Explicando segurança e privacidade com Wireshark (2017)
0 gostou711 visualizações
O documento apresenta uma introdução ao Wireshark e conceitos de segurança e privacidade na Internet, como: 1) Uma visão geral do Wireshark e como ele pode ser usado para analisar tráfego de rede; 2) Os modelos TCP/IP e OSI, protocolos como HTTP/HTTPS e como eles funcionam; 3) Como governos podem interferir na Internet através de técnicas como censura, vigilância e ataques; 4) Como o Tor funciona e como diferentes governos bloqueiam ou monitoram seu tráfego.
Explicando segurança e privacidade com Wireshark (2017)
- 1. Explicando segurança e privacidade com Wireshark Euler Neto
- 2. Agenda 1. Visão geral do Wireshark 2. Modelo TCP/IP 3. HTTP e HTTPS 4. Detectando ataques 5. Interferência de governos na Internet 6. Tráfego do Tor 7. Conclusão
- 3. 1.Wireshark “É o analisador de protocolos de rede mais popular do mundo. Permite que você veja o que acontece na sua rede em um nível microscópico. (...)” (www.wireshark.org)
- 6. 1.Wireshark Capturando tráfego ● Usado na máquina alvo ● Hub: encaminha para todos as máquinas ● Switch: faz o roteamento para encaminhar apenas para a máquina alvo ● Access point: semelhante ao Hub Promíscuo Monitor
- 7. 2. Modelo TCP/IP Modelo OSI TCP/IP
- 8. 2. Modelo TCP/IP Aplicação Contém protocolos para um serviço específico HTTP, HTTPS, DNS Transporte Controla a comunicação entre hosts TCP, UDP Internet Responsável pela conexão entre redes locais IP Rede Camada de abstração de hardware MAC
- 9. 2. Modelo TCP/IP Ex: Acessar um site Cliente Servidor
- 10. 2. Modelo TCP/IP Aplicação Transporte Internet Rede Servidor DNS Quem é example.com? 93.184.216..34
- 12. 2. Modelo TCP/IP Aplicação Transporte Internet Rede De: Porta origem
- 13. 2. Modelo TCP/IP Aplicação Transporte Internet Rede De: IP origem
- 14. 2. Modelo TCP/IP Aplicação Transporte Internet Rede De: MAC origem
- 15. 2. Modelo TCP/IP Fonte: http://www.yougetsignal.com/tools/visual-tracert/
- 17. 2. Modelo TCP/IP Aqui vimos: 1. Cliente fazendo requisição DNS para saber o IP do site 2. Cliente fazendo requisição ao IP do site Vamos ver no Wireshark?
- 18. 2. Modelo TCP/IP Three-way-handshake Fonte: http://chimera.labs.oreilly.com/books/1230000000545/ch02.html
- 19. 2. Modelo TCP/IP Three-way-handshake Requisição de arquivo por parte do cliente Exemplo: http://packetlife.net/blog/2010/jun/7/understanding-tcp-sequence-acknowledgment-numbers/ Vamos ver no Wireshark?
- 20. 3. HTTP e HTTPS Formulários HTTP Os dados fornecidos pelo usuário são enviados sem criptografia Exemplo prático Vamos ver no Wireshark?
- 21. 3. HTTP e HTTPS HTTPS Criptografa a informação através de tunelamento Identidade do site Protocolo SSL / TLS Aplicação SSL / TLS Transporte Internet Rede
- 22. 3. HTTP e HTTPS Transação simples com SSL: Fonte: chimera.labs.oreilly.com/books/1230000000545/ch04.html#TLS_HANDSHAKE
- 23. 3. HTTP e HTTPS Transação simples com SSL: Fonte: http://www.cisco.com/c/en/us/support/docs/security-vpn/secure-socket-layer-ssl/116181-technote-product-00.html
- 24. 3. HTTP e HTTPS HTTP HTTPS Fonte: https://www.google.com/transparencyreport/saferemail/tls/?hl=pt-BR
- 25. 3. HTTP e HTTPS
- 26. 3. HTTP e HTTPS
- 27. 3. HTTP e HTTPS Formulários HTTPS Os dados fornecidos pelo usuário são criptografados para serem enviados Exemplo prático Vamos ver no Wireshark?
- 28. 3. HTTP e HTTPS O que pode ser encontrado na camada de aplicação? User-Agent: informações do navegador do usuário Accept-Language: linguagem preferível a ser entregue Set-Cookie: cookie da sessão Entre outras informações Mais informações: http://www.tutorialspoint.com/http/http_header_fields.htm
- 29. 3. HTTP e HTTPS Cookies ● Criado pra resolver problema de ausência de estado na Web ● Armazena ações dos usuários no servidor
- 30. 3. HTTP e HTTPS Cookies ● Third-party cookies ● Lightbeam Fonte: http://www.pcworld.com/article/2057926/hands-on-mozillas-lightbeam-is-info-porn-for-privacy-geeks.html
- 31. 3. HTTP e HTTPS Cookies ● Third-party cookies (filtro http.cookie) Vamos ver no Wireshark?
- 32. 4. Detectando ataques Man In The Middle (MITM) MITM Passivo (HTTP): MITM Ativo (HTTPS):
- 33. 4. Detectando ataques Man In The Middle (MITM) ● Arp Spoofing ● DNS Poisoning ● Session Hijacking ● SSL Hijacking
- 34. 4. Detectando ataques DDoS ● SYN Flood ● ICMP Flood ● Ping of Death Fonte: http://www.volkskrant.nl/tech/ddos-aanval-is-het-wapen-van-een-bullebak~a4126405/
- 35. 4. Detectando ataques DDoS ● Atualmente: Fonte: https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
- 36. 4. Detectando ataques Malware Fonte: http://www.netresec.com/?page=PcapFiles
- 37. 5. Interferência de governos na Internet Censura de Internet na Rússia Regulamentada em Novembro de 2012 Aprovada argumentando combater tráfico de drogas, suicídio e pornografia infantil SORM: monitora comunicações de telefone e de Internet. Projeto iniciado pela KGB
- 38. 5. Interferência de governos na Internet Censura de Internet no Irã SmartFilter Deep Packet Inspection Bloqueio de domínio: notícias e redes sociais Bloqueio de conteúdo: pornografia, LGBT, reformas políticas Um dos maiores censuradores. Só perde para...
- 39. 5. Interferência de governos na Internet Great Firewall of China Regulamentada em Novembro de 2003 Não só bloqueia como monitora o conteúdo Métodos: - Bloqueio de IP - Filtro e redirecionamento de DNS - Filtro de URL - Filtro de pacote - MITM - Bloqueio de VPN
- 40. 5. Interferência de governos na Internet Great Firewall of China Bloqueio de domínio Servidor DNS fora da China Requisição DNS www.facebook.com Requisição DNS www.facebook.com facebook é 172.252.74.68 facebook é 8.7.198.45
- 41. 5. Interferência de governos na Internet Great Firewall of China Bloqueio de conteúdo Se não tem conteúdo “impróprio”: Siga Senão: TCP Reset
- 42. 5. Interferência de governos na Internet Great Cannon of China Fonte: http://arstechnica.com/security/2015/04/meet-great-cannon-the-man-in-the-middle-weapon-china-used-on-github/
- 43. 5. Interferência de governos na Internet PRISM Funcionou em segredo de 2007 a 2014 Interceptação e quebra de sigilo dos dados Envolvidos: - Microsoft - Yahoo! - Facebook - Google - Apple - Dropbox
- 44. 5. Interferência de governos na Internet Freedom on the net Classifica o grau de censura na Internet por país Reporters Withouth Borders (RWB) Classifica alguns países como “Inimigos da Internet” ou “Sob investigação”
- 45. 5. Interferência de governos na Internet Rússia Freedom on the net RWB: Sob investigação (2010-2013) ; Inimigo da Internet (2014) 2009 2011 2012 2013 2014 2015 0 10 20 30 40 50 60 70 Pontuação
- 46. 5. Interferência de governos na Internet Irã Freedom on the net RWB: Inimigo da Internet (2011) 2009 2011 2012 2013 2014 2015 65 70 75 80 85 90 95 Pontuação
- 47. 5. Interferência de governos na Internet China Freedom on the net RWB: Inimigo da Internet (2008) 2009 2011 2012 2013 2014 2015 74 76 78 80 82 84 86 88 90 Pontuação
- 48. 5. Interferência de governos na Internet EUA Freedom on the net RWB: Inimigo da Internet (2014) 2009 2011 2012 2013 2014 2015 0 5 10 15 20 Pontuação
- 49. 6. Tráfego do Tor Como funciona o Tor Relay Bridge Conectando ao Tor Vamos ver no Wireshark?
- 50. 6. Tráfego do Tor Acessando o site da Cryptorave na clearnet SEM Tor whois 179.98.242.43 inetnum: 179.98.0.0/15 aut-num: AS27699 abuse-c: ENRED4 owner: TELEFÔNICA BRASIL S.A ownerid: 02.558.157/0001-62 responsible: Diretoria de Planejamento e Tecnologia country: BR
- 51. 6. Tráfego do Tor Acessando o site da Cryptorave na clearnet COM Tor Vamos ver no Wireshark? whois 212.47.234.192 inetnum: 212.47.224.0 - 212.47.239.255 org: ORG-ONLI1-RIPE netname: Scaleway descr: Online SAS - Dedibox country: FR
- 52. 6. Tráfego do Tor Acessando o site .onion da Cryptorave Vamos ver no Wireshark?
- 53. 6. Tráfego do Tor Tor e os governos: Rússia: Fonte: https://metrics.torproject.org
- 54. 6. Tráfego do Tor Tor e os governos: Rússia: ● Jul/2013: sites acusados de hospedar conteúdo pirata (▲ 600%) ● Feb/2014: sites acusados de extremismo e de promover protestos ● Jun/2014: blogs com mais de 3 mil leitores devem ter licença do governo Fonte: http://resources.infosecinstitute.com/russia-controls-internet/
- 55. 6. Tráfego do Tor Tor e os governos: Irã: Fonte: https://metrics.torproject.org
- 56. 6. Tráfego do Tor Tor e os governos: Irã: Fonte: https://blog.torproject.org/blog/iran-partially-blocks-encrypted-network-traffic
- 57. 6. Tráfego do Tor Tor e os governos: Irã: Fonte: https://www.torproject.org/projects/obfsproxy.html.en
- 58. 6. Tráfego do Tor Tor e os governos: China: Fonte: https://metrics.torproject.org
- 59. 6. Tráfego do Tor Tor e os governos: China: Através um padrão, caso suspeite de ser um tráfego Tor, tenta se conectar à bridge O GFW tenta se conectar à bridge e caso afirmativo, bloqueia a conexão Mais informações: http://www.cs.kau.se/philwint/gfw/
- 60. 6. Tráfego do Tor Tor e os governos: EUA: Fonte: https://metrics.torproject.org
- 61. 7. Conclusão Resumo: Conteúdo Site visitado HTTP Visível Visível HTTPS Protegido Visível Tor Protegido até chegar ao Exit Relay Protegido até chegar ao Exit Relay Tor + HTTPS Protegido Protegido Mais detalhes: https://www.eff.org/pages/tor-and-https