Este documento presenta una introducción a la arquitectura de la red TOR, incluyendo autoridades de directorio, descriptores, repetidores y servicios ocultos. Luego describe procedimientos de pentesting contra servicios ocultos vulnerables utilizando herramientas de pentesting standard a través de un proxy SOCKS de TOR. Finalmente, introduce TortazoWeb como una plataforma colaborativa para auditar la red TOR y compartir información sobre direcciones onion y repetidores de manera pública, privada o compartida.
2. ¿Quién Soy?
Daniel Echeverri M.
Nickname: Adastra (@jdaanial)
Blog personal: thehackerway.com
Autor de los libros: “Python para Pentesters”
y “Hacking con Python” de 0xWORD.
Creador de THW Academy.
3. Agenda
●
Arquitectura de TOR.
– Autoridades de directorio, descriptores
y repetidores
– Servicios ocultos
– Configuración.
●
Pentesting contra repetidores y
servicios ocultos en la red de TOR.
●
TortazoWeb: Plataforma colaborativa
de auditoría de la red de TOR.
4. Lo bueno de la deep web de TOR
●
Anonimato y
privacidad.
●
Librerías,
tutoriales, acceso
a información en
diversas areas del
conocimiento.
●
Resistencia a la
censura.
5. Lo malo de la deep web de TOR
●
Servicios
itinerantes y a
veces mal
configurados.
●
Actividades
ilegales.
●
Uso irresponsable
por parte de los
usuarios.
●
Requiere mucho
tiempo.
6. Agenda
●
Arquitectura de TOR.
– Autoridades de directorio,
descriptores y repetidores
– Servicios ocultos
– Configuración.
●
Pentesting contra repetidores y
servicios ocultos en la red de TOR.
●
TortazoWeb: Plataforma colaborativa
de auditoría de la red de TOR.
7. Autoridades de directorio
●
Servidores de
confianza que
gestionan el
funcionamiento de
la red.
●
Emiten el último
conseso derivado
del proceso de
votación.
10. Agenda
●
Arquitectura de TOR.
– Autoridades de directorio, descriptores
y repetidores
– Servicios ocultos
– Configuración.
●
Pentesting contra repetidores y
servicios ocultos en la red de
TOR.
●
TortazoWeb: Plataforma colaborativa
11. Pentesting contra servicios ocultos
de TOR
●
Procedimientos de pentesting
habituales.
●
Uso de herramientas de pentesting
habituales.
– Metasploit framework, OpenVAS, W3AF,
Nessus, Nexpose, etc, etc, etc, etc.
●
Sólo es necesario utilizar el proxy
socks de una instancia de TOR.
13. Agenda
●
Arquitectura de TOR.
– Autoridades de directorio, descriptores
y repetidores
– Servicios ocultos
– Configuración.
●
Pentesting contra repetidores y
servicios ocultos en la red de TOR.
●
TortazoWeb: Plataforma
colaborativa de auditoría de la red
14. TortazoWeb.
●
Interfaz web para
Tortazo.
●
Permite establecer
niveles de acceso a
los items: (público,
privado, compartido).
●
Procesos para
recolección de
información sobre
direcciones onion y
repetidores.