Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a...

12
http://www.el-palomo.com Anonimato en la web: Proyecto TOR + SQLMap Omar Palomino Abril, 2012 [email protected] Anonimato en la web

Transcript of Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a...

Page 1: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Anonimato en la web: Proyecto TOR +

SQLMap

Omar Palomino Abril, 2012

[email protected]

Anonimato en la web

Page 2: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

• Ing. Sistemas y Maestrista de Ing. de

Computación y Sistemas, CEH,

Security+, ITIL v3.

• Consultor en seguridad de

información

• Psicólogo que aun no comienza sus

estudios….

• Escritor en mis tiempos libres:

http://www.el-palomo.com

Page 3: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Instalación de Herramientas

Conexión anónima a

Internet

Ataque SQLMAP + TOR

Conclusiones

AVISO Y CONSIDERACIONES LEGALES

Las técnicas mostradas en la presentación tienen por objetivo CONOCER las técnicas utilizadas por los hackers para realizar ataques anónimos en Internet.

La presentación NO TIENE POR OBJETIVO enseñar técnicas para realizar ataques anónimos en la web que son penados según la legislación de los países.

El autor no se hace responsable del mal uso de las técnicas mostradas en la presentación.

Page 4: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Instalación de Herramientas

Conexión anónima a

Internet

Ataque SQLMAP + TOR

Conclusiones

Herramientas

Instalar las siguientes herramientas:

TOR: Proyecto que permite navegar por Internet de manera anónima distribuyendo

el acceso a internet entre distintos lugares tomando un camino aleatorio ocultando el origen de la solicitud.

POLIPO: Rápido y pequeño cache web proxy, mejora la rapidez y proporciona

anonimato a la consultas DNS (tunneling).

VIDALIA: Interfaz gráfica que administra las conexiones del software TOR.

SQLMAP: Herramienta que automatiza los ataques de SQL Injection.

ETHERAPE: Herramienta gráfica que muestra la conexión a Internet.

Page 5: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Instalación de Herramientas

Conexión anónima a

Internet

Ataque SQLMAP + TOR

Conclusiones

¿Cómo funciona TOR?

1.- El cliente TOR identifica todos los nodos de la red que serán utilizados.

2.- Los nodos NO CONOCEN el origen de la solicitud

Page 6: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Instalación de Herramientas

Conexión anónima a

Internet

Ataque SQLMAP + TOR

Conclusiones

¿Cómo funciona TOR?

3.- Se crea un circuito aleatorio de conexión que cambia cada 10 minutos. 4.- La comunicación viaja

encriptada 5.- Se realiza la conexión final de la comunicación.

Page 7: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Instalación de Herramientas

Conexión anónima a

Internet

Ataque SQLMAP + TOR

Conclusiones

¿Cómo funciona TOR?

6.- La siguiente conexión

escoge otro circuito de conexión.

7.- La conexión se vuelve NO RASTREABLE.

Page 8: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Puerto8123

Puerto 9050

CLIENTES

SQLMAP

POLIPO

Servidor Proxy

TOR

http://www.pps.jussieu.fr/~jch/software/polipo/tor.html

http://www.pps.jussieu.fr/~jch/software/polipo/tor.html
Page 9: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Instalación de Herramientas

Conexión anónima a

Internet

Ataque SQLMAP + TOR

Conclusiones

Pruebas realizadas en videotutorial:

Prueba directa de conexión a Internet Realizamos un conexión ICMP (ping) y se conecta directamente al servidor destino.

Prueba de conexión utilizando TOR + POLIPO

Configurar el cliente (browser, SQLMap, etc) para que utilizar TOR + POLIPO y la conexión viaja a través de los nodos de TOR.

Page 10: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Instalación de Herramientas

Conexión anónima a

Internet

Ataque SQLMAP + TOR

Conclusiones

Documentación de TOR

Configuración del cliente Cada cliente (en este caso TOR) se le debe indicar que use la red TOR para realizar conexiones a INTERNET. TOR incluye la opción - - tor para redirigir las conexiones.

http://sqlmap.sourceforge.net/doc/README.pdf

http://sqlmap.sourceforge.net/doc/README.pdf
Page 11: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Instalación de Herramientas

Conexión anónima a

Internet

Ataque SQLMAP + TOR

Conclusiones

Finalmente…..

Las conexiones a Internet anónimas son cada vez más frecuentes. Las conexiones anónimas con TOR no son un delito debido a que

pueden ser utilizadas de forma adecuada, SÍ es delito utilizarlo para el robo de información.

El uso de firewalls no evita los ataques realizados con TOR, se recomienda evaluar el uso de dispositivos especializados como IPS (Snort), WAF (Web Application Firewall).

Page 12: Computación y Sistemas, CEH, - el-palomo.com · Instalación de Herramientas Conexión anónima a Internet Ataque SQLMAP + TOR Conclusiones AVISO Y CONSIDERACIONES LEGALES

http://www.el-palomo.com

Anonimato en la web: Proyecto TOR +

SQLMap

Omar Palomino Abril, 2012

[email protected]

Anonimato en la web


Boletín Novedades Editoriales CEH primer trimestre 2015

Boletín Novedades Editoriales CEH primer trimestre 2015

4 Sqlmap Gio

4 Sqlmap Gio

H-Dzon ceh. Aspectos etnoliterarios y lingüísticos de un ...

H-Dzon ceh. Aspectos etnoliterarios y lingüísticos de un ...

Capacitación OFICIAL para hacer el CEH

Capacitación OFICIAL para hacer el CEH

CEH Introduccion Hacking Etico.

CEH Introduccion Hacking Etico.

omando de la semana ^ SQLMAP ^ ZPensando en Estresar

omando de la semana ^ SQLMAP ^ ZPensando en Estresar

Sqlmap basico

Sqlmap basico

CURSO CEH CONTENIDO TEMÁTICO Ethical Hacking · Ethical Hacking Certificación:-CEH Certified Ethical Hacker aprobando el Examen Intnal-Certificado de Asistencia al Curso Ethical

CURSO CEH CONTENIDO TEMÁTICO Ethical Hacking · Ethical Hacking Certificación:-CEH Certified Ethical Hacker aprobando el Examen Intnal-Certificado de Asistencia al Curso Ethical

Tor Nil Lo

Tor Nil Lo

Inside Tor

Inside Tor

Introducción a Tor

Introducción a Tor

REVO Tor Presentation

REVO Tor Presentation

Tor Nil Los

Tor Nil Los

Presentacion de LELO TOR II (TOR 2)

Presentacion de LELO TOR II (TOR 2)

Semiologia Tor

Semiologia Tor

Gastón Toth CEH · Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia

Gastón Toth CEH · Gastón Toth [email protected] Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia

Ronda Colombia 2010 TOR

Ronda Colombia 2010 TOR

EDITORIAL TOR

EDITORIAL TOR

Memoria Tor 2014

Memoria Tor 2014

คู่มือการใช้งานระบบ TOR Online · 4 คณะกรรมการประเมิน TOR และ Competency 4.1 ประธำนกรรมกำร

คู่มือการใช้งานระบบ TOR Online · 4 คณะกรรมการประเมิน TOR และ Competency 4.1 ประธำนกรรมกำร