miércoles, octubre 05, 2016

Cómo rastrear la compraventa de exploits pagados con Bitcoins #Bitcoin #Litecoin #DarkWeb #exploits

Las criptodivisas están evolucionando como un medio de pago cada vez más utilizado en la red. La falta de control de éstas y su descentralización no ha pasado desapercibida para los delincuentes que han visto en ellas el vehículo perfecto para monetizar sus negocios y canalizar de una forma mucho más compleja de rastrear las operaciones realizadas.

Figura 1: Cómo rastrear la compraventa de exploits pagados con Bitcoins

Esta funcionalidad ha abierto las puertas a la reciente oleada de ataques de ransomware que piden Bitcoins como rescate, o a la ya poco novedosa aparición de plataformas destinadas a la compra-venta de artículos no regulados. Este tipo de aproximación es, por ejemplo, la utilizada por los usuarios de TheRealDeal, uno de los sitios de la red TOR en donde más bases de datos filtradas se han estado exponiendo recientemente.

Utilización de criptodivisas en la compra de exploits: 0day.today

Un mal uso del concepto también puede arrojar más pistas de las necesarias sobre la verdadera identidad de un comprador. Por poner un ejemplo, 0day.today es un sitio web orientado a la compraventa de exploits en la red. Entre los métodos de pago aceptados por la plataforma se encuentra Bitcoin, Litecoin o Dogecoin así como muchos otros métodos de pago convencionales como VISA, Perfect Money, Webmoney o Western Union.

Figura 2: Métodos de pago aceptados por 0day.today para la compra de exploits

Desde el punto de vista de un investigador, conseguir establecer una relación sólida entre una dirección de Bitcoin y un perfil de una red social o de un foro es un elemento de conexión con el mundo físico que puede ser utilizado para enganchar elementos que podrían parecer inconexos. En el transcurso de una investigación, contar con acceso a un monedero (incluso para aquellos que están cifrados y que no se podrían incautar) puede ser suficiente para relacionar a dos personas a partir de las operaciones realizadas entre sus cuentas.

Todas las transacciones realizadas traducen el dinero transferido en 1337day Gold, un token que representa 1 USD y que se puede utilizar dentro de la plataforma para comprar nuevos exploits o para contratar servicios dentro del mismo. El sitio web, que comparte el mismo diseño con otras plataformas orientadas a la filtración de bases de datos, también puede ser accedido a través de un Hidden Service de la TOR. A través de ella, sus usuarios pueden ofrecer exploits locales y remotos de forma gratuita así como ofrecerlos de forma privada a cambio de cantidades de Gold que van desde unas pocas decenas hasta varios miles y realizar el crackeo de passwords.

Figura 3: Vista principal de los exploits ofertados en el sitio web

La plataforma ofrece la posibilidad de contratar sus servicios utilizando diversas criptodivisas entre las que se encuentran Bitcoin, Litecoin o Dogecoin. El hecho de que aparezcan estas criptodivisas es de por sí natural en plataformas de un perfil más underground, pero no tanto el método utilizado por el gestor del mercado para recibir los pagos dado que facilita una única dirección de pago desde la que los centraliza.

Figura 4: Direcciones de Bitcoin y Litecoin anunciadas en 0day.today para adquirir 1337day Gold en la plataforma

La información monetaria que podemos extraer en este sentido puede parecer que no es demasiado importante teniendo en cuenta que el propio administrador expone otra información de contacto más significativa, pero el hecho de que conozcamos la dirección a la que se insta a los compradores a realizar los pagos nos permite rastrear las transacciones mínimamente.

Figura 5: Balance actual de la dirección 1AWqYR4CCP5j9GEqMNk8b3ZNPPfG5Jniu1 asociada a 0day.today

El número de operaciones efectuadas por la dirección de Bitcoin mostrada en la imagen superan las 345, habiéndose enviado cantidades que superan los 500.000 Dólares al cambio actual. Esta cifra permite realizar una estimación del volumen de negocio del servicio, al menos, del realizado empleando Bitcoins. Por su parte, en el caso de la dirección de Litecoin no hay constancia de ninguna transferencia en la cadena de bloques.

Figura 6: El valor del Bitcoin supera los 600 USD

El negocio de los administradores pasa por el cobro de comisiones a la hora de la retirada del 1337day Gold. La comisión actual está fijada en el 10% del Gold a retirar, siendo el mínimo a retirar 2.000 unidades de la divisa (o 2.000 dólares al cambio) por lo que si consideramos como los únicos beneficios de los administradores la comisión cobrada de las retiradas en Bitcoin, estas ya ascenderían a 50.000 dólares, una cantidad todavía importante.

Las buenas prácticas de anonimización van por otro camino

En cualquier caso, entre los códigos de buenas prácticas fomentados por los propios desarrolladores de Bitcoin este tipo de prácticas está completamente desaconsejado desde el punto de vista la privacidad. En primer lugar, porque la reutilización de las direcciones es innecesaria desde el punto de vista técnico ya que la creación de nuevas direcciones es un problema trivial para cualquier cliente de Bitcoin.

Figura 7: Recomendación de crear una nueva dirección para cada pago

Imaginemos un caso en el que Alicia, que tiene 10 Bitcoins, le quiere comprar a Borja un exploit por valor de 4 Bitcoins. Si realizara el pago de 4 Bitcoins y reenviara el resto a su propia dirección, un observador tendría pistas sobre que solamente han sido 4 Bitcoins los que han cambiado de mano. En cambio, si enviara los 6 restantes a una nueva dirección (una nueva dirección de cambio bajo su control) un tercero que estuviera observando la cadena de bloques no sabría si son 6 o 4 Bitcoins los que el pagador ha abonado.

Asimismo, el hecho de facilitar una única dirección de Bitcoin para realizar los pagos tiene otra consecuencia para pagador y receptor: les obliga a ponerse de acuerdo por otra vía sobre los detalles de la transacción enviada. Es decir, quien paga deberá informar al administrador sobre qué transacción es la suya, una circunstancia que no sería necesaria si a cada operación se le facilita una dirección nueva para llevar la cuenta de las operaciones realizadas.

Entonces, ¿por qué lo hacen?

Uno de los motivos que puede estar detrás de esta práctica es precisamente usar las transacciones para avalar la seriedad del sitio ante potenciales interesados que consulten el saldo en la cadena de bloques. El hecho de poder comprobar que otros ya han efectuado pagos puede dar una (relativa) tranquilidad adicional a los compradores. En cualquier caso, la práctica no deja de ser poco recomendable. Si quieres saber más sobre los Bitcoins, puedes ver nuestra charla de la RootedCON "How I met your e-Wallet (Bitcoins)".


Figura 8: How I met your e-Wallet (Bitcoins)

Veremos si en el futuro otras criptodivisas como Monero, que pone el foco más en la privacidad del usuario que el propio Bitcoin y que parece que ha experimentado un repunte últimamente asociada a prácticas de ransomware se unen a la moda. Mientras tanto, para los investigadores esto no deja de ser un quebradero de cabeza adicional.

Autores: Félix Brezo y Yaiza Rubio, analistas de seguridad en ElevenPaths
Puedes encontrarnos en la Comunidad de ElevenPaths.

1 comentario:

  1. es precisamente el sistema descentralizado de bitcoins lo que lo hace dificil de rastrear o investigar y a la vez es el sistema mas seguro que puede tener un usuario, la descentralización de la información y los movimientos aleatorios que hacen a la misma

    ResponderEliminar