Burlando "MSN Sniffers" com TOR e Gaim

Neste artigo demonstro um método de se burlar "MSN Sniffers" utilizando o IM Gaim juntamente com o TOR, um sistema que visa forçar o anonimato de usuários na internet.

[ Hits: 36.970 ]

Por: Vagner Rodrigues Fernandes em 12/09/2007 | Blog: https://takedownsec.com.br/


Introdução



O intenso crescimento do comunicador instantâneo Messenger da Microsoft acabou atraindo muitas empresas que desenvolvem softwares para gerenciamento e monitoração de internet a estarem desenvolvendo aplicações para o gerenciamento e monitoração do protocolo MSN.

Uma das minhas visões não técnicas sobre o assunto seria que este tipo de monitoração quando não notificada ao usuário da empresa pode ser classificada totalmente como invasão de privacidade do mesmo e este artigo não tem como intuito provocar ou incentivar o uso deste processo para realizar o acesso indevido e sim mostrar que todo investimento nestas ferramentas de monitoração as vezes podem ser inúteis quando não aplicadas da forma correta. Todas informações contidas neste artigo quando executadas são de sua total responsabilidade.

O TOR é uma ferramenta mantida pela EFF que visa manter o anonimato de toda internet, o TOR é multiplataforma, assim podendo ser utilizado em sistemas Windows e até em sistemas Unix. A rede TOR é mantida por diversos usuários da internet ao redor de todo mundo utilizando algoritmos próprios para o tunelamento. Deve-se tomar muito cuidado ao utilizar o TOR, pois o último nó do tunelamento de acesso não é criptografado.

O Gaim, no caso Pidgin, seria somente uma referência ao cliente do IM Messenger, pois atualmente qualquer cliente do IM Messenger suporta acessos via Proxy socks 5, então neste artigo o mais referente seria a idéia de integrar seu cliente IM Messenger com o TOR para evitar a captura das suas conversas.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Processo de instalação e configuração
Outros artigos deste autor

Vacuum - otimizando sua base de dados PostgreSQL

tMSNc - MSN modo texto

DropBear: um serviço de SSH alternativo

LFTP - Sophisticated File Transfer Program

CruxPorts4Slack - O ports para Slackware

Leitura recomendada

Monitorando máquinas Windows com o Nagios

Segurança para leigos

wlmproxy - um proxy superior

Site seguro com Apache-SSL em 15 minutos

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)

  
Comentários
[1] Comentário enviado por elgio em 12/09/2007 - 13:49h

Desculpe, mas eu jamais consigo visualizar a "navegação anônima" como algo correto e desejável. Ë através dela que se cometem os crimes virtuais.

Se o problema inicial era não ter o trafego do MSN bisbilhotado, porque simplesmente não usar o módulo de criptografia do pidgim? (tá, eu sei, só funciona se for para outro pidgim).

[2] Comentário enviado por removido em 12/09/2007 - 14:07h

Cara, excelênte artigo...

desculpe elgio, mas se alguém comete crimes virtuais, ou não, existem órgãos voltados únicamente para isso...

e acho muito bom saber que posso navegar, conversar, fazer o que quiser na internet, com privacidade... ainda que tenhamos que usar métodos radicais para isso...

100%...

[3] Comentário enviado por adrianoturbo em 12/09/2007 - 14:09h

Para esse tipo de brincadeira um remédio que sempre funciona e como funciona IPTABLES E ACLS .

[4] Comentário enviado por cruzeirense em 12/09/2007 - 14:13h

Tem alguma forma de quebrar a criptografia do Tor? Ou pelo menos saber se está instalado em alguma máquina da minha rede?

[5] Comentário enviado por elgio em 12/09/2007 - 14:20h

Olha, cada caso é um caso.
Se estou em um Hotel com meu notebook usando o wireless deles, é evidente que vou querer proteger meu tráfego (no meu caso específico, abro uma VPN com minha rede de confiança).

Mas o contexto de "usar uma rede da minha empresa" deve ser visto com cautela. Já tem decisões judiciais que condenam o empregado que usou abusivamente a rede da empresa MESMO QUE ELE NÃO TENHA assinado nenhum termo se responsabilizando pra isto (bom, algum advogado de plantão aqui?)

Quanto a criptografia do Thor, ele é muito forte e não dá para quebrar. O troço realmente funciona.

Quanto a impedir que se use Thor na rede, no meu caso faço isto:
- os clientes só podem usar porta 80/443
- proxy transparente
- proxy não aceita URL que seja número IP. Navegar por http://72.51.46.57 por exemplo (IP DO VOL) é bloqueado, mas por a URL de domínio não.


[6] Comentário enviado por elgio em 12/09/2007 - 14:22h

Alias, se alguem quiser mais detalhes sobre o Tor, aqui mesmo no VOl tem um artigo:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=2759

[7] Comentário enviado por cruzeirense em 12/09/2007 - 14:28h

Bacana, instalei no meu windows xp e funcionou legal com o messenger...

[8] Comentário enviado por fulllinux em 13/09/2007 - 10:40h

Existem administradores e ADMINISTRADORES, ha várias maneiras de burlar, mas também, há várias maneiras de scannear quem burla.

CUIDADO... Layer7 neles!!!

[9] Comentário enviado por y2h4ck em 13/09/2007 - 15:49h

fulllinux, layer7 não serve de nada, uma vez que o tunnelamento do tor ocorre na camada de transporte tcp e não na camada de aplicação :-)

Respondendo nosso amiguinho ali em cima que perguntou se tem como quebrar a criptografia do Tor: A menos que a pessoa que queira quebrar tenha acesso a todas as private keys de todos os routers que estão dentro do seu circuito do Tor não.

O que pode acontecer é alguém colocar um Rogue_Router no circuito dos routers do TOR, para tentar sniffar o que passar por dentro, então eu digo o seguinte, nada impede de isso ocorrer e os hopes do seu circuito estarem sniffando suas comunicações, sendo assim, evite usar dados importantes como acesso a internet bank etc com o TOR habilitado.
---------
Comentário enviado por adrianoturbo em 12/09/2007 - 14:09h:

Para esse tipo de brincadeira um remédio que sempre funciona e como funciona IPTABLES E ACLS .
----------

Como vc vai fazer algo, vai bloquear a saida de trafego TCP da sua rede ?? :)

O Tor trabalha em cima de protocolo HTTP, socks4 ou socks5, por isso ele é dificil de se barrar e é usado em larga escala como método de Evasão de redes.

É isso ae !!


Abraços.

[10] Comentário enviado por cod3killer em 13/09/2007 - 18:16h

=/.... na verdade a unica "vulnerabilidade" que existe , é no "exit node" onde o pacote sai limpinho sem criptografia pro destinatario. Funciona +- assim: O "node" do TOR recebe o pacote ja criptografado do usuario e adiciona novas camadas de criptografia uma para kda layer no caminho, conforme a mesagem é roteada pela rede do TOR cada servidor retira uma camada de criptografia da mensagem , chegando assim limpa pro destino. Q coisa né !!

[11] Comentário enviado por lefigo em 14/09/2007 - 11:24h

Quer dizer que em suma o Tor é capaz de atravessar bloqueios de IM em firewalls? Ele consegue "esconder" a porta que o programa de mensagens está usando?

[12] Comentário enviado por y2h4ck em 14/09/2007 - 13:55h

monty_jr o TOR é capaz de encapsular qualquer protocolo dentro de uma saida de protocolo de transporte usando HTTP ou socks, isso é indeferente.

cod3killer, isso não é uma vulnerabilidade mas sim a forma inerente de funcionalidade do próprio TOR, pois não tem como o outro lado da comunicação receber um pacote criptografado :P, como ele iria entender a comunicação ?? ehehe


Abraços.

[13] Comentário enviado por adrianoturbo em 14/09/2007 - 14:07h

Comentário enviado por y2h4ck em 13/09/2007 - 15:49h:

fulllinux, layer7 não serve de nada, uma vez que o tunnelamento do tor ocorre na camada de transporte tcp e não na camada de aplicação :-)

Respondendo nosso amiguinho ali em cima que perguntou se tem como quebrar a criptografia do Tor: A menos que a pessoa que queira quebrar tenha acesso a todas as private keys de todos os routers que estão dentro do seu circuito do Tor não.

O que pode acontecer é alguém colocar um Rogue_Router no circuito dos routers do TOR, para tentar sniffar o que passar por dentro, então eu digo o seguinte, nada impede de isso ocorrer e os hopes do seu circuito estarem sniffando suas comunicações, sendo assim, evite usar dados importantes como acesso a internet bank etc com o TOR habilitado.
---------
Comentário enviado por adrianoturbo em 12/09/2007 - 14:09h:

Para esse tipo de brincadeira um remédio que sempre funciona e como funciona IPTABLES E ACLS .
----------

Como vc vai fazer algo, vai bloquear a saida de trafego TCP da sua rede ?? :)

O Tor trabalha em cima de protocolo HTTP, socks4 ou socks5, por isso ele é dificil de se barrar e é usado em larga escala como método de Evasão de redes.

É isso ae !!


Abraços.

Esses farejadores conseguem através de portas abertas,basta fecha-las que dificultará e muito o acesso sniffer.

[14] Comentário enviado por y2h4ck em 14/09/2007 - 14:40h

Cara desculpa mas vc viajou, nenhum "farejador" usa portas abertas para efetuar esse tipo de ataque,
ele simplesmente captura o trafego que está passando na rede de forma passiva utilizando a placa em modo promíscuo, ou de forma ativa, utilizando um ataque na camada de rede de ARP Cache Poison sniffando assim toda a rede.

Fechar portas não resolve nada contra sniffers, unica solução é a criptografia, que é o que estamos tratando no TOR ehehe :-)

[15] Comentário enviado por Cod3Killer em 14/09/2007 - 16:25h

Concordo com o y2h4ck em relacao ao farejador, no meu comentario na verdade eu sabia q nao era vulnerabilidade por isso pus as aspas, somente quis enfatizar um ponto na funcionalidade da rede do TOR, que por sinal essa camada "Exit node" por onde sai a mensagem descriptografada é de total conhecimento dos fabricantes, inclusive os próprios enfatizam isso!! O.o ..

[16] Comentário enviado por SantAnna em 14/09/2007 - 21:29h

É impossível bloquear este tipo de tráfego apenas com um firewall, mesmo que esteja usando as 7 camadas (o que faz com que ele deixe de ser apenas um firewall, no conceito).

Se o tunelamento é feito diretamente no nó, não tem como detectar facilmente!!! Se fosse fácil detectar e visualizar o conteúdo, as VPNs e todo tráfego HTTPs seria ineficiente etc

Com relação a configurar ACLs no squid para bloquear números IPs e deixar passar apenas URLs com domínios... só aí você já tem uma falha!!! Se o usuário configurar a tradução do IP para domínio no próprio computador, você verá apenas o domínio ao invés do IP e o acesso será concedido. Além do mais, em uma rede muito dinâmica, isto não seria eficiente porque existiria a necessidade de criar várias exceções para sites que usam URLs com IP.
Administrativamente acho inviável. Independente de existir o tunelamento, com certeza este software deve passar alguma informação no cabeçalho dos pacotes. O Skype por exemplo joga uma informação como browser igual a Skype... eu aplico uma regra de mime-type e ele não rola na minha rede.

A única maneira que vejo é instalar softwares de gerenciamento nas estações. Softwares estes que identificam a instalação/alteração de qualquer hardware ou software instalado no computador cliente. Desta forma, você teria como saber se o usuário fez alguma nova instalação... para tomar as atitudes que cada empresa deve definir.

Além de outros bloqueios que uso em minha rede, eu implemento autenticação em diversos níveis. Isto dificulta a ação de softwares como estes.

Eu sou a favor da liberdade de utilização da internet de forma segura etc, mas dentro de uma empresa acho que algumas regras devem ser respeitadas. Imaginem se a empresa fosse de vocês e tivessem que pagar mais caro por um link porque seus funcionários usam a rede de forma inadequada? Vocês iria gostar?
Não sou dono de empresa alguma, mas acho válido este princípio.

[17] Comentário enviado por lefigo em 17/09/2007 - 16:00h

Segue abaixo o erro que retorna ao tentar compilar o Tor em meu Debian Etch:

t3all001:/home/t3lorti/Tor/tor-0.1.2.16# ./configure
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... /bin/mkdir -p
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking build system type... i686-pc-linux-gnulibc1
checking host system type... i686-pc-linux-gnulibc1
checking for gcc... gcc
checking for C compiler default output file name...
configure: error: C compiler cannot create executables
See `config.log' for more details.


Alguém passou por isso ou sabe o que significa? Tenho o GCC 4.1 como compilador... No arquivo config.log não aparece nada de pendências... Toda a checagem pelo "./configure" foi feita ok aparentemente.

[18] Comentário enviado por Cod3Killer em 18/09/2007 - 10:23h

bye bye TOR, leiam ai ... =/

"...ToR distribui suas informações através de servidores chamados onion routers, que cria uma rede não-lógica e não-seqüencial, em várias camadas como uma cebola ( onion), a fim de proteger a privacidade de seus usuários. Mas, de acordo com o site heise Security , o consultor sueco conseguiu decodificar o sistema de proteção do site, colocando um phishing na saída dessa série de "nódulos"..."

Dá-lhe camada de saída !!! O.o

Na integra:
Fonte: http://www.geek.com.br/modules/noticias/ver.php?id=11630&sec=5

[19] Comentário enviado por vagnerd em 18/09/2007 - 15:36h

Completando a notícia enviado pelo nosso amigo Cod3Killer.

http://www.geek.com.br/modules/noticias/ver.php?id=11657&sec=5

[20] Comentário enviado por y2h4ck em 19/09/2007 - 10:38h

"Camada de saída" LOL !!!

[21] Comentário enviado por th13f em 20/09/2007 - 11:49h

meu deus, parem de usar expressões do tipo: "Estar lendo", "Estar baixando", "Estar configurando" isso é totalmente errado e inadmissível em um artigo técnico.

[22] Comentário enviado por removido em 24/10/2007 - 16:02h

Sem problemas, vamos estar deixando de estar usando tais expressões. =)

[23] Comentário enviado por leandroseverino em 24/04/2008 - 16:31h

Uma dúvida, tenho uma maquina com Windows XP que esta numa rede que tem um proxy mapeado para a porta 8080. Instalei o TOR for Windows e tentei acessar o PidGim de acordo com as configurações propostas no artigo, mas não estou conseguindo logar, pois ao tentar eu recebo uma mensagem de erro que não é possível me conectar ao proxy via Socks 5. Alguém teria uma idéia de como resolver isto ?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts