Este documento presenta una introducción a la deep web de TOR, incluyendo una descripción de su arquitectura, los tipos de contenido disponibles y las actividades de pentesting que se pueden realizar. Explica conceptos como autoridades de directorio, repetidores, servicios ocultos y circuitos, así como la plataforma TortazoWeb para auditorías colaborativas de la red TOR.
Presentación guía sencilla en Microsoft Excel.pptx
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias de TOR
1. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Desmitificando la deep
web de TOR y pentesting
sobre instancias de TOR.
2. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
¿Quién Soy?
Daniel Echeverri M.
Nickname: Adastra (@jdaanial)
Blog personal: thehackerway.com
Autor de los libros: “Python para Pentesters”
y “Hacking con Python” de 0xWORD.
3. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Agenda
• ¿Qué es la deep web de TOR?
• ¿Qué hay y qué no hay en la deep web de TOR?
• Arquitectura de TOR.
– Autoridades de directorio, descriptores y repetidores
– Servicios ocultos
– Configuración.
• Pentesting contra repetidores y servicios ocultos
en la red de TOR.
• TortazoWeb: Plataforma colaborativa de
auditoría de la red de TOR.
4. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
•¿Qué es la deep web?
• Contenidos no
indexados por
los buscadores.
• Contenidos
protegidos por
contraseña.
• Cantidad de
contenidos
desconocidos,
no medible.
5. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
•¿Qué es la deep web de TOR?
• Contenidos al
interior red de
TOR.
• Sin censura.
• Contenidos no
indexados por
los buscadores.
• Cantidad de
contenidos
desconocidos,
no medible.
6. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
•¿Qué es la deep web de TOR?
• Compuesta por
servicios de todo
tipo.
• Anonimato y
privacidad.
• Servidores
basados en TCP.
• Clientes con
acceso a TOR
usando un proxy
socks.
7. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
•¿Qué NO es la deep web?
8. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
•¿Qué NO es la deep web de
TOR?
9. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Lo bueno de la deep web de TOR
• Anonimato y
privacidad.
• Librerías, tutoriales,
acceso a información
en diversas areas del
conocimiento.
• Resistencia a la
censura.
10. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Lo malo de la deep web de TOR
• Mitos, leyendas y
miedos infundados.
• Servicios itinerantes y
a veces mal
configurados.
• Actividades ilegales.
• Uso irresponsable por
parte de los usuarios.
• Requiere tiempo
encontrar sitios
interesantes.
11. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Agenda
• ¿Qué es la deep web de TOR?
• ¿Qué hay y qué no hay en la deep web de TOR?
• Arquitectura de TOR.
– Autoridades de directorio, descriptores y
repetidores
– Servicios ocultos
– Configuración.
• Pentesting contra repetidores y servicios ocultos
en la red de TOR.
• TortazoWeb: Plataforma colaborativa de
auditoría de la red de TOR.
12. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Autoridades de directorio
• Servidores de
confianza que
gestionan el
funcionamiento de la
red.
• Emiten el último
conseso derivado del
proceso de votación.
13. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Repetidores y Circuitos
14. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Servicios ocultos
15. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Agenda
• ¿Qué es la deep web de TOR?
• ¿Qué hay y qué no hay en la deep web de TOR?
• Arquitectura de TOR.
– Autoridades de directorio, descriptores y repetidores
– Servicios ocultos
– Configuración.
• Pentesting contra repetidores y servicios
ocultos en la red de TOR.
• TortazoWeb: Plataforma colaborativa de
auditoría de la red de TOR.
16. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Pentesting contra servicios
ocultos de TOR
• Procedimientos de pentesting habituales.
• Uso de herramientas de pentesting habituales.
– Metasploit framework, OpenVAS, W3AF, Nessus,
Nexpose, etc, etc, etc, etc.
• Sólo es necesario utilizar el proxy socks de una
instancia de TOR.
17. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Servicios ocultos vulnerables o
mal configurados.
18. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
Agenda
• ¿Qué es la deep web de TOR?
• ¿Qué hay y qué no hay en la deep web de TOR?
• Arquitectura de TOR.
– Autoridades de directorio, descriptores y repetidores
– Servicios ocultos
– Configuración.
• Pentesting contra repetidores y servicios ocultos
en la red de TOR.
• TortazoWeb: Plataforma colaborativa de
auditoría de la red de TOR.
19. Desmitificando la deep web de TOR pentesting sobre instancias de TOR. thehackerway.com - @jdaanial
(Adastra)
TortazoWeb.
• Interfaz web para
Tortazo.
• Permite establecer
niveles de acceso a
los items: (público,
privado, compartido).
• Procesos para
recolección de
información sobre
direcciones onion y
repetidores.