O documento apresenta uma introdução ao Wireshark e conceitos de segurança e privacidade na Internet, como:
1) Uma visão geral do Wireshark e como ele pode ser usado para analisar tráfego de rede;
2) Os modelos TCP/IP e OSI, protocolos como HTTP/HTTPS e como eles funcionam;
3) Como governos podem interferir na Internet através de técnicas como censura, vigilância e ataques;
4) Como o Tor funciona e como diferentes governos bloqueiam ou monitoram seu tráfego.
2. Agenda
1. Visão geral do Wireshark
2. Modelo TCP/IP
3. HTTP e HTTPS
4. Detectando ataques
5. Interferência de governos na Internet
6. Tráfego do Tor
7. Conclusão
3. 1.Wireshark
“É o analisador de protocolos de rede mais popular
do mundo. Permite que você veja o que acontece
na sua rede em um nível microscópico. (...)”
(www.wireshark.org)
6. 1.Wireshark
Capturando tráfego
●
Usado na máquina alvo
●
Hub: encaminha para todos as máquinas
●
Switch: faz o roteamento para encaminhar apenas para a
máquina alvo
●
Access point: semelhante ao Hub
Promíscuo
Monitor
8. 2. Modelo TCP/IP
Aplicação Contém protocolos para um serviço específico HTTP, HTTPS, DNS
Transporte Controla a comunicação entre hosts TCP, UDP
Internet Responsável pela conexão entre redes locais IP
Rede Camada de abstração de hardware MAC
17. 2. Modelo TCP/IP
Aqui vimos:
1. Cliente fazendo requisição DNS para saber o IP do site
2. Cliente fazendo requisição ao IP do site
Vamos ver no Wireshark?
19. 2. Modelo TCP/IP
Three-way-handshake
Requisição de arquivo por parte do cliente
Exemplo: http://packetlife.net/blog/2010/jun/7/understanding-tcp-sequence-acknowledgment-numbers/
Vamos ver no Wireshark?
20. 3. HTTP e HTTPS
Formulários HTTP
Os dados fornecidos pelo usuário são enviados sem criptografia
Exemplo prático
Vamos ver no Wireshark?
21. 3. HTTP e HTTPS
HTTPS
Criptografa a informação através de tunelamento
Identidade do site
Protocolo SSL / TLS
Aplicação
SSL / TLS
Transporte
Internet
Rede
22. 3. HTTP e HTTPS
Transação simples com SSL:
Fonte: chimera.labs.oreilly.com/books/1230000000545/ch04.html#TLS_HANDSHAKE
23. 3. HTTP e HTTPS
Transação simples com SSL:
Fonte: http://www.cisco.com/c/en/us/support/docs/security-vpn/secure-socket-layer-ssl/116181-technote-product-00.html
24. 3. HTTP e HTTPS
HTTP HTTPS
Fonte: https://www.google.com/transparencyreport/saferemail/tls/?hl=pt-BR
27. 3. HTTP e HTTPS
Formulários HTTPS
Os dados fornecidos pelo usuário são criptografados para serem enviados
Exemplo prático
Vamos ver no Wireshark?
28. 3. HTTP e HTTPS
O que pode ser encontrado na camada de aplicação?
User-Agent: informações do navegador do usuário
Accept-Language: linguagem preferível a ser entregue
Set-Cookie: cookie da sessão
Entre outras informações
Mais informações: http://www.tutorialspoint.com/http/http_header_fields.htm
29. 3. HTTP e HTTPS
Cookies
●
Criado pra resolver problema de ausência de estado na Web
●
Armazena ações dos usuários no servidor
30. 3. HTTP e HTTPS
Cookies
●
Third-party cookies
●
Lightbeam
Fonte: http://www.pcworld.com/article/2057926/hands-on-mozillas-lightbeam-is-info-porn-for-privacy-geeks.html
31. 3. HTTP e HTTPS
Cookies
●
Third-party cookies
(filtro http.cookie)
Vamos ver no Wireshark?
37. 5. Interferência de governos na Internet
Censura de Internet na Rússia
Regulamentada em Novembro de 2012
Aprovada argumentando combater tráfico de drogas, suicídio e pornografia infantil
SORM: monitora comunicações de telefone e de Internet. Projeto iniciado pela KGB
38. 5. Interferência de governos na Internet
Censura de Internet no Irã
SmartFilter
Deep Packet Inspection
Bloqueio de domínio: notícias e redes sociais
Bloqueio de conteúdo: pornografia, LGBT, reformas políticas
Um dos maiores censuradores. Só perde para...
39. 5. Interferência de governos na Internet
Great Firewall of China
Regulamentada em Novembro de 2003
Não só bloqueia como monitora o conteúdo
Métodos:
- Bloqueio de IP
- Filtro e redirecionamento de DNS
- Filtro de URL
- Filtro de pacote
- MITM
- Bloqueio de VPN
40. 5. Interferência de governos na Internet
Great Firewall of China
Bloqueio de domínio
Servidor DNS fora da China
Requisição DNS
www.facebook.com
Requisição DNS
www.facebook.com
facebook é
172.252.74.68
facebook é
8.7.198.45
41. 5. Interferência de governos na Internet
Great Firewall of China
Bloqueio de conteúdo Se não tem conteúdo “impróprio”:
Siga
Senão:
TCP Reset
42. 5. Interferência de governos na Internet
Great Cannon of China
Fonte: http://arstechnica.com/security/2015/04/meet-great-cannon-the-man-in-the-middle-weapon-china-used-on-github/
43. 5. Interferência de governos na Internet
PRISM
Funcionou em segredo de 2007 a 2014
Interceptação e quebra de sigilo dos dados
Envolvidos:
- Microsoft
- Yahoo!
- Facebook
- Google
- Apple
- Dropbox
44. 5. Interferência de governos na Internet
Freedom on the net
Classifica o grau de censura na Internet por país
Reporters Withouth Borders (RWB)
Classifica alguns países como “Inimigos da Internet” ou “Sob investigação”
45. 5. Interferência de governos na Internet
Rússia
Freedom on the net
RWB: Sob investigação (2010-2013) ; Inimigo da Internet (2014)
2009 2011 2012 2013 2014 2015
0
10
20
30
40
50
60
70
Pontuação
46. 5. Interferência de governos na Internet
Irã
Freedom on the net
RWB: Inimigo da Internet (2011)
2009 2011 2012 2013 2014 2015
65
70
75
80
85
90
95
Pontuação
47. 5. Interferência de governos na Internet
China
Freedom on the net
RWB: Inimigo da Internet (2008)
2009 2011 2012 2013 2014 2015
74
76
78
80
82
84
86
88
90
Pontuação
48. 5. Interferência de governos na Internet
EUA
Freedom on the net
RWB: Inimigo da Internet (2014)
2009 2011 2012 2013 2014 2015
0
5
10
15
20
Pontuação
49. 6. Tráfego do Tor
Como funciona o Tor
Relay
Bridge
Conectando ao Tor
Vamos ver no Wireshark?
50. 6. Tráfego do Tor
Acessando o site da Cryptorave na clearnet SEM Tor
whois 179.98.242.43
inetnum: 179.98.0.0/15
aut-num: AS27699
abuse-c: ENRED4
owner: TELEFÔNICA BRASIL S.A
ownerid: 02.558.157/0001-62
responsible: Diretoria de Planejamento e Tecnologia
country: BR
51. 6. Tráfego do Tor
Acessando o site da Cryptorave na clearnet COM Tor
Vamos ver no Wireshark?
whois 212.47.234.192
inetnum: 212.47.224.0 - 212.47.239.255
org: ORG-ONLI1-RIPE
netname: Scaleway
descr: Online SAS - Dedibox
country: FR
52. 6. Tráfego do Tor
Acessando o site .onion da Cryptorave
Vamos ver no Wireshark?
53. 6. Tráfego do Tor
Tor e os governos:
Rússia:
Fonte: https://metrics.torproject.org
54. 6. Tráfego do Tor
Tor e os governos:
Rússia:
●
Jul/2013: sites acusados de hospedar conteúdo pirata (▲ 600%)
●
Feb/2014: sites acusados de extremismo e de promover protestos
●
Jun/2014: blogs com mais de 3 mil leitores devem ter licença do governo
Fonte: http://resources.infosecinstitute.com/russia-controls-internet/
55. 6. Tráfego do Tor
Tor e os governos:
Irã:
Fonte: https://metrics.torproject.org
56. 6. Tráfego do Tor
Tor e os governos:
Irã:
Fonte: https://blog.torproject.org/blog/iran-partially-blocks-encrypted-network-traffic
57. 6. Tráfego do Tor
Tor e os governos:
Irã:
Fonte: https://www.torproject.org/projects/obfsproxy.html.en
58. 6. Tráfego do Tor
Tor e os governos:
China:
Fonte: https://metrics.torproject.org
59. 6. Tráfego do Tor
Tor e os governos:
China:
Através um padrão, caso suspeite de ser um tráfego Tor, tenta se conectar à bridge
O GFW tenta se conectar à bridge e caso afirmativo, bloqueia a conexão
Mais informações: http://www.cs.kau.se/philwint/gfw/
60. 6. Tráfego do Tor
Tor e os governos:
EUA:
Fonte: https://metrics.torproject.org
61. 7. Conclusão
Resumo:
Conteúdo Site visitado
HTTP Visível Visível
HTTPS Protegido Visível
Tor Protegido até chegar ao
Exit Relay
Protegido até chegar ao
Exit Relay
Tor + HTTPS Protegido Protegido
Mais detalhes: https://www.eff.org/pages/tor-and-https