Burlando "MSN Sniffers" com TOR e Gaim

Neste artigo demonstro um método de se burlar "MSN Sniffers" utilizando o IM Gaim juntamente com o TOR, um sistema que visa forçar o anonimato de usuários na internet.

[ Hits: 37.374 ]

Por: Vagner Rodrigues Fernandes em 12/09/2007 | Blog: https://takedownsec.com.br/


Processo de instalação e configuração



Em primeiro momento deve-se instalar o TOR, isto vai variar do seu sistema operacional ou sua distribuição Linux. Uma forma global de instalar o TOR seria estar utilizando o tarball do mesmo. Pode-se obter o source do TOR no site do projeto em:
Processo de compilação e instalação utilizando o tarball:

# wget http://tor.eff.org/dist/tor-0.1.2.16.tar.gz
# tar -zxvf tor-0.1.2.16.tar.gz
# cd tor-0.1.2.16
# ./configure
# make
# make install


Processo de instalação via pacote binário no OpenBSD:

# export PKG_PATH=ftp://ftp.openbsd.org/pub/OpenBSD/4.1/packages/i386/
# pkg_add -v tor-0.1.2.16.tgz


As configurações "defaults" do TOR contidas normalmente em /etc/tor/torrc, que já vem por padrão, podem ser utilizadas para manter o anonimato na internet e até mesmo para ocultar as conversas no IM Messenger. Caso queria realizar alguma configuração mais particular em relação ao TOR, consulte o manual do mesmo ou até mesmo alguns dos manuais disponíveis no site:
Após realizar a instalação basta digitar "tor" no seu console ou shell favorito que o mesmo por padrão sem nenhum parâmetro já irá trabalhar em modo daemon (background).

# tor
Aug 27 08:10:14.092 [notice] Tor v0.1.2.16. This is experimental software. Do not rely on it for strong anonymity.
Aug 27 08:10:14.159 [notice] Initialized libevent version 1.1b using method kqueue. Good.
Aug 27 08:10:14.185 [notice] Opening Socks listener on 127.0.0.1:9050

Para notificar que o mesmo está em execução, podemos utilizar dois comandos nativos dos sistemas Unix/Linux o ps e o netstat da seguinte forma:

# ps auxw | grep tor
_tor     21387  0.0  2.0  6140 10376 ??  S      8:10AM    0:51.62 tor
root     11592  0.0  0.0  1044     4 p0  R+    10:27AM    0:00.00 grep tor (bash)
# netstat -an | grep tcp | grep LISTEN | grep 9050
tcp        0      0  127.0.0.1.9050         *.*                    LISTEN

Bom, nosso próximo passo é estar configurando o nosso cliente do IM Messenger para estar utilizando o TOR como um Proxy de socks 5 para que as mensagens possam estar saindo pela rede TOR. No meu caso, como utilizo o Gaim 2.0.0 Beta 6 como cliente do Messenger, vou realizar o seguinte procedimento para estar configurando meu cliente de IM Gaim:

Accounts -> Add/Edit
Selecionar a conta desejada -> Modify
Advanced -> Proxy Type -> SOCKS 5
Host: 127.0.0.1
Port: 9050

Pronto, basta autenticar na sua conta do Messenger configurada e desejada que todo conteúdo utilizado nesta conta vai estar saindo pela rede TOR, assim impossibilitando a captura das suas mensagens por Sniffers instalados na rede ou até mesmo pelo gateway.

Uma observação importante seria que o último nó da rede TOR não é criptografado, assim existindo a possibilidade do último nó ter acesso as suas conversações.

Este artigo tem como intuito demonstrar a forma didática de como burlar sistemas de Sniffers atualmente vendidos no mercado de TI. O uso deste artigo para práticas irregulares é de total responsabilidade sua.

Vagner Rodrigues Fernandes

Página anterior    

Páginas do artigo
   1. Introdução
   2. Processo de instalação e configuração
Outros artigos deste autor

tMSNc - MSN modo texto

CruxPorts4Slack - O ports para Slackware

Configurando um servidor de FTP no OpenBSD

Mantendo seu Slackware atualizado com o slackcurrent

Vacuum - otimizando sua base de dados PostgreSQL

Leitura recomendada

Ferramenta Forense de Análise de Rede (NFAT) - Xplico

Armazenamento de senhas no Linux

Instalando Snort e Guardian no Slackware

Buffer Overflow: Entendendo e explorando

Instalando e configurando o BackupPC

  
Comentários
[1] Comentário enviado por elgio em 12/09/2007 - 13:49h

Desculpe, mas eu jamais consigo visualizar a "navegação anônima" como algo correto e desejável. Ë através dela que se cometem os crimes virtuais.

Se o problema inicial era não ter o trafego do MSN bisbilhotado, porque simplesmente não usar o módulo de criptografia do pidgim? (tá, eu sei, só funciona se for para outro pidgim).

[2] Comentário enviado por removido em 12/09/2007 - 14:07h

Cara, excelênte artigo...

desculpe elgio, mas se alguém comete crimes virtuais, ou não, existem órgãos voltados únicamente para isso...

e acho muito bom saber que posso navegar, conversar, fazer o que quiser na internet, com privacidade... ainda que tenhamos que usar métodos radicais para isso...

100%...

[3] Comentário enviado por adrianoturbo em 12/09/2007 - 14:09h

Para esse tipo de brincadeira um remédio que sempre funciona e como funciona IPTABLES E ACLS .

[4] Comentário enviado por cruzeirense em 12/09/2007 - 14:13h

Tem alguma forma de quebrar a criptografia do Tor? Ou pelo menos saber se está instalado em alguma máquina da minha rede?

[5] Comentário enviado por elgio em 12/09/2007 - 14:20h

Olha, cada caso é um caso.
Se estou em um Hotel com meu notebook usando o wireless deles, é evidente que vou querer proteger meu tráfego (no meu caso específico, abro uma VPN com minha rede de confiança).

Mas o contexto de "usar uma rede da minha empresa" deve ser visto com cautela. Já tem decisões judiciais que condenam o empregado que usou abusivamente a rede da empresa MESMO QUE ELE NÃO TENHA assinado nenhum termo se responsabilizando pra isto (bom, algum advogado de plantão aqui?)

Quanto a criptografia do Thor, ele é muito forte e não dá para quebrar. O troço realmente funciona.

Quanto a impedir que se use Thor na rede, no meu caso faço isto:
- os clientes só podem usar porta 80/443
- proxy transparente
- proxy não aceita URL que seja número IP. Navegar por http://72.51.46.57 por exemplo (IP DO VOL) é bloqueado, mas por a URL de domínio não.


[6] Comentário enviado por elgio em 12/09/2007 - 14:22h

Alias, se alguem quiser mais detalhes sobre o Tor, aqui mesmo no VOl tem um artigo:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=2759

[7] Comentário enviado por cruzeirense em 12/09/2007 - 14:28h

Bacana, instalei no meu windows xp e funcionou legal com o messenger...

[8] Comentário enviado por fulllinux em 13/09/2007 - 10:40h

Existem administradores e ADMINISTRADORES, ha várias maneiras de burlar, mas também, há várias maneiras de scannear quem burla.

CUIDADO... Layer7 neles!!!

[9] Comentário enviado por y2h4ck em 13/09/2007 - 15:49h

fulllinux, layer7 não serve de nada, uma vez que o tunnelamento do tor ocorre na camada de transporte tcp e não na camada de aplicação :-)

Respondendo nosso amiguinho ali em cima que perguntou se tem como quebrar a criptografia do Tor: A menos que a pessoa que queira quebrar tenha acesso a todas as private keys de todos os routers que estão dentro do seu circuito do Tor não.

O que pode acontecer é alguém colocar um Rogue_Router no circuito dos routers do TOR, para tentar sniffar o que passar por dentro, então eu digo o seguinte, nada impede de isso ocorrer e os hopes do seu circuito estarem sniffando suas comunicações, sendo assim, evite usar dados importantes como acesso a internet bank etc com o TOR habilitado.
---------
Comentário enviado por adrianoturbo em 12/09/2007 - 14:09h:

Para esse tipo de brincadeira um remédio que sempre funciona e como funciona IPTABLES E ACLS .
----------

Como vc vai fazer algo, vai bloquear a saida de trafego TCP da sua rede ?? :)

O Tor trabalha em cima de protocolo HTTP, socks4 ou socks5, por isso ele é dificil de se barrar e é usado em larga escala como método de Evasão de redes.

É isso ae !!


Abraços.

[10] Comentário enviado por cod3killer em 13/09/2007 - 18:16h

=/.... na verdade a unica "vulnerabilidade" que existe , é no "exit node" onde o pacote sai limpinho sem criptografia pro destinatario. Funciona +- assim: O "node" do TOR recebe o pacote ja criptografado do usuario e adiciona novas camadas de criptografia uma para kda layer no caminho, conforme a mesagem é roteada pela rede do TOR cada servidor retira uma camada de criptografia da mensagem , chegando assim limpa pro destino. Q coisa né !!

[11] Comentário enviado por lefigo em 14/09/2007 - 11:24h

Quer dizer que em suma o Tor é capaz de atravessar bloqueios de IM em firewalls? Ele consegue "esconder" a porta que o programa de mensagens está usando?

[12] Comentário enviado por y2h4ck em 14/09/2007 - 13:55h

monty_jr o TOR é capaz de encapsular qualquer protocolo dentro de uma saida de protocolo de transporte usando HTTP ou socks, isso é indeferente.

cod3killer, isso não é uma vulnerabilidade mas sim a forma inerente de funcionalidade do próprio TOR, pois não tem como o outro lado da comunicação receber um pacote criptografado :P, como ele iria entender a comunicação ?? ehehe


Abraços.

[13] Comentário enviado por adrianoturbo em 14/09/2007 - 14:07h

Comentário enviado por y2h4ck em 13/09/2007 - 15:49h:

fulllinux, layer7 não serve de nada, uma vez que o tunnelamento do tor ocorre na camada de transporte tcp e não na camada de aplicação :-)

Respondendo nosso amiguinho ali em cima que perguntou se tem como quebrar a criptografia do Tor: A menos que a pessoa que queira quebrar tenha acesso a todas as private keys de todos os routers que estão dentro do seu circuito do Tor não.

O que pode acontecer é alguém colocar um Rogue_Router no circuito dos routers do TOR, para tentar sniffar o que passar por dentro, então eu digo o seguinte, nada impede de isso ocorrer e os hopes do seu circuito estarem sniffando suas comunicações, sendo assim, evite usar dados importantes como acesso a internet bank etc com o TOR habilitado.
---------
Comentário enviado por adrianoturbo em 12/09/2007 - 14:09h:

Para esse tipo de brincadeira um remédio que sempre funciona e como funciona IPTABLES E ACLS .
----------

Como vc vai fazer algo, vai bloquear a saida de trafego TCP da sua rede ?? :)

O Tor trabalha em cima de protocolo HTTP, socks4 ou socks5, por isso ele é dificil de se barrar e é usado em larga escala como método de Evasão de redes.

É isso ae !!


Abraços.

Esses farejadores conseguem através de portas abertas,basta fecha-las que dificultará e muito o acesso sniffer.

[14] Comentário enviado por y2h4ck em 14/09/2007 - 14:40h

Cara desculpa mas vc viajou, nenhum "farejador" usa portas abertas para efetuar esse tipo de ataque,
ele simplesmente captura o trafego que está passando na rede de forma passiva utilizando a placa em modo promíscuo, ou de forma ativa, utilizando um ataque na camada de rede de ARP Cache Poison sniffando assim toda a rede.

Fechar portas não resolve nada contra sniffers, unica solução é a criptografia, que é o que estamos tratando no TOR ehehe :-)

[15] Comentário enviado por Cod3Killer em 14/09/2007 - 16:25h

Concordo com o y2h4ck em relacao ao farejador, no meu comentario na verdade eu sabia q nao era vulnerabilidade por isso pus as aspas, somente quis enfatizar um ponto na funcionalidade da rede do TOR, que por sinal essa camada "Exit node" por onde sai a mensagem descriptografada é de total conhecimento dos fabricantes, inclusive os próprios enfatizam isso!! O.o ..

[16] Comentário enviado por SantAnna em 14/09/2007 - 21:29h

É impossível bloquear este tipo de tráfego apenas com um firewall, mesmo que esteja usando as 7 camadas (o que faz com que ele deixe de ser apenas um firewall, no conceito).

Se o tunelamento é feito diretamente no nó, não tem como detectar facilmente!!! Se fosse fácil detectar e visualizar o conteúdo, as VPNs e todo tráfego HTTPs seria ineficiente etc

Com relação a configurar ACLs no squid para bloquear números IPs e deixar passar apenas URLs com domínios... só aí você já tem uma falha!!! Se o usuário configurar a tradução do IP para domínio no próprio computador, você verá apenas o domínio ao invés do IP e o acesso será concedido. Além do mais, em uma rede muito dinâmica, isto não seria eficiente porque existiria a necessidade de criar várias exceções para sites que usam URLs com IP.
Administrativamente acho inviável. Independente de existir o tunelamento, com certeza este software deve passar alguma informação no cabeçalho dos pacotes. O Skype por exemplo joga uma informação como browser igual a Skype... eu aplico uma regra de mime-type e ele não rola na minha rede.

A única maneira que vejo é instalar softwares de gerenciamento nas estações. Softwares estes que identificam a instalação/alteração de qualquer hardware ou software instalado no computador cliente. Desta forma, você teria como saber se o usuário fez alguma nova instalação... para tomar as atitudes que cada empresa deve definir.

Além de outros bloqueios que uso em minha rede, eu implemento autenticação em diversos níveis. Isto dificulta a ação de softwares como estes.

Eu sou a favor da liberdade de utilização da internet de forma segura etc, mas dentro de uma empresa acho que algumas regras devem ser respeitadas. Imaginem se a empresa fosse de vocês e tivessem que pagar mais caro por um link porque seus funcionários usam a rede de forma inadequada? Vocês iria gostar?
Não sou dono de empresa alguma, mas acho válido este princípio.

[17] Comentário enviado por lefigo em 17/09/2007 - 16:00h

Segue abaixo o erro que retorna ao tentar compilar o Tor em meu Debian Etch:

t3all001:/home/t3lorti/Tor/tor-0.1.2.16# ./configure
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... /bin/mkdir -p
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking build system type... i686-pc-linux-gnulibc1
checking host system type... i686-pc-linux-gnulibc1
checking for gcc... gcc
checking for C compiler default output file name...
configure: error: C compiler cannot create executables
See `config.log' for more details.


Alguém passou por isso ou sabe o que significa? Tenho o GCC 4.1 como compilador... No arquivo config.log não aparece nada de pendências... Toda a checagem pelo "./configure" foi feita ok aparentemente.

[18] Comentário enviado por Cod3Killer em 18/09/2007 - 10:23h

bye bye TOR, leiam ai ... =/

"...ToR distribui suas informações através de servidores chamados onion routers, que cria uma rede não-lógica e não-seqüencial, em várias camadas como uma cebola ( onion), a fim de proteger a privacidade de seus usuários. Mas, de acordo com o site heise Security , o consultor sueco conseguiu decodificar o sistema de proteção do site, colocando um phishing na saída dessa série de "nódulos"..."

Dá-lhe camada de saída !!! O.o

Na integra:
Fonte: http://www.geek.com.br/modules/noticias/ver.php?id=11630&sec=5

[19] Comentário enviado por vagnerd em 18/09/2007 - 15:36h

Completando a notícia enviado pelo nosso amigo Cod3Killer.

http://www.geek.com.br/modules/noticias/ver.php?id=11657&sec=5

[20] Comentário enviado por y2h4ck em 19/09/2007 - 10:38h

"Camada de saída" LOL !!!

[21] Comentário enviado por th13f em 20/09/2007 - 11:49h

meu deus, parem de usar expressões do tipo: "Estar lendo", "Estar baixando", "Estar configurando" isso é totalmente errado e inadmissível em um artigo técnico.

[22] Comentário enviado por removido em 24/10/2007 - 16:02h

Sem problemas, vamos estar deixando de estar usando tais expressões. =)

[23] Comentário enviado por leandroseverino em 24/04/2008 - 16:31h

Uma dúvida, tenho uma maquina com Windows XP que esta numa rede que tem um proxy mapeado para a porta 8080. Instalei o TOR for Windows e tentei acessar o PidGim de acordo com as configurações propostas no artigo, mas não estou conseguindo logar, pois ao tentar eu recebo uma mensagem de erro que não é possível me conectar ao proxy via Socks 5. Alguém teria uma idéia de como resolver isto ?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts