El documento discute los desafíos de la geolocalización en entornos en línea. Explica que la privacidad en Internet implica el control de la información personal del usuario y su derecho a la privacidad. Luego, analiza formas de ocultar la ubicación como el uso de VPN, proxies anónimos y herramientas como p0f para identificar sistemas operativos de manera pasiva rastreando metadatos en paquetes de red.
Semelhante a La problemática de la identificación de los participantes en las plataformas de juego online a través de procesos de Digital Onboarding (20)
La problemática de la identificación de los participantes en las plataformas de juego online a través de procesos de Digital Onboarding
1. La problemática de la geolocalización
en el entorno online
Jaime Sánchez
@segofensiva
2. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
$ WHO I AM
* Jaime Sánchez
• Twitter: @segofensiva
• Blog: https://seguridadofensiva.com
* En mi tiempo libre, realizo investigaciones
sobre seguridad y trabajo como consultor
independiente (NATO security cleared)
* Ponente en múltiples conferencias tanto
nacionales como internacionales
• RootedCON, NoConName, ConectaCon, STIC Conference
CCN-CERT, Cyber Defence Symposium (Spanish Joint
Cyber Defence Command) Spain
• Nuit du Hack, DeepSec, Hacktivity Europe
• Shmoocon Washington
• DerbyCon Kentucky
• BlackHat Sao Paulo & Las Vegas
• Defcon Las Vegas & China
• etc.
Hacker · Security Expert · Occasional Rockstar
3. PRIVACIDAD / ANONIMATO
La privacidad en Internet se refiere al control
de la información que posee un determinado
usuario que se conecta a la red, interactuando
con diversos servicios en línea en los que
intercambia datos durante la navegación.
Implica el derecho a la privacidad personal con
respecto al almacenamiento, la reutilización,
la provisión a terceros y la exhibición de
información a través de Internet.
LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
La privacidad puede implicar información de identificación personal o
información no personal, como el comportamiento de un visitante en un sitio web.
Las grandes filtraciones nos han hablado de cómo agencias gubernamentales como
la CIA o la NSA recopilan nuestros datos, y la confianza hacia otros actores
como las operadoras tampoco pasa por su mejor momento, sobre todo tras los pasos
de países como Estados Unidos para permitir que puedan vender los datos de sus
usuarios.
4. DATOS A PROTEGER
Información de Identificación Personal - Personally Identifiable Information
(PII) -
- Nombre
- Dirección
- Número de Teléfono
- etc
Sistema operativo utilizado
Navegador
Cookies
Lenguaje de nuestro sistema / aplicaciones
Dirección IP
Cantidad de datos enviados y recibidos
Traffic timing
LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
5. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
Motivos para ocultar tu IP:
* Privacidad / tracking
* Acceso a contenido geográfico restringido
* Evadir mostrar una huella digital
* Dificultar las labores de espionaje
* Protegerse frente a ciber ataques
* Rastreo de metadatos
* Ocultar tu identidad
* Evitar bloqueos DNS/IP/URL
6. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
Periodistas, disidentes, denunciantes.
Residentes de países con censura
Comunicaciones sociales sensibles
- salas de chats de ayuda
- foros web para supervivientes de abusos
- personas con enfermedades
Fuerzas y cuerpos del estado
- Denuncias de delitos, chivatazos
- Operaciones de vigilancia
Grandes Compañías
- ¿Están los empleados hablando con agencias de contratación?
- Ocultar gestión compras y proveedores
- Analizar competidores
- Evitar operaciones de espionaje industrial
ACTORES
7. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
Gobiernos
- Ocultar la fuente de consultas e investigaciones.
- Compartir información sin revelar todas las partes.
- Elecciones y sistemas de votación
- Espionaje
Público en general (TU y YO)
- ¿A quién le estás enviando un correo electrónico?
- ¿Qué sitios web estás navegando?
- ¿Donde trabajas?
- ¿De donde eres?
- ¿Qué compras?
- ¿Qué organizaciones visitas?
Por supuesto, criminales, ciber delincuentes etc.
ACTORES
8. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
9. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
GEOLOCALIZACIÓN
La geolocalización IP tiene como objetivo resolver el problema
de determinar la ubicación geográfica de una dirección IP
determinada.
10. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
CASO DE USO
GlobalWatchIndex informa que hasta un 29% de los usuarios de VPN a
nivel mundial accedieron a Netflix en un mes reciente. Abundan los
tutoriales sobre cómo acceder a este y otros servicios de transmisión.
Al usar la computación en la nube, es barato y fácil configurar un
servicio VPN basado en suscripciones en casi cualquier región o país.
Cualquier tráfico canalizado a través de estos servidores se
geolocalizará a la dirección IP del servidor VPN.
En el pasado, una base de datos de geolocalización IP a nivel de país
era todo lo que se necesitaba para realizar la gestión de derechos
digitales. Sin embargo, con el crecimiento de los servicios VPN, se
requieren soluciones más sofisticadas para evitar el acceso no
autorizado a contenido restringido geográficamente.
11. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
ANONYMIZER
browser anonymizer server
request request
replyreply
www.anonymizer.com
- Especial protección para tráfico HTTP
- Funciona como proxy para las peticiones del navegador
- Reescribe los enlaces de la página y añade un formulario donde introducir las
URLs
- Existen múltiples alternativas similares online
Desventajas
- La confianza se deposita en el servicio
- Único punto de fallo
- No recomendable para transacciones sensibles
href =“http://anon.free.anonymizer.com/http://www.server.com/” ß href =“http://www.server.com/”
12. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXYs ANÓNIMOS
HTTPS Proxy
Un proxy es un equipo informático que hace de intermediario entre las
conexiones de un cliente y un servidor de destino, filtrando todos los
paquetes entre ambos.
Siendo tú el cliente, esto quiere decir que el proxy recibe tus peticiones
de acceder a una u otra página, y se encarga de transmitírselas al
servidor de la web para que esta no sepa que lo estás haciendo tú.
13. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
LOCALIZACIÓN PROXYs ANÓNIMOS
14. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXYs ANÓNIMOS
Una amplia franja de VPN y proxies no son difíciles de identificar.
Por ejemplo, los registros de WHOIS disponibles públicamente mostrarán la
organización de registro de una dirección IP. Si alguien que accede a su
sitio está utilizando una dirección IP que pertenece a un proveedor de
alojamiento, esto es una indicación muy clara de que la persona está
usando un servicio de VPN o proxy. En algunos casos, la organización de
registro será un proveedor de VPN.
15. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXYs ANÓNIMOS
16. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXYs ANÓNIMOS
17. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXYs ANÓNIMOS
18. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
DESVENTAJAS
- Las listas cambian muy rápido
- Es necesario comprobar individualmente si se trata de un proxy
(comprobación activa), ya que los usuarios pueden levantar un proxy propio
- Gestión de fuentes
- Posibles duplicados y necesidad de filtrado
- Sistemas de almacenamiento
- Histórico sobre direcciones IP
19. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
VPNs
VPN Gateway
Todo tu tráfico de red sigue yendo desde tu dispositivo a tu
proveedor de Internet, pero de ahí se dirige directo al servidor VPN,
desde donde partirá al destino.
Idealmente la conexión está cifrada, de modo que tu proveedor de
Internet realmente no sabe a qué estás accediendo. A efectos
prácticos, tu dirección IP es la del servidor VPN: en muchos aspectos
es como si estuvieras físicamente ahí, conectándote a Internet.
Una conexión VPN lo que te permite
es crear una red local sin necesidad
q u e s u s i n t e g r a n t e s e s t é n
físicamente conectados entre sí,
sino a través de Internet.
Obtienes las ventajas de la red
local (y alguna extra), con una
mayor flexibilidad, pues la conexión
es a través de Internet
20. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
Mayhem:~ segofensiva$ whois 142.93.251.78
VPNs
21. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
VPNs
22. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
23. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
MTU o Unidad de transmisión máxima significa datos máximos que podrían
transmitirse en un paquete. Cada adaptador de red tiene su valor MTU. La mayoría
de las veces se establece en 1500, aunque hay algunas excepciones.
Cuando su navegador web o cualquier otro software que trabaje con la red crea una
conexión TCP con el lado remoto, agrega el valor de Tamaño de segmento máximo
(MSS) en el encabezado TCP, que informa del tamaño de datos TCP máximo que puede
recibir sin fragmentación de paquetes.
Este valor es muy similar al MTU.
PROXY/VPN AVANZADO
24. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
Cuando se intenta abrir una página web con PPTP, L2TP (± IPsec) o IPKE de IKE,
el paquete se encapsula en otro paquete que introduce una sobrecarga.
Los paquetes grandes que podrían enviarse sin fragmentación sin VPN conectada
ahora deben fragmentarse para que se puedan entregar con éxito a través de su
red, lo que reduce su velocidad y agrega latencia.
Para mitigar la fragmentación excesiva, el sistema operativo establece una MTU
más baja en la interfaz VPN y luego la MTU de su interfaz de red real, lo que
evita la creación de paquetes enormes que requieren la fragmentación.
OpenVPN no disminuye la interfaz MTU, sino que reduce el MSS dentro del
paquete encapsulado. Esto se hace con la configuración de mssfix que calcula
la sobrecarga de OpenVPN para la encapsulación y el cifrado de paquetes, y
establece el MSS en consecuencia para que los paquetes fluyan sin ninguna
fragmentación. Está configurado para trabajar con cualquier enlace con MTU
1450 o más de forma predeterminada.
Debido a estos valores únicos de MSS, podemos determinar no solo si el usuario
está conectado a través de OpenVPN, sino también utilizar el protocolo de
conexión (IPv4, IPv6), el protocolo de transporte (UDP, TCP), el cifrado, el
MAC y la compresión, ya que afectan al MSS.
PROXY/VPN AVANZADO
25. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXY/VPN AVANZADO
Si el usuario utiliza un cifrado de 64 bits, es probable que sea Blowfish.
Si utiliza 128, probablemente se trate de AES.
26. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXY/VPN AVANZADO
27. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
Realmente no hay muchas formas de detectar usuarios proxy si no agrega
ningún encabezado adicional como X-Forwarded-For.
¿Pero qué diferencia drásticamente una VPN de un proxy?
El servidor VPN remoto recibe paquetes que su sistema operativo ha
creado, mientras que el proxy crea paquetes por su cuenta y obtiene del
usuario solo los datos que deben transmitirse.
Las diferentes versiones del sistema operativo tienen sus propias
huellas únicas.
El proxy normalmente se ejecuta en Linux o FreeBSD mientras que el
usuario es muy probable que navegue la web desde Windows.
Los usuarios generalmente no son conscientes de que la versión de su
sistema operativo se transmite en el encabezado Usuario-Agente del
navegador y no la cambian.
Eso será útil para nosotros.
PROXY/VPN AVANZADO
28. p0f es una herramienta de identificación pasiva de sistema operativo, permite detectar el
sistema y la versión de las maquinas conectadas a nuestro sistema, a las que nosotros nos
conectamos, a las que podemos ver su trafico e incluso a las que no podemos conectarnos.
p0f no genera ningún trafico en la red, gracias a esto es posible identificar el sistema de
equipos que estén detrás de un cortafuegos.
Aparte de todo esto P0f puede realizar otras tareas bastante interesantes:
-Detecta la existencia de un balanceador de carga.
-La distancia al sistema remoto y su tiempo en funcionamiento,
-Detecta la presencia de un firewall
-Identifica que conexión tiene el equipo remoto (DSL, OC3, avian carriers) y su
proveedor de Internet.
LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXY/VPN AVANZADO
29. label = s:win:Windows:XP
*:128:0:*:16384,0:mss,nop,nop,sok:df,id+:0
IPv4/IPv6/Both
Initial TTL
Length of IPV4
options or IPV6
extension
headers
Maximum Segment Size
Window Size
(fixed value, multiple of MSS/
MTU, or multiple or integer)
Window Scaling Factor
TCP options (ordered)
eol+n: explicit end of options + padding
nop: no-op option
mss: maximum segment size
ws: window scaling
sok: selective ACK permitted
sack: selective ACK
ts: timestamp
?n: unknown option
Quirks
df - "don't fragment" set (probably PMTUD);
id+ - DF set but IPID non-zero; ignored for IPv6
id- - DF not set but IPID is zero; ignored for IPv6
ecn - explicit congestion notification support
0+ - "must be zero" field not zero; ignored for IPv6
flow - non-zero IPv6 flow ID; ignored for IPv4
seq- - sequence number is zero
ack+ - ACK number is non-zero, but ACK flag not set
ack- - ACK number is zero, but ACK flag set
uptr+ - URG pointer is non-zero, but URG flag not set
urgf+ - URG flag used
pushf+ - PUSH flag used
ts1- - own timestamp specified as zero
ts2+ - non-zero peer timestamp on initial SYN
opt+ - trailing non-zero data in options segment
exws - excessive window scaling factor (> 14)
bad - malformed TCP options
Payload Size Classification
0: for zero
+: for non-zero
*: any
BBDD p0f
LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
30. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
PROXY/VPN AVANZADO
31. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
32. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
TOR es una red de proxies que cifra la comunicación de tal
forma que no se puede saber a donde estas accediendo.
Esta es una red distribuida, ya que los nodos son ancho de
banda que los usuarios ceden voluntariamente para que otros
usuarios puedan acceder a la red.
El circuito se crea de forma incremental, de salto en salto
TOR
Alice Bob
OR2
OR1
M
√M
M
OR3
M
C1
C2
C3
C1 C2
C2 C3
C3 Port
33. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
Los usuarios de la red TOR pueden desplazarse por las direcciones IP
para obtener una que se geolocalice en un país de interés. Dentro del
contexto de la red TOR, estas direcciones IP se conocen como "nodos de
salida”.
Una lista completa de nodos de salida está disponible para descargar
desde la web oficial:
TOR
34. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
El servicio ExoneraTor mantiene una base de datos de direcciones IP que
han sido parte de la red Tor.
Responde a la pregunta de si había un nodo de salida de Tor
ejecutándose en una dirección IP determinada en una fecha determinada.
TOR
35. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
TOR
Presenta indicios, pero no es efectivo…
36. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
SISTEMA DE GEOLOCALIZACIÓN IP
Geolocalización pasiva
- Bases de datos de geolocalización como:
MaxMind
Quova
IP2C
GeoIP nekudo
IP API
…
Geolocalización activa de IP
37. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
DESVENTAJAS
- La precisión de los datos que se le proporcionarán será aproximadamente un 90%
(dependiendo de la fuente elegida), pero a nivel de la ciudad, ese nivel de precisión disminuye
considerablemente
- Si el usuario no se encuentra en un área metropolitana importante, la dirección de IP puede
devolver una ciudad diferente a la que se encuentra, aunque es probable que el Estado y el País
sean precisos.
- Hay algunos proveedores de bases de datos de geolocalización de IP gratuitos para elegir.
Estos servicios ofrecen una base de datos de geo IP de forma gratuita, pero eso implica
sacrificar otras características que pueda desear en una base de datos de IP a la ubicación. Si
se basan en API, también es muy probable que tengan restricciones de ancho de banda bajas,
lo que limita la cantidad de solicitudes que puede realizar con ellas.
- Falta de actualización en las bases de datos offline, aunque también en los servicios vía API.Los
proxys y servicios VPN se generan cada minuto
- Alto coste de los servicios de pago ( >2000$/mes )
- Gran cantidad de falsos positivos, ya que muchos proveedores no se encuentran en la bbdd,
como servicios de hosting etc.
38. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
SOLUCIONES
- Generación de una base de datos propia
- Elección de fuentes y actualización ‘casi’ en tiempo real
- Implementación de APIs y generación de huella del usuario en tiempo real
- Normalización de las fuentes de entrada
- Gestión de sistema de filtrado y duplicados
- Obtención de información y almacenamiento histórico
- Creación de un sistema de scoring para prevenir falsos positivos
- Incorporación de sistemas de comprobación activa
- etc.
39. LA PROBLEMÁTICA DE LA GEOLOCALIZACIÓN EN EL ENTORNO ONLINE
RegTech egambling international workshop
- PREGUNTAS -