estudiado Educación Social, y nos han enseñado a que todos tienen derecho a equivocarse en la vida y a rectificar.

No estoy de acuerdo con la pena de muerte, y si me viera en el caso de tener que rehabilitar a un violador... no sé si podría, la verdad, es que creo que le pasaría el caso a algún compañero.

De todas formas, los violadores son las personas más dificiles de rehabilitar, estadísticamente comprobado.

El problema es que un abuso sexual de sólo 30 minutos, puede marcar a una persona de por vida, impidiéndole funcionar como una persona normal el resto de su vida. Algunas aprendemos con los años a vencer algunas secuelas, pero hay otras, que no se irán nunca.
El cuerpo queda sucio aunque te rasques con un estropajo, siempre te sientes sucia... y te queda en la mente grabado que lo único que quiere un hombre de ti, es tu cuerpo, y cuando tratas de buscar cariño, afecto, amistad en un hombre, sólo sabes hacerlo ofreciendo tu cuerpo...
Muchas hemos pasado una época promiscua, buscando no sé sabe el qué, cariño o afecto, y damos, lo que sabemos que buscan en nosotras, sólo sexo.
Pero no es fácil porque, una de las secuelas que dejan los abusos, es no poder hacer nada en la cama... y entonces? estás con uno y otro, una vez y otras más, tratando de averiguar qué le pasa a tu cuerpo, no sabes qué hacer, se ríen de ti, porque no eres capaz de decirles que abusaron de ti, y creen que eres tonta, o virgen, o dios sabe qué, y te sientes mal por ti, por no poder hacer nada y por ellos, porque sienten que los has engañado al quedar con ellos...

Miedo, desconfianza a los hombres, secuelas físicas, psicológicas...

Toda una vida, y a veces sólo por unos minutos... en mi caso fueron más que unos minutos, muchos días, y a los dos años después, muchos días también. Demasiados.

Yo pediría, no la cárcel, ni la pena de muerte, pero sí que no pudieran estar libremente sueltos, que estuvieran en centros controlados por psicólogos de por vida.

Me parece un post muy bueno, doloroso de leer y ver algunas imágenes, pero es la realidad, y hay que denunciarlo.

Buen trabajo!!

Besito

Denunciar acciones ilegales por medios ilegales. Hmm, sin hacer juicios de valores en prioridades, ambas son despreciables.
Ahora, haciendo juicio de valor, es la única forma de atrapar a esos hdp y proteger a los chicos.

Ah, aunque espero que en españa la legislación no incluya ficción o dibujos; soy amante del género loli de manga y fanfics, (consumo, produzco y vendo). En algunos países siquiera dibujarlo o escribir una ficción sobre pornografía infaltil es delito; eso atenta a la libertad de expresión.

#tmp001ns:
El género manga me parece muy respetable, ademas de ser consumidora, pero no debes confundir libertad de expresión con libertinaje.

En otros paises es delito dibujar pornografía infantil?? Si debería estar prohibido solo pensarlo!!!!!

Viejo... admiro tu trabajo, primero me gustó mucho tu post sobre el botnet (buenísimo y muy ético) y ahora esto, definitivamente admiro lo que haces (aunque creo que no debiste haberlo puesto, no por lo menos hasta atrapar a "lolisex").

Espero salga todo bien...

[+] Salu2
[+] ZioneR

#Aelita: No, no debería.La mente humana es libre. Podrás ponerme un chaleco de fuerza, tras las rejas en una celda oscura, que nada impedirá que siga fantaseando con nenas o desvistiendo mujeres en mi cabeza.

Además, ten en cuenta que la ley no define moral. Lo que la ley permite o prohibe no es porque sea bueno o malo, sino lo que es legal o no. Que la pornografía sea ilegal no es porque sea mala, sino porque así fue concensuado. En las culturas globalizadas modernas, con el paradigma de educación y desarrollo humano que se ejecuta, la pornografía es delito y criminalizada.

En otras culturas, no lo es. En japón puedes ir a cualquier tienda para adultos y comprar un DVD de 2 horas enfocando a niñas de 4~9 años en poses sugerentes mucho más "perturbadoras" que las imágenes de ese foro de "niñas modelo". Y es legal, y aceptado. En otras culturas, las relaciones son desde la pubertad, incluso matrimonios con consumación desde los 11, 12 años.

Todo depende de la cultura y la sociedad. Yo soy un buen ciudadano, y me atengo a las leyes de la sociedad en la que vivo. Nunca tocaría a una menor. Pero mi cabeza es mía, no compete la jurisdicción de ninguna sociedad, no quieras prohibirmelo ;).

Saludos.

#Mariola: Un caso delicado el tuyo. Tal y como comentas en tu blog. Eres quien eres por todo lo sucedido en tu vida, tal vez incluso por esos momentos tan desagradables. Si que se supone que estamos en una sociedad en la que se debe permitir la reinserción y se debe perdonar siempre y cuando quien comete el delito comprenda que no ha actuado bien porque sino no hay forma.
Animo Mariola y buen trabajo. Me alegra que pese a todo hayas decidido ayudar a gente que ha pasado el mismo calbario que tu y no hayas desaparecido entre la verguenza y los sentimientos negativos.
Un besazo!

Muchas gracias por compartir este trabajo con todos nosotros. Desde luego has conseguido "despertarnos" ante este tipo de conductas.

Un abrazo.

Gracias Fossie, guapa.

Besito

#Mariola; que dificil se me ha hecho encontrar cada palabra que pueda escribirte por este blog, decirte que lamento mucho todo lo que has pasado me suena poco, pero admiro tu fortaleza, tus ganas de vivir, tu entereza.
Sigamos denunciando cada caso, hacerlo sera vital para poder parar los pies a esta gentuza.

Muy bien, no estamos ni están solos.
Por fortuna, no todos somos caídos del zarzo y en estos crímenes todo lo que se haga: "VALE", últimamente lass miradas van a otro lado y esto suele olvidarse rápidamente.
Adelante!
Joshua
CIA-P
Central de Inteligencia Anti-pedofilia
http://joshua-hunter-boylover.blogspot.com/

Gracias Estela, te agradezco mucho el comentario, guapa.

Besito

Al margen de lo grande del artículo, hay un paso en que me pierdo.
Al hacer sql injection y forzar el error de mysql, de dónde extiendes que puedes sacar las contraseñas?
Llamando por http al fichero include típico de php, suelen estar en forma de variables dentro del código de php, por lo que no hay output hacia el navegador.
¿qué me he perdido?

@tupolev: Pues no se exactamente como lo habrá hecho porque no conozco el servidor que se comenta pero por lo general lo que se suele hacer con una inyeccion sql es acceder a las tablas del servidor y si hay alguna que se llame usuarios, admin, users o cosa similar pues es cosa de mirar que registros tiene y es sorprende ver que en muchos casos suele haber campos del tipo email y clave o user y pass y la contraseña aparece en texto claro (sin encriptar) o esta "oculta" tran un md5 (que es casi lo mismo que estar en texto claro ;) )

Pero en fin, todo depende de como hayan configurado el servidor d datos.

Hola Pedro. Hay una segunda parte de este trabajo de Investigacion ?

Me he enganchado con esta entrada y veo que no hay segunda parte...

Por cierto #Mariola, soy un chico!!! :D