Explicando segurança e
privacidade com Wireshark
Euler Neto
Agenda
1. Visão geral do Wireshark
2. Modelo TCP/IP
3. HTTP e HTTPS
4. Detectando ataques
5. Interferência de governos na ...
1. Wireshark
“É o analisador de protocolos de rede mais popular
do mundo. Permite que você veja o que acontece na
sua rede...
1. Wireshark
● Visão geral
1. Wireshark
● Follow TCP Stream
2. Modelo TCP/IP
Modelo OSI TCP/IP
2. Modelo TCP/IP
Aplicação Contém protocolos para um serviço específico HTTP, HTTPS, DNS
Transporte Controla a comunicação...
2. Modelo TCP/IP
Ex: Acessar um site
Cliente Servidor
2. Modelo TCP/IP
Aplicação
Transporte
Internet
Rede
Acessar
example.com
2. Modelo TCP/IP
Aplicação
Transporte
Internet
Rede
De: Porta fonte
Para: Porta destino
2. Modelo TCP/IP
Aplicação
Transporte
Internet
Rede
De: IP fonte
Para: IP destino
Porta
2. Modelo TCP/IP
Aplicação
Transporte
Internet
Rede
De: MAC fonte
Para: MAC destino
Porta
IP
2. Modelo TCP/IP
Fonte: http://www.yougetsignal.com/tools/visual-tracert/
2. Modelo TCP/IP
Aplicação
Transporte
Internet
RedeIP
Porta
MAC
2. Modelo TCP/IP
Aqui vimos:
1. Cliente fazendo requisição DNS para saber o IP do site
2. Cliente fazendo requisição ao IP...
2. Modelo TCP/IP
● Three-way-handshake
Fonte: http://chimera.labs.oreilly.com/books/1230000000545/ch02.html
2. Modelo TCP/IP
● Three-way-handshake
○ Requisição de arquivo por parte do cliente
● Exemplo: http://packetlife.net/blog/...
3. HTTP e HTTPS
● O que pode ser encontrado na camada de aplicação?
○ User-Agent: informações do navegador do usuário
○ Ac...
3. HTTP e HTTPS
● Formulários HTTP
○ Os dados fornecidos pelo usuário são enviados sem criptografia
● Exemplo prático
● Va...
3. HTTP e HTTPS
● HTTPS
○ Criptografa a informação através de tunelamento
○ Identidade do site
○ Protocolo SSL / TLS
Aplic...
3. HTTP e HTTPS
● Transação simples com SSL:
Fonte: chimera.labs.oreilly.com/books/1230000000545/ch04.html#TLS_HANDSHAKE
3. HTTP e HTTPS
● Transação simples com SSL:
Fonte: http://www.cisco.com/c/en/us/support/docs/security-vpn/secure-socket-l...
3. HTTP e HTTPS
HTTP HTTPS
Fonte: https://www.google.com/transparencyreport/saferemail/tls/?hl=pt-BR
3. HTTP e HTTPS
3. HTTP e HTTPS
3. HTTP e HTTPS
● Dropbox
3. HTTP e HTTPS
● Dropbox
○ O envio de arquivos entre cliente e servidor é criptografada
○ Os arquivos armazenados no comp...
3. HTTP e HTTPS
● Whatsapp
Fonte: http://thehackernews.com/2014/04/whatsapp-flaw-leaves-user-location.html
4. Detectando ataques
● Man In The Middle (MITM)
● DDoS
● Malwares
4. Detectando ataques
● Man In The Middle (MITM)
MITM Passivo (HTTP): MITM Ativo (HTTPS):
4. Detectando ataques
● Man In The Middle (MITM)
● Arp Spoofing
● Vamos ver no Wireshark?
● DNS Poisoning
● Vamos ver no W...
4. Detectando ataques
● DDoS
4. Detectando ataques
● Malware
Fonte: http://www.netresec.com/?page=PcapFiles
5. Interferência de governos na Internet
● Censura de Internet na Rússia
○ Regulamentada em Novembro de 2012
○ Aprovada ar...
5. Interferência de governos na Internet
● Censura de Internet no Irã
○ SmartFilter
○ Deep Packet Inspection
○ Bloqueio de...
5. Interferência de governos na Internet
● Great Firewall of China
○ Regulamentada em Novembro de 2003
○ Não só bloqueia c...
5. Interferência de governos na Internet
● Great Firewall of China
○ Bloqueio de domínio
Servidor DNS fora da China
Requis...
5. Interferência de governos na Internet
● Great Firewall of China
○ Bloqueio de conteúdo
Se não tem conteúdo “impróprio”:...
5. Interferência de governos na Internet
● Great Firewall of China
Fonte: https://en.greatfire.org/analyzer
5. Interferência de governos na Internet
● Great Cannon of China
Fonte: http://arstechnica.com/security/2015/04/meet-great...
5. Interferência de governos na Internet
● PRISM
○ Funcionou em segredo de 2007 a 2014
○ Interceptação e quebra de sigilo ...
6. Tráfego do Tor
● Como funciona o Tor
○ Relay
○ Bridge
● Conectando ao Tor
● Vamos ver no Wireshark?
6. Tráfego do Tor
● Acessando um site da clearnet via Tor
● Vamos ver no Wireshark?
6. Tráfego do Tor
● Acessando um site .onion via Tor
● Vamos ver no Wireshark?
6. Tráfego do Tor
● Tor e os governos:
Rússia:
Fonte: http://resources.infosecinstitute.com/russia-controls-internet/
6. Tráfego do Tor
● Tor e os governos:
Irã:
Fonte: https://blog.torproject.org/blog/iran-partially-blocks-encrypted-networ...
6. Tráfego do Tor
● Tor e os governos:
Irã:
Fonte: https://www.torproject.org/projects/obfsproxy.html.en
Fonte: https://www.void.gr/kargig/blog/2012/10/05/bypassing-censorship-devices-by-obfuscating-your-traffic-using-obfsproxy...
● Tor e os governos:
Irã
Fonte: https://www.void.gr/kargig/blog/2012/10/05/bypassing-censorship-devices-by-obfuscating-you...
6. Tráfego do Tor
● Tor e os governos:
China:
○ Através um padrão, caso suspeite de ser um tráfego Tor, tenta se conectar ...
7. Conclusão
● Resumo:
Conteúdo Site visitado
HTTP Visível Visível
HTTPS Protegido Visível
Tor Protegido até chegar
ao Exi...
7. Conclusão
● Dúvidas?
Próximos SlideShares
Carregando em…5
×

Explicando segurança e privacidade utilizando Wireshark

265 visualizações

Publicada em

Arquivos de captura: https://www.dropbox.com/s/pt4erapgx98sbsa/apresentacao_pcaps.zip?dl=0

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
265
No SlideShare
0
A partir de incorporações
0
Número de incorporações
25
Ações
Compartilhamentos
0
Downloads
7
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Explicando segurança e privacidade utilizando Wireshark

  1. 1. Explicando segurança e privacidade com Wireshark Euler Neto
  2. 2. Agenda 1. Visão geral do Wireshark 2. Modelo TCP/IP 3. HTTP e HTTPS 4. Detectando ataques 5. Interferência de governos na Internet 6. Tráfego do Tor 7. Conclusão
  3. 3. 1. Wireshark “É o analisador de protocolos de rede mais popular do mundo. Permite que você veja o que acontece na sua rede em um nível microscópico. (...)” (www.wireshark.org)
  4. 4. 1. Wireshark ● Visão geral
  5. 5. 1. Wireshark ● Follow TCP Stream
  6. 6. 2. Modelo TCP/IP Modelo OSI TCP/IP
  7. 7. 2. Modelo TCP/IP Aplicação Contém protocolos para um serviço específico HTTP, HTTPS, DNS Transporte Controla a comunicação entre hosts TCP, UDP Internet Responsável pela conexão entre redes locais IP Rede Camada de abstração de hardware MAC
  8. 8. 2. Modelo TCP/IP Ex: Acessar um site Cliente Servidor
  9. 9. 2. Modelo TCP/IP Aplicação Transporte Internet Rede Acessar example.com
  10. 10. 2. Modelo TCP/IP Aplicação Transporte Internet Rede De: Porta fonte Para: Porta destino
  11. 11. 2. Modelo TCP/IP Aplicação Transporte Internet Rede De: IP fonte Para: IP destino Porta
  12. 12. 2. Modelo TCP/IP Aplicação Transporte Internet Rede De: MAC fonte Para: MAC destino Porta IP
  13. 13. 2. Modelo TCP/IP Fonte: http://www.yougetsignal.com/tools/visual-tracert/
  14. 14. 2. Modelo TCP/IP Aplicação Transporte Internet RedeIP Porta MAC
  15. 15. 2. Modelo TCP/IP Aqui vimos: 1. Cliente fazendo requisição DNS para saber o IP do site 2. Cliente fazendo requisição ao IP do site Vamos ver no Wireshark?
  16. 16. 2. Modelo TCP/IP ● Three-way-handshake Fonte: http://chimera.labs.oreilly.com/books/1230000000545/ch02.html
  17. 17. 2. Modelo TCP/IP ● Three-way-handshake ○ Requisição de arquivo por parte do cliente ● Exemplo: http://packetlife.net/blog/2010/jun/7/understanding-tcp-sequence-acknowledgment-numbers/ ● Vamos ver no Wireshark?
  18. 18. 3. HTTP e HTTPS ● O que pode ser encontrado na camada de aplicação? ○ User-Agent: informações do navegador do usuário ○ Accept-Language: linguagem preferível a ser entregue ○ Set-Cookie: cookie da sessão ○ Entre outras informações ● Mais informações: http://www.tutorialspoint.com/http/http_header_fields.htm
  19. 19. 3. HTTP e HTTPS ● Formulários HTTP ○ Os dados fornecidos pelo usuário são enviados sem criptografia ● Exemplo prático ● Vamos ver no Wireshark?
  20. 20. 3. HTTP e HTTPS ● HTTPS ○ Criptografa a informação através de tunelamento ○ Identidade do site ○ Protocolo SSL / TLS Aplicação SSL / TLS Transporte Internet Rede
  21. 21. 3. HTTP e HTTPS ● Transação simples com SSL: Fonte: chimera.labs.oreilly.com/books/1230000000545/ch04.html#TLS_HANDSHAKE
  22. 22. 3. HTTP e HTTPS ● Transação simples com SSL: Fonte: http://www.cisco.com/c/en/us/support/docs/security-vpn/secure-socket-layer-ssl/116181-technote-product-00.html
  23. 23. 3. HTTP e HTTPS HTTP HTTPS Fonte: https://www.google.com/transparencyreport/saferemail/tls/?hl=pt-BR
  24. 24. 3. HTTP e HTTPS
  25. 25. 3. HTTP e HTTPS
  26. 26. 3. HTTP e HTTPS ● Dropbox
  27. 27. 3. HTTP e HTTPS ● Dropbox ○ O envio de arquivos entre cliente e servidor é criptografada ○ Os arquivos armazenados no computador não são! ● Exemplo prático ● Vamos ver no Wireshark?
  28. 28. 3. HTTP e HTTPS ● Whatsapp Fonte: http://thehackernews.com/2014/04/whatsapp-flaw-leaves-user-location.html
  29. 29. 4. Detectando ataques ● Man In The Middle (MITM) ● DDoS ● Malwares
  30. 30. 4. Detectando ataques ● Man In The Middle (MITM) MITM Passivo (HTTP): MITM Ativo (HTTPS):
  31. 31. 4. Detectando ataques ● Man In The Middle (MITM) ● Arp Spoofing ● Vamos ver no Wireshark? ● DNS Poisoning ● Vamos ver no Wireshark?
  32. 32. 4. Detectando ataques ● DDoS
  33. 33. 4. Detectando ataques ● Malware Fonte: http://www.netresec.com/?page=PcapFiles
  34. 34. 5. Interferência de governos na Internet ● Censura de Internet na Rússia ○ Regulamentada em Novembro de 2012 ○ Aprovada argumentando combater tráfico de drogas, suicídio e pornografia infantil ○ SORM: monitora comunicações de telefone e de Internet. Projeto iniciado pela KGB
  35. 35. 5. Interferência de governos na Internet ● Censura de Internet no Irã ○ SmartFilter ○ Deep Packet Inspection ○ Bloqueio de domínio: notícias e redes sociais ○ Bloqueio de conteúdo: pornografia, LGBT, reformas políticas ● Um dos maiores censuradores. Só perde para...
  36. 36. 5. Interferência de governos na Internet ● Great Firewall of China ○ Regulamentada em Novembro de 2003 ○ Não só bloqueia como monitora o conteúdo Métodos: - Bloqueio de IP - Filtro e redirecionamento de DNS - Filtro de URL - Filtro de pacote - MITM - Bloqueio de VPN
  37. 37. 5. Interferência de governos na Internet ● Great Firewall of China ○ Bloqueio de domínio Servidor DNS fora da China Requisição DNS www.facebook.com Requisição DNS www.facebook.com facebook é 172.252.74.68 facebook é 8.7.198.45
  38. 38. 5. Interferência de governos na Internet ● Great Firewall of China ○ Bloqueio de conteúdo Se não tem conteúdo “impróprio”: Siga Senão: TCP Reset
  39. 39. 5. Interferência de governos na Internet ● Great Firewall of China Fonte: https://en.greatfire.org/analyzer
  40. 40. 5. Interferência de governos na Internet ● Great Cannon of China Fonte: http://arstechnica.com/security/2015/04/meet-great-cannon-the-man-in-the-middle-weapon-china-used-on-github/
  41. 41. 5. Interferência de governos na Internet ● PRISM ○ Funcionou em segredo de 2007 a 2014 ○ Interceptação e quebra de sigilo dos dados Envolvidos: - Microsoft - Yahoo! - Facebook - Google - Apple - Dropbox
  42. 42. 6. Tráfego do Tor ● Como funciona o Tor ○ Relay ○ Bridge ● Conectando ao Tor ● Vamos ver no Wireshark?
  43. 43. 6. Tráfego do Tor ● Acessando um site da clearnet via Tor ● Vamos ver no Wireshark?
  44. 44. 6. Tráfego do Tor ● Acessando um site .onion via Tor ● Vamos ver no Wireshark?
  45. 45. 6. Tráfego do Tor ● Tor e os governos: Rússia: Fonte: http://resources.infosecinstitute.com/russia-controls-internet/
  46. 46. 6. Tráfego do Tor ● Tor e os governos: Irã: Fonte: https://blog.torproject.org/blog/iran-partially-blocks-encrypted-network-traffic
  47. 47. 6. Tráfego do Tor ● Tor e os governos: Irã: Fonte: https://www.torproject.org/projects/obfsproxy.html.en
  48. 48. Fonte: https://www.void.gr/kargig/blog/2012/10/05/bypassing-censorship-devices-by-obfuscating-your-traffic-using-obfsproxy/ ● Tor e os governos: Irã 6. Tráfego do Tor
  49. 49. ● Tor e os governos: Irã Fonte: https://www.void.gr/kargig/blog/2012/10/05/bypassing-censorship-devices-by-obfuscating-your-traffic-using-obfsproxy/ 6. Tráfego do Tor
  50. 50. 6. Tráfego do Tor ● Tor e os governos: China: ○ Através um padrão, caso suspeite de ser um tráfego Tor, tenta se conectar à bridge ○ O GFW tenta se conectar à bridge e caso afirmativo, bloqueia a conexão ○ Mais informações: http://www.cs.kau.se/philwint/gfw/
  51. 51. 7. Conclusão ● Resumo: Conteúdo Site visitado HTTP Visível Visível HTTPS Protegido Visível Tor Protegido até chegar ao Exit Relay Protegido até chegar ao Exit Relay Tor + HTTPS Protegido Protegido Mais detalhes: https://www.eff.org/pages/tor-and-https
  52. 52. 7. Conclusão ● Dúvidas?

×