SlideShare ist ein Scribd-Unternehmen logo

Anonimato na Web

Cassio Ramos
Cassio Ramos

O documento discute técnicas para permanecer anônimo na internet, incluindo navegação via servidores proxy, Tor e VPN. Também aborda formas de realizar ataques de hacking de forma anônima, como o Idle Scan e o uso de botnets. O documento inclui demonstrações práticas destas técnicas.

Technologie
1 von 18
Downloaden Sie, um offline zu lesen
Permanecendo anônimo na web Marcelo Ribeiro mribeirobr at globo dot com mribeirobr dot com Seminário)em)Segurança)de) Redes)de)Computadores)
AGENDA • CASES • NAVEGAÇÃO  WEB  ANÔNIMA • DEMO  1  -­‐  NAVEGANDO  NA  WEB  ANÔNIMO • ATACANDO  E  PERMANECENDO  ANÔNIMO • DEMO  2  -­‐  IDLE  SCAN • CONCLUSÃO 2
AVISO!!!! • SERÃO  COMENTADAS  E  DEMONSTRADAS  ALGUMAS   TÉCNICAS  COMUMENTE  UTILIZADAS  POR  GRUPOS  DE   HACKERS.  EM  CASO  DE  INTERESSE  EM  TESTAR  TAIS   TÉCNICAS  FAÇA-­‐O  COM  BOM  SENSO  OU  EM   AMBIENTE  CONTROLADO,  SE  APLICÁVEL.  NUNCA   UTILIZE  ESTAS  TÉCNICAS  CONTRA  PESSOAS  OU   ORGANIZAÇÕES,  FIM  EVITAR  PROBLEMAS.... 3
CASE  1   • ATAQUE  AOS  SITES  GOVERNAMENTAIS  BRASILEIROS   (2011) 4
CASE  2 • ATAQUE  CONTRA  GEÓRGIA 5
NAVEGAÇÃO  ANONIMA  PELA  WEB • SERVIDORES  PROXY – Por  design  servidores  proxy  podem  ocultar  a  iden`dade  de  um   usuário  que  o  tenha  configurado – Diversos  servidores  proxy  na  internet,  com  o  fim  de  navegação   anônima,  estão  disponíveis  para  uso – Interessantes  para  ocultar  a  iden`dade  em  navegação  web,   pesquisas  no  google  ou  em  ataques  à  aplicações  web  na   internet. 6
NAVEGAÇÃO  ANONIMA  PELA  WEB – TOR • Terceira  geração  de  um  projeto  da  Marinha  americana  que  visava   proteger  as  comunicações  do  governo • Consiste  em  um  caminho  virtual,  de  vários  hosts,  dificultando   muito  a  determinação  do  real  endereço  IP  de  origem  de  um   acesso • Muito  u`lizado  aumentar  a  privacidade  dos  usuários  na  internet,   para  pesquisas  de  inteligência  de  órgãos  governamentais  e  ......   por  hackers,  para  ocultar  a  sua  iden`dade  :)  #Evil.... • Contudo,  alguns  grupos  de  pesquisa  já  conseguiram  quebrar  a   segurança  do  TOR,  determinando  a  origem  real  de  um  acesso. 7
NAVEGAÇÃO  ANONIMA  PELA  WEB • TOR 8
NAVEGAÇÃO  ANONIMA  PELA  WEB – VPN • Opção  plenamente  disponível  na  internet  para  internet  anônima • Existem  estes  serviços  gratuitos  e  pagos • O  serviço  dá  acesso  a  um  servidor  e,  através  dele,  faz-­‐se  o  acesso  a   internet.  O  IP  que  será  registrado  será  o  daquele  servidor. • Normalmente  estes  serviços  até  permitem  escolher  o  país  de   origem  do  IP • Costuma  ser  mais  rápido  que  o  TOR • É  o  meio  de  ocultação  de  iden`dade  recomendado  pelo  grupo   ANONYMOUS • Recomenda-­‐se  usar  IP’s  de  países  que  não  possuam  lei  que   obrigue  a  divulgação  de  informações  de  acesso  à  internet  (Suécia,   por  exemplo) 9
DEMONSTRAÇÃO • NAVEGANDO  ANÔNIMO  PELA  WEB  VIA  VPN 10
ATACANDO  E  PERMANECENDO   ANÔNIMO • O  IDLE  SCAN – Ferramentas  de  scaneamento  de  rede,  como  o  NMAP,  costumam   ser  muito  ruidosas  para  Firewalls  e  IDS/IPS  na  rede,  tornando  a   tarefa  em  detectar  uma  a`vidade  de  scanning  facilitada. – Entretanto  um  pesquisador  de  segurança  encontrou  um  meio  de   fazer  um  scanning  em  um  alvo,  se  fazendo  passar  por  outro,   ocultando  a  iden`dade  da  verdadeira  origem. – Funciona  forjando  pacotes  SYN  contra  o  alvo,  u`lizando  o  IP  de   um  zumbi  na  rede.  Se  a  porta  es`ver  aberta  no  alvo  este  enviara   um  SYN/ACK  para  o  zumbi  que,  por  não  estar  esperando,   devolverá  um  RST  e  incrementará  o  IP  ID  (iden`ficador  de  pacotes   IP).  Caso  a  porta  esteja  fechada  no  alvo  este  enviará  um  RST  para   o  zumbi,  que  o  ignorará,  não  incrementando  o  IP  ID.  Este   incremento,  ou  não,  do  IP  ID  determina  se  a  porta  está  aberta. 11
ATACANDO  E  PERMANECENDO   ANÔNIMO 12
DEMONSTRAÇÃO • DEMONSTRAÇÃO  DE  IDLE  SCAN 13
ATACANDO  E  PERMANECENDO   ANÔNIMO • TOR  E  VPN  PARA  REALIZAÇÃO  DE  EXPLORAÇÃO – Se  por  um  lado  os  proxys  podem  ser  usados  para  explorar   aplicações  web  de  forma  anônima,  u`lizá-­‐los  para  outros  `pos   de  exploração  é  menos  funcional. – Nestes  casos  o  TOR  e  a  VPN  são  mais  prá`cos. – No  caso  do  TOR  existe  um  comando  (torify)  no  Linux  para   tunelar,  pelo  TOR,  a  comunicação  TCP/IP  das  ferramentas  de   hacking – Quando  se  usa  VPN  todo  o  acesso  à  internet  é  feito  pela  VPN,   logo,  é  mais  prá`co  para  u`lizar  as  ferramentas. 14
ATACANDO  E  PERMANECENDO   ANÔNIMO • AS  BOTNETS – Principal  mecanismo  para  realização  de  ataques  de  DOS  ou   DDOS  e  manter  anônimo  a  real  origem  da  ação. – Consiste  em  um  computador  mestre  e  diversos  slaves,  que   respondem  aos  comandos  do  mestre. – Em  conjunção  com  as  demais  técnicas  de  anonimato  consegue   esconder  a  origem  do  mestre. – Tema  muito  extenso,  que  merece  uma  palestra  apenas  para  si  ;) 15
CONCLUSÃO • Diversas  técnicas  de  anonimato  na  internet  estão   disponíveis • Todas  podem  ser  u`lizadas  para  o  bem  quanto  para  o   #evil.... • Logo  o  bom  senso  deve  imperar.  Apesar  de   demonstradas  algumas  técnicas  elas  não  devem  ser   u`lizadas  para  a`vidades  maliciosas  na  internet. 16
PERGUNTAS 17
• Marcelo  Ribeiro • mribeirobr  at  globo  dot  com • mribeirobr  dot  com 18

Empfohlen

Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialCassio Ramos
 
Aula Inaugural
Aula InauguralAula Inaugural
Aula InauguralCassio Ramos
 
Pirataria e hacker
Pirataria e hackerPirataria e hacker
Pirataria e hackerRibeiro Pinto
 
Pirataria
PiratariaPirataria
PiratariaBruno Ponces
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de VulnerabilidadeCassio Ramos
 
Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Anchises Moraes
 
Pirataria de software
Pirataria de softwarePirataria de software
Pirataria de softwareRodrigo Gomes da Silva
 

Empfohlen

Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialCassio Ramos
 
Aula Inaugural
Aula InauguralAula Inaugural
Aula InauguralCassio Ramos
 
Pirataria e hacker
Pirataria e hackerPirataria e hacker
Pirataria e hackerRibeiro Pinto
 
Pirataria
PiratariaPirataria
PiratariaBruno Ponces
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de VulnerabilidadeCassio Ramos
 
Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Anchises Moraes
 
Pirataria de software
Pirataria de softwarePirataria de software
Pirataria de softwareRodrigo Gomes da Silva
 
Cibercrimes - Unic SEMINFO2013
Cibercrimes - Unic SEMINFO2013 Cibercrimes - Unic SEMINFO2013
Cibercrimes - Unic SEMINFO2013 Kembolle Amilkar Esp.
 
Segurança e Auditoria de Sistemas - Phreaks
Segurança e Auditoria de Sistemas - PhreaksSegurança e Auditoria de Sistemas - Phreaks
Segurança e Auditoria de Sistemas - PhreaksRichiely Paiva
 
Google Hacking - Explorando falhas de dispotivos
Google Hacking - Explorando falhas de dispotivosGoogle Hacking - Explorando falhas de dispotivos
Google Hacking - Explorando falhas de dispotivosC H
 
Mini curso hacker
Mini curso hackerMini curso hacker
Mini curso hackerRoberto Castro
 
Apresentação backgorundhacker
Apresentação backgorundhackerApresentação backgorundhacker
Apresentação backgorundhackergiovannimonaro
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informaticakreyn
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasJefferson Macedo
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança DigitalAdão José Oliveira Elias
 
Perícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoPerícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoLuiz Sales Rabelo
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
Cyberterrorismo
CyberterrorismoCyberterrorismo
CyberterrorismoMateus Ferraz
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFelipe Pereira
 
Hackers
HackersHackers
HackersCláudio Gonçalves
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Vaine Luiz Barreira, MBA
 
Segurança na Internet - Google Hacking
Segurança na Internet - Google HackingSegurança na Internet - Google Hacking
Segurança na Internet - Google HackingJoão Gabriel Lima
 
Modelo
ModeloModelo
ModeloDe Sá Sites
 
Ehtical Hacking
Ehtical HackingEhtical Hacking
Ehtical HackingLuiz Thiago
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoFelipe Pereira
 
Tunneling
TunnelingTunneling
TunnelingCassio Ramos
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 

Weitere ähnliche Inhalte

Was ist angesagt?

Segurança e Auditoria de Sistemas - Phreaks
Segurança e Auditoria de Sistemas - PhreaksSegurança e Auditoria de Sistemas - Phreaks
Segurança e Auditoria de Sistemas - PhreaksRichiely Paiva
 
Google Hacking - Explorando falhas de dispotivos
Google Hacking - Explorando falhas de dispotivosGoogle Hacking - Explorando falhas de dispotivos
Google Hacking - Explorando falhas de dispotivosC H
 
Apresentação backgorundhacker
Apresentação backgorundhackerApresentação backgorundhacker
Apresentação backgorundhackergiovannimonaro
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informaticakreyn
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasJefferson Macedo
 
Perícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoPerícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoLuiz Sales Rabelo
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFelipe Pereira
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Vaine Luiz Barreira, MBA
 
Segurança na Internet - Google Hacking
Segurança na Internet - Google HackingSegurança na Internet - Google Hacking
Segurança na Internet - Google HackingJoão Gabriel Lima
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoFelipe Pereira
 

Was ist angesagt? (20)

Cibercrimes - Unic SEMINFO2013
Cibercrimes - Unic SEMINFO2013 Cibercrimes - Unic SEMINFO2013
Cibercrimes - Unic SEMINFO2013
 
Segurança e Auditoria de Sistemas - Phreaks
Segurança e Auditoria de Sistemas - PhreaksSegurança e Auditoria de Sistemas - Phreaks
Segurança e Auditoria de Sistemas - Phreaks
 
Google Hacking - Explorando falhas de dispotivos
Google Hacking - Explorando falhas de dispotivosGoogle Hacking - Explorando falhas de dispotivos
Google Hacking - Explorando falhas de dispotivos
 
Mini curso hacker
Mini curso hackerMini curso hacker
Mini curso hacker
 
Apresentação backgorundhacker
Apresentação backgorundhackerApresentação backgorundhacker
Apresentação backgorundhacker
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informatica
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB Santos
 
Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de Ameacas
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
 
Perícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoPerícia Forense Computacional - Introdução
Perícia Forense Computacional - Introdução
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
 
Cyberterrorismo
CyberterrorismoCyberterrorismo
Cyberterrorismo
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Hackers
HackersHackers
Hackers
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1
 
Segurança na Internet - Google Hacking
Segurança na Internet - Google HackingSegurança na Internet - Google Hacking
Segurança na Internet - Google Hacking
 
Modelo
ModeloModelo
Modelo
 
Ehtical Hacking
Ehtical HackingEhtical Hacking
Ehtical Hacking
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e Legislação
 

Andere mochten auch

Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de RedesCassio Ramos
 
Human Potential Index (HPI) als instrument der dynamischen Personalwirtschaft
Human Potential Index (HPI) als instrument der dynamischen PersonalwirtschaftHuman Potential Index (HPI) als instrument der dynamischen Personalwirtschaft
Human Potential Index (HPI) als instrument der dynamischen PersonalwirtschaftReinhard Austrup & Associates
 
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosK†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosTekaGroup
 
Institucional: DOT digital group
Institucional: DOT digital groupInstitucional: DOT digital group
Institucional: DOT digital groupDOT digital group
 
Assemblée Générale de la FROTSI Limousin 2009
Assemblée Générale de la FROTSI Limousin 2009Assemblée Générale de la FROTSI Limousin 2009
Assemblée Générale de la FROTSI Limousin 2009Sophie MARNIER
 
Instructivo para inscripcion a nivel de ingles English dot Works
Instructivo para inscripcion a nivel de ingles English dot WorksInstructivo para inscripcion a nivel de ingles English dot Works
Instructivo para inscripcion a nivel de ingles English dot Worksguiboro
 
Mutualisation des actions OT et de l ANT en Centre Ardeche
Mutualisation des actions OT et de l ANT en Centre ArdecheMutualisation des actions OT et de l ANT en Centre Ardeche
Mutualisation des actions OT et de l ANT en Centre ArdecheArdèche Plein Coeur
 
(LP2) Tópico 00 - Apresentação da Disciplina
(LP2) Tópico 00 - Apresentação da Disciplina(LP2) Tópico 00 - Apresentação da Disciplina
(LP2) Tópico 00 - Apresentação da DisciplinaFabricio Narcizo
 
Smartwatch para invidentes dot
Smartwatch para invidentes dotSmartwatch para invidentes dot
Smartwatch para invidentes dotLiboo19
 
English dot worws level 1
English dot worws level 1English dot worws level 1
English dot worws level 1mafesita2
 
Desenvolvimento Distribuído de Software
Desenvolvimento Distribuído de SoftwareDesenvolvimento Distribuído de Software
Desenvolvimento Distribuído de SoftwareRafael Vivian
 

Andere mochten auch (20)

Tunneling
TunnelingTunneling
Tunneling
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
RFID - Parte 1
RFID - Parte 1RFID - Parte 1
RFID - Parte 1
 
RFID - Parte 2
RFID - Parte 2RFID - Parte 2
RFID - Parte 2
 
Topologia lab
Topologia labTopologia lab
Topologia lab
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de Redes
 
Cartao 03
Cartao 03Cartao 03
Cartao 03
 
Human Potential Index (HPI) als instrument der dynamischen Personalwirtschaft
Human Potential Index (HPI) als instrument der dynamischen PersonalwirtschaftHuman Potential Index (HPI) als instrument der dynamischen Personalwirtschaft
Human Potential Index (HPI) als instrument der dynamischen Personalwirtschaft
 
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosK†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
 
Institucional: DOT digital group
Institucional: DOT digital groupInstitucional: DOT digital group
Institucional: DOT digital group
 
red dot award 2011.pdf
red dot award 2011.pdfred dot award 2011.pdf
red dot award 2011.pdf
 
Assemblée Générale de la FROTSI Limousin 2009
Assemblée Générale de la FROTSI Limousin 2009Assemblée Générale de la FROTSI Limousin 2009
Assemblée Générale de la FROTSI Limousin 2009
 
Instructivo para inscripcion a nivel de ingles English dot Works
Instructivo para inscripcion a nivel de ingles English dot WorksInstructivo para inscripcion a nivel de ingles English dot Works
Instructivo para inscripcion a nivel de ingles English dot Works
 
Mutualisation des actions OT et de l ANT en Centre Ardeche
Mutualisation des actions OT et de l ANT en Centre ArdecheMutualisation des actions OT et de l ANT en Centre Ardeche
Mutualisation des actions OT et de l ANT en Centre Ardeche
 
(LP2) Tópico 00 - Apresentação da Disciplina
(LP2) Tópico 00 - Apresentação da Disciplina(LP2) Tópico 00 - Apresentação da Disciplina
(LP2) Tópico 00 - Apresentação da Disciplina
 
Smartwatch para invidentes dot
Smartwatch para invidentes dotSmartwatch para invidentes dot
Smartwatch para invidentes dot
 
EBERLE - MUNDIAL TIJERAS
EBERLE - MUNDIAL TIJERASEBERLE - MUNDIAL TIJERAS
EBERLE - MUNDIAL TIJERAS
 
English dot worws level 1
English dot worws level 1English dot worws level 1
English dot worws level 1
 
press-release.pdf
press-release.pdfpress-release.pdf
press-release.pdf
 
Desenvolvimento Distribuído de Software
Desenvolvimento Distribuído de SoftwareDesenvolvimento Distribuído de Software
Desenvolvimento Distribuído de Software
 

Ähnlich wie Anonimato na Web

Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetSpark Security
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandomarcusburghardt
 
126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2Marco Guimarães
 
126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)Marco Guimarães
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Segurança de Redes - Keylogger e Screelongger
Segurança de Redes - Keylogger e ScreelonggerSegurança de Redes - Keylogger e Screelongger
Segurança de Redes - Keylogger e ScreelonggerCleber Ramos
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
Conceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptxConceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptxHenriqueMonteiro74
 

Ähnlich wie Anonimato na Web (20)

Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da Internet
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Sniffers Parte 3
Sniffers Parte 3Sniffers Parte 3
Sniffers Parte 3
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueando
 
Internet
InternetInternet
Internet
 
Sniffers Parte 1
Sniffers Parte 1Sniffers Parte 1
Sniffers Parte 1
 
Informatica virus
Informatica virusInformatica virus
Informatica virus
 
126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2
 
126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Segurança de Redes - Keylogger e Screelongger
Segurança de Redes - Keylogger e ScreelonggerSegurança de Redes - Keylogger e Screelongger
Segurança de Redes - Keylogger e Screelongger
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
VPN - O que é a VPN?
VPN - O que é a VPN?VPN - O que é a VPN?
VPN - O que é a VPN?
 
Internet: conceitos e segurança
Internet: conceitos e segurançaInternet: conceitos e segurança
Internet: conceitos e segurança
 
Metodos de invasao
Metodos de invasaoMetodos de invasao
Metodos de invasao
 
Conceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptxConceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptx
 
Kali linux
Kali linux Kali linux
Kali linux
 

Mehr von Cassio Ramos

3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pubCassio Ramos
 
Redes de Banda Larga
Redes de Banda LargaRedes de Banda Larga
Redes de Banda LargaCassio Ramos
 
Block disp-entrada e saida
Block disp-entrada e saidaBlock disp-entrada e saida
Block disp-entrada e saidaCassio Ramos
 
Trabalho sobre truecrypt
Trabalho sobre truecryptTrabalho sobre truecrypt
Trabalho sobre truecryptCassio Ramos
 
Exemplo de Script Iptables
Exemplo de Script IptablesExemplo de Script Iptables
Exemplo de Script IptablesCassio Ramos
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5Cassio Ramos
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 

Mehr von Cassio Ramos (18)

3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub
 
2 netcat enum-pub
2 netcat enum-pub2 netcat enum-pub
2 netcat enum-pub
 
Redes de Banda Larga
Redes de Banda LargaRedes de Banda Larga
Redes de Banda Larga
 
Block disp-entrada e saida
Block disp-entrada e saidaBlock disp-entrada e saida
Block disp-entrada e saida
 
Trabalho sobre truecrypt
Trabalho sobre truecryptTrabalho sobre truecrypt
Trabalho sobre truecrypt
 
Gpo
GpoGpo
Gpo
 
Truecrypt
TruecryptTruecrypt
Truecrypt
 
Endian firewall
Endian firewallEndian firewall
Endian firewall
 
GnuPG
GnuPGGnuPG
GnuPG
 
Exemplo de Script Iptables
Exemplo de Script IptablesExemplo de Script Iptables
Exemplo de Script Iptables
 
Segurança Linux
Segurança LinuxSegurança Linux
Segurança Linux
 
Tutorial Maltego
Tutorial MaltegoTutorial Maltego
Tutorial Maltego
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5
 
Redes - Aula 2
Redes - Aula 2Redes - Aula 2
Redes - Aula 2
 
Redes - Aula 1
Redes - Aula 1Redes - Aula 1
Redes - Aula 1
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 
Artigo anonymous
Artigo anonymousArtigo anonymous
Artigo anonymous
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 

Anonimato na Web

  • 1. Permanecendo anônimo na web Marcelo Ribeiro mribeirobr at globo dot com mribeirobr dot com Seminário)em)Segurança)de) Redes)de)Computadores)
  • 2. AGENDA • CASES • NAVEGAÇÃO  WEB  ANÔNIMA • DEMO  1  -­‐  NAVEGANDO  NA  WEB  ANÔNIMO • ATACANDO  E  PERMANECENDO  ANÔNIMO • DEMO  2  -­‐  IDLE  SCAN • CONCLUSÃO 2
  • 3. AVISO!!!! • SERÃO  COMENTADAS  E  DEMONSTRADAS  ALGUMAS   TÉCNICAS  COMUMENTE  UTILIZADAS  POR  GRUPOS  DE   HACKERS.  EM  CASO  DE  INTERESSE  EM  TESTAR  TAIS   TÉCNICAS  FAÇA-­‐O  COM  BOM  SENSO  OU  EM   AMBIENTE  CONTROLADO,  SE  APLICÁVEL.  NUNCA   UTILIZE  ESTAS  TÉCNICAS  CONTRA  PESSOAS  OU   ORGANIZAÇÕES,  FIM  EVITAR  PROBLEMAS.... 3
  • 4. CASE  1   • ATAQUE  AOS  SITES  GOVERNAMENTAIS  BRASILEIROS   (2011) 4
  • 5. CASE  2 • ATAQUE  CONTRA  GEÓRGIA 5
  • 6. NAVEGAÇÃO  ANONIMA  PELA  WEB • SERVIDORES  PROXY – Por  design  servidores  proxy  podem  ocultar  a  iden`dade  de  um   usuário  que  o  tenha  configurado – Diversos  servidores  proxy  na  internet,  com  o  fim  de  navegação   anônima,  estão  disponíveis  para  uso – Interessantes  para  ocultar  a  iden`dade  em  navegação  web,   pesquisas  no  google  ou  em  ataques  à  aplicações  web  na   internet. 6
  • 7. NAVEGAÇÃO  ANONIMA  PELA  WEB – TOR • Terceira  geração  de  um  projeto  da  Marinha  americana  que  visava   proteger  as  comunicações  do  governo • Consiste  em  um  caminho  virtual,  de  vários  hosts,  dificultando   muito  a  determinação  do  real  endereço  IP  de  origem  de  um   acesso • Muito  u`lizado  aumentar  a  privacidade  dos  usuários  na  internet,   para  pesquisas  de  inteligência  de  órgãos  governamentais  e  ......   por  hackers,  para  ocultar  a  sua  iden`dade  :)  #Evil.... • Contudo,  alguns  grupos  de  pesquisa  já  conseguiram  quebrar  a   segurança  do  TOR,  determinando  a  origem  real  de  um  acesso. 7
  • 9. NAVEGAÇÃO  ANONIMA  PELA  WEB – VPN • Opção  plenamente  disponível  na  internet  para  internet  anônima • Existem  estes  serviços  gratuitos  e  pagos • O  serviço  dá  acesso  a  um  servidor  e,  através  dele,  faz-­‐se  o  acesso  a   internet.  O  IP  que  será  registrado  será  o  daquele  servidor. • Normalmente  estes  serviços  até  permitem  escolher  o  país  de   origem  do  IP • Costuma  ser  mais  rápido  que  o  TOR • É  o  meio  de  ocultação  de  iden`dade  recomendado  pelo  grupo   ANONYMOUS • Recomenda-­‐se  usar  IP’s  de  países  que  não  possuam  lei  que   obrigue  a  divulgação  de  informações  de  acesso  à  internet  (Suécia,   por  exemplo) 9
  • 10. DEMONSTRAÇÃO • NAVEGANDO  ANÔNIMO  PELA  WEB  VIA  VPN 10
  • 11. ATACANDO  E  PERMANECENDO   ANÔNIMO • O  IDLE  SCAN – Ferramentas  de  scaneamento  de  rede,  como  o  NMAP,  costumam   ser  muito  ruidosas  para  Firewalls  e  IDS/IPS  na  rede,  tornando  a   tarefa  em  detectar  uma  a`vidade  de  scanning  facilitada. – Entretanto  um  pesquisador  de  segurança  encontrou  um  meio  de   fazer  um  scanning  em  um  alvo,  se  fazendo  passar  por  outro,   ocultando  a  iden`dade  da  verdadeira  origem. – Funciona  forjando  pacotes  SYN  contra  o  alvo,  u`lizando  o  IP  de   um  zumbi  na  rede.  Se  a  porta  es`ver  aberta  no  alvo  este  enviara   um  SYN/ACK  para  o  zumbi  que,  por  não  estar  esperando,   devolverá  um  RST  e  incrementará  o  IP  ID  (iden`ficador  de  pacotes   IP).  Caso  a  porta  esteja  fechada  no  alvo  este  enviará  um  RST  para   o  zumbi,  que  o  ignorará,  não  incrementando  o  IP  ID.  Este   incremento,  ou  não,  do  IP  ID  determina  se  a  porta  está  aberta. 11
  • 12. ATACANDO  E  PERMANECENDO   ANÔNIMO 12
  • 14. ATACANDO  E  PERMANECENDO   ANÔNIMO • TOR  E  VPN  PARA  REALIZAÇÃO  DE  EXPLORAÇÃO – Se  por  um  lado  os  proxys  podem  ser  usados  para  explorar   aplicações  web  de  forma  anônima,  u`lizá-­‐los  para  outros  `pos   de  exploração  é  menos  funcional. – Nestes  casos  o  TOR  e  a  VPN  são  mais  prá`cos. – No  caso  do  TOR  existe  um  comando  (torify)  no  Linux  para   tunelar,  pelo  TOR,  a  comunicação  TCP/IP  das  ferramentas  de   hacking – Quando  se  usa  VPN  todo  o  acesso  à  internet  é  feito  pela  VPN,   logo,  é  mais  prá`co  para  u`lizar  as  ferramentas. 14
  • 15. ATACANDO  E  PERMANECENDO   ANÔNIMO • AS  BOTNETS – Principal  mecanismo  para  realização  de  ataques  de  DOS  ou   DDOS  e  manter  anônimo  a  real  origem  da  ação. – Consiste  em  um  computador  mestre  e  diversos  slaves,  que   respondem  aos  comandos  do  mestre. – Em  conjunção  com  as  demais  técnicas  de  anonimato  consegue   esconder  a  origem  do  mestre. – Tema  muito  extenso,  que  merece  uma  palestra  apenas  para  si  ;) 15
  • 16. CONCLUSÃO • Diversas  técnicas  de  anonimato  na  internet  estão   disponíveis • Todas  podem  ser  u`lizadas  para  o  bem  quanto  para  o   #evil.... • Logo  o  bom  senso  deve  imperar.  Apesar  de   demonstradas  algumas  técnicas  elas  não  devem  ser   u`lizadas  para  a`vidades  maliciosas  na  internet. 16
  • 17. PERGUNTAS 17
  • 18. • Marcelo  Ribeiro • mribeirobr  at  globo  dot  com • mribeirobr  dot  com 18