SlideShare una empresa de Scribd logo
1 de 15
Pentesting sobre
instancias de TOR con
Tortazo y TortazoWeb.
¿Quién Soy?
Daniel Echeverri M.
Nickname: Adastra (@jdaanial)
Blog personal: thehackerway.com
Autor de los libros: “Python para Pentesters”
y “Hacking con Python” de 0xWORD.
Creador de THW Academy.
Agenda
●
Arquitectura de TOR.
– Autoridades de directorio, descriptores
y repetidores
– Servicios ocultos
– Configuración.
●
Pentesting contra repetidores y
servicios ocultos en la red de TOR.
●
TortazoWeb: Plataforma colaborativa
de auditoría de la red de TOR.
Lo bueno de la deep web de TOR
●
Anonimato y
privacidad.
●
Librerías,
tutoriales, acceso
a información en
diversas areas del
conocimiento.
●
Resistencia a la
censura.
Lo malo de la deep web de TOR
●
Servicios
itinerantes y a
veces mal
configurados.
●
Actividades
ilegales.
●
Uso irresponsable
por parte de los
usuarios.
●
Requiere mucho
tiempo.
Agenda
●
Arquitectura de TOR.
– Autoridades de directorio,
descriptores y repetidores
– Servicios ocultos
– Configuración.
●
Pentesting contra repetidores y
servicios ocultos en la red de TOR.
●
TortazoWeb: Plataforma colaborativa
de auditoría de la red de TOR.
Autoridades de directorio
●
Servidores de
confianza que
gestionan el
funcionamiento de
la red.
●
Emiten el último
conseso derivado
del proceso de
votación.
Repetidores y Circuitos
Servicios ocultos
Agenda
●
Arquitectura de TOR.
– Autoridades de directorio, descriptores
y repetidores
– Servicios ocultos
– Configuración.
●
Pentesting contra repetidores y
servicios ocultos en la red de
TOR.
●
TortazoWeb: Plataforma colaborativa
Pentesting contra servicios ocultos
de TOR
●
Procedimientos de pentesting
habituales.
●
Uso de herramientas de pentesting
habituales.
– Metasploit framework, OpenVAS, W3AF,
Nessus, Nexpose, etc, etc, etc, etc.
●
Sólo es necesario utilizar el proxy
socks de una instancia de TOR.
H.S. vulnerables o mal configurados.
Agenda
●
Arquitectura de TOR.
– Autoridades de directorio, descriptores
y repetidores
– Servicios ocultos
– Configuración.
●
Pentesting contra repetidores y
servicios ocultos en la red de TOR.
●
TortazoWeb: Plataforma
colaborativa de auditoría de la red
TortazoWeb.
●
Interfaz web para
Tortazo.
●
Permite establecer
niveles de acceso a
los items: (público,
privado, compartido).
●
Procesos para
recolección de
información sobre
direcciones onion y
repetidores.
Esto es todo amigos!

Más contenido relacionado

Similar a HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.

Similar a HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb. (20)

Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
 
Explorando la deep web(1)
Explorando la deep web(1)Explorando la deep web(1)
Explorando la deep web(1)
 
S3 hack-deep web
S3 hack-deep webS3 hack-deep web
S3 hack-deep web
 
Inside Tor
Inside TorInside Tor
Inside Tor
 
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
 
Proyecto TOR
Proyecto TORProyecto TOR
Proyecto TOR
 
Deep Web Luis Castellanos
Deep Web   Luis CastellanosDeep Web   Luis Castellanos
Deep Web Luis Castellanos
 
Tor1
Tor1Tor1
Tor1
 
IntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TORIntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TOR
 
Internet y Navegador Web
Internet y Navegador  Web Internet y Navegador  Web
Internet y Navegador Web
 
Screencast aprende python - parte 1
Screencast   aprende python - parte 1Screencast   aprende python - parte 1
Screencast aprende python - parte 1
 
tarea 2
tarea 2tarea 2
tarea 2
 
Deepwebproyectodiapositivas
DeepwebproyectodiapositivasDeepwebproyectodiapositivas
Deepwebproyectodiapositivas
 
S1-Hack-Tecnicas de Hacking con buscadores.
S1-Hack-Tecnicas de Hacking con buscadores.S1-Hack-Tecnicas de Hacking con buscadores.
S1-Hack-Tecnicas de Hacking con buscadores.
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
tics trabajo
tics trabajotics trabajo
tics trabajo
 
Deep web
Deep webDeep web
Deep web
 
Internet invisible o profunda
Internet invisible o profundaInternet invisible o profunda
Internet invisible o profunda
 
Deep web-camila
Deep web-camilaDeep web-camila
Deep web-camila
 
Navegación anonima tor
Navegación anonima torNavegación anonima tor
Navegación anonima tor
 

Más de Dani Adastra

IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonDani Adastra
 
Malt 2020: Ciberseguridad en la empresa
Malt 2020: Ciberseguridad en la empresaMalt 2020: Ciberseguridad en la empresa
Malt 2020: Ciberseguridad en la empresaDani Adastra
 
HoneyCon 2020: Hacking con ZAP
HoneyCon 2020: Hacking con ZAPHoneyCon 2020: Hacking con ZAP
HoneyCon 2020: Hacking con ZAPDani Adastra
 
HackMadrid 2020: Introducción práctica al RedTeam
HackMadrid 2020: Introducción práctica al RedTeamHackMadrid 2020: Introducción práctica al RedTeam
HackMadrid 2020: Introducción práctica al RedTeamDani Adastra
 
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red TeamXIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red TeamDani Adastra
 
8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeamDani Adastra
 
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"Dani Adastra
 
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..Dani Adastra
 
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...Dani Adastra
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonDani Adastra
 
UAH 2018: Hacking en la deep web de TOR (for fun and profit)
UAH 2018: Hacking en la deep web de TOR (for fun and profit)UAH 2018: Hacking en la deep web de TOR (for fun and profit)
UAH 2018: Hacking en la deep web de TOR (for fun and profit)Dani Adastra
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonDani Adastra
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Dani Adastra
 

Más de Dani Adastra (14)

IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
 
Malt 2020: Ciberseguridad en la empresa
Malt 2020: Ciberseguridad en la empresaMalt 2020: Ciberseguridad en la empresa
Malt 2020: Ciberseguridad en la empresa
 
HoneyCon 2020: Hacking con ZAP
HoneyCon 2020: Hacking con ZAPHoneyCon 2020: Hacking con ZAP
HoneyCon 2020: Hacking con ZAP
 
HackMadrid 2020: Introducción práctica al RedTeam
HackMadrid 2020: Introducción práctica al RedTeamHackMadrid 2020: Introducción práctica al RedTeam
HackMadrid 2020: Introducción práctica al RedTeam
 
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red TeamXIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
 
8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam
 
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
 
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
 
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con Python
 
UAH 2018: Hacking en la deep web de TOR (for fun and profit)
UAH 2018: Hacking en la deep web de TOR (for fun and profit)UAH 2018: Hacking en la deep web de TOR (for fun and profit)
UAH 2018: Hacking en la deep web de TOR (for fun and profit)
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con Python
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
 

Último

Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Festibity
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 

Último (14)

Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 

HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.

  • 1. Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.
  • 2. ¿Quién Soy? Daniel Echeverri M. Nickname: Adastra (@jdaanial) Blog personal: thehackerway.com Autor de los libros: “Python para Pentesters” y “Hacking con Python” de 0xWORD. Creador de THW Academy.
  • 3. Agenda ● Arquitectura de TOR. – Autoridades de directorio, descriptores y repetidores – Servicios ocultos – Configuración. ● Pentesting contra repetidores y servicios ocultos en la red de TOR. ● TortazoWeb: Plataforma colaborativa de auditoría de la red de TOR.
  • 4. Lo bueno de la deep web de TOR ● Anonimato y privacidad. ● Librerías, tutoriales, acceso a información en diversas areas del conocimiento. ● Resistencia a la censura.
  • 5. Lo malo de la deep web de TOR ● Servicios itinerantes y a veces mal configurados. ● Actividades ilegales. ● Uso irresponsable por parte de los usuarios. ● Requiere mucho tiempo.
  • 6. Agenda ● Arquitectura de TOR. – Autoridades de directorio, descriptores y repetidores – Servicios ocultos – Configuración. ● Pentesting contra repetidores y servicios ocultos en la red de TOR. ● TortazoWeb: Plataforma colaborativa de auditoría de la red de TOR.
  • 7. Autoridades de directorio ● Servidores de confianza que gestionan el funcionamiento de la red. ● Emiten el último conseso derivado del proceso de votación.
  • 10. Agenda ● Arquitectura de TOR. – Autoridades de directorio, descriptores y repetidores – Servicios ocultos – Configuración. ● Pentesting contra repetidores y servicios ocultos en la red de TOR. ● TortazoWeb: Plataforma colaborativa
  • 11. Pentesting contra servicios ocultos de TOR ● Procedimientos de pentesting habituales. ● Uso de herramientas de pentesting habituales. – Metasploit framework, OpenVAS, W3AF, Nessus, Nexpose, etc, etc, etc, etc. ● Sólo es necesario utilizar el proxy socks de una instancia de TOR.
  • 12. H.S. vulnerables o mal configurados.
  • 13. Agenda ● Arquitectura de TOR. – Autoridades de directorio, descriptores y repetidores – Servicios ocultos – Configuración. ● Pentesting contra repetidores y servicios ocultos en la red de TOR. ● TortazoWeb: Plataforma colaborativa de auditoría de la red
  • 14. TortazoWeb. ● Interfaz web para Tortazo. ● Permite establecer niveles de acceso a los items: (público, privado, compartido). ● Procesos para recolección de información sobre direcciones onion y repetidores.
  • 15. Esto es todo amigos!