Consideraciones sobre los correos robados a Media Mefender.

Todo el contenido de esta página está bajo una licencia de Creative Commons.

La güeb de
MACÍAS PAJAS 837

Algunas consideraciones sobre los correos de media-defender.

Introducción.

Este tema no es ninguna novedad, pero me apetece compartir algunas ideas sobre este asunto. Como a mas de uno esto le sonará a chino voy a empezar por el principio. A mediados de septiembre de 2007, unos 700 mb de correos internos de la empresa Media Defender fueron publicados en Internet por un grupo de hackers autodenominados Media-defender-defenders .

Dado que Media Defender es una de esas empresas que se dedica a sabotear activamente las redes P2P, sus correos internos son sumamente interesantes.

Cuanta información se puede extraer de los correos y como extraerla de la manera mas eficiente es en si mismo un reto, sobre todo para una mentalidad un tanto friki como la mía. Lo reconozco, en cuanto leí la noticia me descargué el archivo dediqué unas cuantas horas a destripar los correos.

Y eso es todo, o casi. Hace una semana, rebuscando entre información antigua, volví a encontrar los archivos. Aunque han pasado unos meses, la información sigue vigente, de forma que me parece interesante compartir algunos hallazgos y conclusiones.

1. Los números y otros datos globales.

Lo primero que debemos saber es que tenemos entre manos. Según los hackers se trata de los correos que uno de los empleados (Jay Mairs) re-envió a su cuenta de GMAIL. Podemos averiguar las fechas mirando los propios correos, así sabemos que es correspondencia de MD entre el 29 de Marzo de 2007 y el 10 de Septiembre del mismo año (Hay un correo anterior, del 18 de Diciembre de 2006, pero es una prueba así que no cuenta).

El archivo con los correos puede encontrarse en distintas redes P2P. El que descargué yo consiste en un archivo de casi 700 megabytes (694.909.390 bytes) que comprimidos con ZIP o RAR se queda en unos 120 megabytes. La compresión es alta porque basicamente es texto. Incluso tenemos archivos adjuntos codifiicados en MIME.

El archivo contiene 4646 correos electrónicos. Ahora sabemos que no podemos recurrir a un editor de texto para leerlos todos, al menos en un plazo de tiempo razonable.

Así que ya sabemos lo que hay. Un archivo de texto de 700 megas que contiene 4646 correos, correspondencia privada de la empresa Media Defender, con adjuntos y todo. Las fechas de los correos están entre el 29 de Marzo y el 10 de Septiembre de 2007 y el destinatario de los mismos es un empleado llamado Jay Mairs.

2. Formular el problema.

No recomiendo intentar abrir el archivo con notepad. No creo que pueda con 700 megas de texto. Un cliente de correo debería ser capaz de importar los correos correctamente, aunque algunos como Outlook Express dan problemas con archivos de este tamaño. Como no he intentado usar ninguno de los dos programas mencionados, tampoco puedo asegurarlo al 100%, pero estoy razonablemente seguro.

Además está el problema del tiempo que queramos dedicar a leer correo ajeno. Mi curiosidad morbosa tiene ciertos límites. En realidad solo quiero conocer las técnicas que emplean estas empresas para putear al personal que inocentemente intenta descargarse cosas de la mula y otros clientes P2P. Bueno, eso y un asunto llamado MiiVi del que hablaré mas adelante.

También es interesante saber que empresas están subcontratando a MD, en que condiciones lo hacen y que capacidad real tienen empresas como MD para tocar los huevos a los usuarios de redes P2P.

El desafío entonces está en conocer esta información sin pasar largas horas quemándose las pestañas delante del monitor. Si nos limitásemos a leer los correos y apuntar la información relevante en una libreta, calculando 5 minutos por correo, la cosa llevaría unas 400 horas. Obviamente esto no es factible para muchas personas. Fijo que todos nosotros tenemos mejores cosas que hacer. Lo que se pretende es contestar a todas las preguntas en tres o cuatro horas.

3. Herramientas empleadas.

Lo ideal sería tener los mensajes, registros de los encabezados y archivos adjuntos en una base de datos que permita hacer las consultas en SQL. Esto permite crear nuevas tablas con los resultados de las consultas, buscar todos los correos con un mismo tópico, etc... Por poner un sencillo ejemplo: Si aislamos las direcciones por dominio y las casamos con nombres reales de gente real obtendremos algo así:

Una consulta tonta como esta permite conocer el número de empleados de MD, así como que grupos de correo existen, lo que nos da una idea aproximada de los departamentos. Un análisis mas detallado nos permitiría conocer a que departamentos pertenece cada persona, cual es su trabajo, cuanto cobra, etc... En fín, hay mucha información. La base de datos empleada ha sido la del OpenOffice.org, ya que viene por defecto en casi cualquier distribución de GNU/Linux. Un tanto lenta, pero suficiente.

¿Como introducir los correos y sus encabezados en una base de datos? Bueno, bastaría con crear un sencillo programa que lea del archivo de correo y haga los Insert correspondientes. Cualquier lenguaje vale, yo he usado Lazarus, un entorno de desarrollo multiplataforma que incluye compilador de Free Pascal y diversos componentes visuales. Compiladores e intérpretes son herramientas sumamente versátiles que permiten hacer casi cualquier cosa.

Si además se usan habitualmente varias plataformas con distinto software, también es deseable disponer de los correos en un formato mas manejable. En la web de los Media-Defender-Defenders están todos los correos en HTML, ordenados por fecha y por temas. Una sencilla descarga empleando Plucker permite tener estas consultas offline, incluso en la pda. Un sencillo script en PHP permite separar los correos en archivos independientes.

Finalmente, se puede usar un cliente de correo como Evolution. Su motor de búsquedas es de lo mejorcito y una seria alternativa para aquellos que no manejan SQL o no saben hacerse un programa para cargar los datos. Además, carga el archivo grande en un momento, basta con arrastrarlo hacia la carpeta de entrada que queramos.

He sacado la pantalla completa para que se vea la ventana del fondo, que ya contiene los correos en archivos sueltos en formato EML. Esto puede hacerse escribiendo una sencilla aplicación o arrastrándolos despues de haberlos importado con el cliente de correo.

4. La empresa y su actividad.

Bueno, vamos a ver que se puede aprender de los correos. En primer lugar saber que Media Defender es una empresa con un tamaño medio, entre 60 y 70 empleados. Se trata de una de las empresas mas importantes del sector (si no la mas importante). Los que mandan son un tal Randy Saaf (Jefazo y fundador) y otro tipo llamado Octavio Herrera (Presidente). El empleado Jay Mairs (Al que presuntamente birlaron los correos) ocupa un puesto de responsabilidad, de forma que el contenido de sus mensajes abarca casi todo, desde nóminas hasta desarrollo.

Media Defender contrata a un buén número de desarrolladores, algunos de ellos de cierto talento. Y les paga bién. Parte del código que circula adjunto a los correos es bueno, y las nóminas se pueden encontrar en los correos. También tiene contratados un buén número de servidores externos. El ancho de banda empleado para sabotear redes P2P es importante, del orden de varios Gigabits por segundo.

El planteamiento comercial es también brillante. Cuando una compañía discográfica o estudio saca al mercado algo nuevo, contrata a Media Defender para que sabotee las descargas de ese lanzamiento durante los primeros días de vida del mismo. La tarifa varía dependiendo de el tipo de archivo a sabotear y el acuerdo particular que la empresa tenga con el cliente. Las cifras que he visto oscilan entre 2000 y 4000 dólares.

5. Como sabotear descargas.

¿Como se sabotea las descargas? Basicamente inundándo las redes P2P de archivos inservibles, los clásicos fakes. Se inunda la red de archivos basura o de muy baja calidad para que los archivos legítimos sean difíciles de encontrar. Se intenta que los archivo parezcan auténticos y que aparezcan los primeros en las búsquedas. MD llama a estos archivos "Decoys".

Calidad de la buena, oiga.

Esta técnica tiene varios inconvenientes. Cuanto mayor sea el éxito de la misma, mayor es el ancho de banda necesario. Y el ancho de banda cuesta dinero. Por otra parte, las páginas de descargas suelen eliminar estos archivos cuando los usuarios se quejan de su calidad. La empresa cuenta con ello, y solo mide la efectividad de las medidas durante un tiempo.

En este correo se habla de una segunda técnica llamada "interdiction". Basicamente se trata de un ataque DOS* sobre los servidores que contienen los archivos. El inconveniente de esta técnica es que deja rastro y probablemente sea ilegal.

*DOS o Denial Of Service. Se trata de un ataque sobre un servidor que consiste en saturar sus conexiones para que no pueda establecer conexiones nuevas.

Aunque en la correspondencia con sus clientes la empresa afirma emplear otras técnicas (Swarming y Spoofing), lo cierto es que practicamente todos los correos internos hacen referencia unicamente a las dos primeras. También hay un montón sobre el desarrollo y la instalación de servidores e2k falsos, buscadores P2P avanzados y una aplicación llamada MiiVi de la que hablaré mas adelante.

En mi opinión, discograficas y estudios de cine están tirando el dinero, pero en realidad dos mil dólares no supone gran cosa en el presupuesto total de un lanzamiento. Una prueba de lo poco efectivas que son estas medidas está en el hecho de que Media Defender no haya podido impedir la difusión de esta y otra documentación interna a través de las redes de pares.

Me llama la atención de los nombres de estas técnicas (Decoy, Swarming, Interdiction y Spoofing) tienen una cierta vertiente violenta, acaso bélica. Sin duda un acierto a la hora de vender a unos clientes que emplean términos igualmente violentos para referirse al intercambio de archivos.

Por cierto, MD emplea servicios como anonymizer para que sus empleados puedan navegar. No me extraña, ya que sus IP's deben ser bastante conocidas.

6. Los clientes de Media Defender.

Los clientes de esta empresa no son muy numerosos, aunque son bastante potentes. No es difícil extraer las direcciones de los encabezados de los correos electrónicos y almacenarlos en un archivo de texto. La flecha roja indica que en realidad hay mas, muchos mas.

¿El paraíso de un spammer?

Tras eliminar la basura, las referencias a localhost, y las direcciones tipo @mediadefender.com, nos quedamos basicamente con dos grupos: Proveedores y clientes. Una búsqueda rápida nos muestra direcciones de correo procedentes de los siguientes dominios:

Dominio	Cliente
@nbcuni.com	NBC Universal
@umusic.com	Universal Music
@capitolmusic.com	Capitol Music
@virginrecords	Virgin Records
@ifpi.org	IFPI

Uno de los documentos mas jugosos es el borrador de un contrato entre Universal Music y Media Defender. En el se habla de 4000 dólares por disco y 2000 por pista. Los clientes recibirán información estadística sobre el éxito de las "contramedidas" de MD para impedir que se comparta la música. Un vistazo a la correspondencia entre los clientes y MD muestra diversas tablas en Excel con dichas estadísticas.

7. Algunas cosas malignas: MiiVi.

Ya hemos visto una practica sucia de MD como los ataques DOS. Sin embargo lo que llamó la atención de la comunidad Torrent fué el asunto llamado MiiVi. Se trataba de un portal y una aplicación que ofrecía descargas de alta velocidad de contenido con copyright. La cosa parecía ir bién hasta que torrentfreak descubrió el pastel, identificando la relación entre MD y MiiVi. Aquello parecía una trampa para cazar usuarios.

Naturalmente MD negó la mayor, alegando que MiiVi no era mas que un experimento y que nunca tuvieron la intención de que el público lo usase. Sin embargo el análisis de los correos demuestra otra cosa. Si buscamos la palabra MiiVi en los correos, aparecen 912 resultados, un 20% del total. Esto demuestra que es un proyecto muy importante que involucra a un gran número de desarrolladores de la compañía.

Por otra parte el contenido de los correos demuestra que MD miente. Hicieron todo lo posible por ocultar que MiiVi era cosa suya, por ejemplo en un correo de Randi Saaf (Presidente de MD) del 13 de junio del 2007 (12:54) podemos leer:

"Set up your email so that you always reply with a ckeller@miivi.com, dmca@miivi.com, or an info@miivi.com address respectively. I don't want MediaDefender anywhere in your email replies to people contacting Miivi. Steve and Ben can help you set up your email for this. Make sure MediaDefender can not be seen in any of the hidden email data crap that smart people can look in."

También hay pruebas de que se intentó tener todas las visitas posibles. Por ejemplo, uno de los desarrolladores escribe:

"We should come up with a bunch of keywords and a description for the hidden metadata entries to increase traffic. Right now Google probably isn't going to throw much traffic our way, since there isn't much text on the pages."

Algunos correos llevan a pensar que la aplicación del MiiVi no hacía nada malo, pero que lo haría en el futuro, lo que demuestra que se trataba de un potencial caballo de troya:

"Do you think it would break a lot and take more time than its worth for the MiiVi application/installer also to act like Serge's Proxy client and spoof on eMule?"

a lo que el presidente de la compañía contesta (La negrita es mía):

"We don't want to do this at this time. Good idea but we don't want to give it a spyware stigma."

No cuesta comprender porqué esta empresa ha sido objetivo de unos cuantos hackers. La historia de MiiVi demuestra que MD ha estudiado la forma de dar un paso más a la hora de espiar a unos cuantos usuarios, y quién sabe, quizás algo peor.

8. En el tintero.

Leer los correos lleva tiempo. Hay otros asuntos que merece la pena seguir, como la información que Media Defender tiene sobre la actividad de otras empresas "del sector" (Macrovision, MediaSentry o WebSheriff). Si espían a los usuarios fijo hacen lo mismo con su competencia.

También hay un asuntillo con la fiscalía de Nueva York que debería examinar mas a fondo. Pero como dije antes me autoimpuse un límite de cuatro horas. De hecho escribir este artículo me ha llevado mas tiempo que encontrar la información que buscaba, y eso que he probado varios métodos posibles.

Dedicar mas tiempo seguramente permita obtener mas detalles sobre como actuan esta y otras empresas similares. No obstante creo que con esto ya basta para obtener una idea general.

9. Consideraciones.

Que las grandes multinacionales contraten a programadores para espiar a la gente no es nada nuevo. Y ese es uno de los grandes peligros de Internet. Un peligro real. Este no es un caso único: Windows, MsOffice, AutoCad y PhotoShop son solo algunos ejemplos de programas que envían información al fabricante sin avisar al usuario*. Y no estoy hablando de oidas.

* Es difícil saber que información envían estos programas, va encriptada. Pero los paquetes que ha interceptado el cortafuegos son demasiado extensos para ser solo la activación del producto.

Cuesta creer el tono de normalidad con el que los empleados de Media Defender hablan de lanzar ataques DOS, o lanzar una aplicación con funciones ocultas que sabotea el ordenador del incauto que lo instala. Esto demuestra (Una vez mas) que estamos en la puta jungla. Muchas empresas hacen cualquier cosa, legal o no, con tal de ganar dinero. Lo importante es que no les pillen o que puedan salirse con la suya. Y a sus empleados se la sopla mientras sigan cobrando a final de més.

En otras circunstancias habría arremetido contra los hackers que han hecho públicos estos correos. Al fin y al cabo hay datos personales de por medio (Salarios, direcciones físicas y hasta qué lavacoches hace descuento). Eso y que esta clase de escándalos pueden dejar sin trabajo a los empleados de Media Defender.

Pero cuando se trata de empresas como esta no me importa demasiado. Mi falta de empatía con los empleados de Media Defender es total. Su ocupación es el espionaje y el sabotaje. Y es una ocupación muy fea, que se dediquen a otra cosa. Que les paguen con la misma moneda parece bastante adecuado.

10. ¿The End?

En fechas posteriores se anunció una demanda en el blog de The Pirate Bay contra las filiales de varias discográficas en Suecia., ya que según los correos han contratado a Media Defender para hacer cosas ilegales. No tengo ni idea sobre si esto llegará a alguna parte, pero no hay que tomarse demasiado en serio lo que dicen en The Pirate Bay.

MediaDefenderDefenders también ha publicado mas información privada de Media Defender. En los correos aparecen un buén número de logins y contraseñas, así que es posible que tengan más y se dediquen a sacarlo poco a poco. Hay indicios de que así ha sido en los propios correos, donde se comenta algún login desde suecia que les ha puesto los pelos de punta. Algunos ejemplos de lo que nunca se debe hacer (La negrita del primer correo es mía):

You should be all setup for direct access into our servers. For ssh access, the address is 72.45.198.191:2551 - This is a non standard port.

Your username is mediadefender and the password is m3diad3fender

Please change your password on first login. I have granted this user full sudo access, so you shouldn't have any problems installing your software.

This system has full internet capability, so you should have no problem getting any packages you need.

The system is a dell poweredge 1950 with 2GB of ram and an attached MD1000 storage array mounted at /spool. Please configure your software so that all original collected data gets stored on this external array.

As I mentioned yesterday, please make a log of all software updated, added, removed from the system so that we can keep an accurate log of the system.

That should be enough to get you started. Of course, if you have any problems or questions let me know.

Brad Bartram
716-783-1215

The new webserver is now at http://38.102.232.101:3000/score_analyzer

Logins:

test - test is all the tracks

universal - universal

sonybmg - sony

I will create an EMI/Virgin account tommorrow.

Updated all the graphs so it implements the new scoring system. Also, they have been optimized for performance so the daily and hourly graphs are a lot faster.

Having issues transferring geo location data over. Will work on that tommorrow. Also, I still need to update the front page explaining various outages and changes. I sent a ticket to IT today about the domain name mapping but I have not heard anything about it.

Andrew

sorry my bad.

username: mediadefender
password: Marina37

No cuesta imaginar que antes de que se publicasen estos correos alguien usó las claves que contienen. De ser así es posible que se vuelva a hablar de todo esto.

Macías Pajas.

(7) Comentarios. Comentar este artículo.

VOLVER A LA WEB DE MACÍAS PAJAS