Sessão 8_ Ferramenta para Análise e Incidentes

Prévia do material em texto

19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 1/12
Sessão 8: Ferramenta para Análise e Incidentes
Atividade 1 – Virustotal
Faça o download do malware eicar.com disponível no AVA link "Material para Atividades Práticas\sessao8" e submeta-o
para o VirusTotal (https://www.virustotal.com/). Responsa as questões a seguir:
1. A data da primeira submissão do arquivo no serviço VirusTotal:
2. Que antivírus não detectaram o arquivo eicar.com como arquivo malicioso.
Análise comportamental
Além da busca por assinaturas de um arquivo malicioso, é possível analisar um binário usando outras abordagens como,
por exemplo, a análise comportamental. A análise comportamental consiste em traçar as ações desempenhadas por um
arquivo binário no Sistema Operacional no qual é executado. Essa análise do funcionamento de arquivos binários pode ser
realizada de duas diferentes maneiras: de forma estática ou dinâmica. A análise estática consiste em avaliar o
funcionamento de um programa sem sua execução, baseando-se apenas no seu código executável. As técnicas mais
tradicionais consistem em extrair instruções do código assembler do programa e inferir conclusões com base na sequência
das instruções. No entanto, a principal deficiência desse método é a possibilidade do código de máquina analisado não
refletir o mesmo comportamento que o malware apresenta quando executado. O comando strings, por exemplo, pode ser
utilizado para obter mais informações de um arquivo sem executar o mesmo:
$ sudo apt-get update 
$ sudo apt-get install binutils 
$ strings -n 4 NotaFiscal.exe 
<...> 
“network.proxy.autoconfig_url” 
“network.proxy.no_proxies_on” 
“network.proxy.ftp_port” 
“network.proxy.ftp” 
<...>
Como ilustrado, o resultado dos comandos strings exibe todas os textos com mais de 4 caracteres (-n 4) contidos no arquivo
executável. O fragmento citado anteriormente descreve funções instanciadas pelo malware. Nesse caso, são exibidas
funções que alteram a configuração de rede, mas especificamente a configuração do proxy. A análise estática é pouco
eficiente para programas que utilizam técnicas de ofuscação ou polimorfismo, como é o caso do malware Conficker. Nesses
casos, a análise do arquivo pode dispender maior tempo de análise e mão de obra especializada. Sendo assim, a análise
estática apresenta limitações para malwares mais complexos, o que motivou o surgimento de técnicas complementares,
como é o caso da análise dinâmica. A análise dinâmica, por outro lado, consiste em observar as características funcionais
do malware através da sua execução em um ambiente controlado. As principais metodologias de análise dinâmica
baseiam-se em:
Comparação do status do Sistema Operacional antes e imediatamente após a execução do arquivo;
Monitoração das ações em tempo de execução.
https://www.virustotal.com/
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 2/12
Na primeira abordagem, busca-se fazer uma comparação do Sistema Operacional completo identificando alterações
causadas pelo arquivo binário executado. Como resultado, essa técnica traça uma visão geral das funcionalidades do
binário, como arquivos criados, dados removidos, entre outros. Essa solução, entretanto, não determina mudanças
dinâmicas intermediárias ao estado inicial e final da comparação do sistema. Mudanças como a criação de arquivos
durante a execução e a deleção de arquivos antes do final do processo são transparentes a essa análise. Por outro lado, na
segunda abordagem cuja monitoração das ações do malware é dada durante a execução, tais ações são traçadas. Mesmo
sendo mais complexa de implementar, a análise de binários durante sua execução vem popularizando-se devido ao bom
resultado da técnica perante códigos polimórficos e ofuscados.
A principal limitação da análise dinâmica de malware é a possibilidade de executar apenas uma amostra de binário de
cada vez. Afinal, a execução de outros binários no mesmo ambiente controlado dificulta a distinção das ações de cada
malware.
Com a utilização de tecnologias de virtualização de sistemas, a análise dinâmica de malwares ganhou outra dimensão. De
fato, a facilidade de reconstruir um ambiente virtualizado permitiu o surgimento de ferramentas mais detalhistas e
escaláveis para a análise dinâmica, como é o caso dos sandboxes.
Sandbox
Sandboxes são sistemas automatizados para análise de malware onde se busca executar as ações de um malware em um
sistema isolado, geralmente através do uso de uma máquina virtual. Dessa forma, é possível identificar ações executadas
por um arquivo suspeito sem comprometer um sistema em produção.
Tipicamente, os sandboxes são utilizados para processar um grande número de malwares e obter características de um
arquivo suspeito. Essa análise inicial permite identificar certas ações suspeitas desempenhadas pelo arquivo analisado e
classificá-lo como malicioso. Os sandboxes são muito utilizados para efetuar uma análise instantânea das ações do
malware evitando, muitas vezes, que técnicas mais sofisticadas, tal como engenharia reversa, seja demandada.
Em ambientes com equipes com tamanho reduzido, é importante que um sandbox seja fácil de ser utilizado e forneça um
resumo de alto nível das atividades maliciosas conduzidas durante a análise. Isso faz com que o malware seja mais
acessível e permite que qualquer pessoa possa conduzir os primeiros estágios da investigação. No caso de obter dados
interessantes, o caso pode ser repassado para análise do time ou para parceiros externos.
Evidentemente que a implementação de soluções baseadas em sandbox requer cuidados especiais de segurança, tais como
restrição de acesso à rede. Existem algumas soluções no mercado que permitem o próprio CSIRT implementar um sandbox
local e automatizar boa parte das tarefas de análise. Por outro lado, existem diversas ferramentas automatizadas para
análise de malware disponível na web, cada qual com suas características e funcionalidades. Na sequência, são
apresentadas algumas ferramentas disponibilizadas para análise de malware de forma gratuita:
Anlyz https://sandbox.anlyz.io
Any.run https://app.any.run
Comodo Valkyrie (https://valkyrie.comodo.com)
Hybrid Analysis (Falcon Sandbox) (http://www.hybrid-analysis.com/)
Intezer Analyze https://www.intezer.com
SecondWrite Malware Deepview https://www.secondwrite.com
Como característica, os sandboxes tradicionalmente simulam o Sistema Operacional Windows, afinal, a grande maioria de
malwares existentes é escrita para esse sistema.
https://sandbox.anlyz.io/
https://app.any.run/
https://valkyrie.comodo.com/
http://www.hybrid-analysis.com/
https://www.intezer.com/
https://www.secondwrite.com/
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 3/12
Funções comuns observadas pelo sandbox descrevem funcionalidades como:
Arquivos criados ou modificados;
Acessos ou modificações a chave do registro do sistema;
Bibliotecas dinâmicas carregadas;
Áreas da memória virtual utilizada;
Processos criados;
Conexões de rede instanciadas;
Dados transmitidos pela rede.
Os relatórios disponibilizados pelos sandboxes podem variar bastante devido a particularidades de implementação.
Características como o Sistema Operacional no qual o arquivo suspeito é executado; arquitetura implementada; e o
conjunto de chamadas de sistema monitorado pelo sandbox reflete diretamente no relatório disponibilizado pela
ferramenta.
O sandbox Any.Run, por exemplo, é uma ferramenta para análise de malwares disponível gratuitamente na web que
permite análise de arquivos executáveis para a plataforma Windows. Para isso ele utiliza virtualização que permite
emular Sistemas Operacionais e monitorar chamadas de sistemas instanciadas pelos arquivos analisados. Como resultado,
é disponibilizado um relatório detalhado das funcionalidades doarquivo suspeito analisado.
Figura 1. Fragmento de um relatório das ações disponibilizado pelo sandbox Any.run.
A figura ilustra um fragmento de um relatório de análise disponibilizado pelo Any.run. Como pode ser visto, na parte
superior (Malicious Activity) são descritas as principais ações desempenhadas pelo arquivo analisado. Essas informações
são compostas com base nas chamadas de sistema solicitadas pelo arquivo durante sua execução no ambiente controlado.
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 4/12
Os relatórios fornecidos por algumas ferramentas são bastante descritivos e permitem uma visão razoável quanto às ações
de um arquivo executável. As diferentes técnicas de análise de arquivos binários recém-descritas possuem o mesmo
objetivo: lidar com a árdua tarefa de identificar as funcionalidades de um arquivo executável. A utilização das distintas
metodologias, em particular, pode ser combinada e permitir que o CSIRT obtenha mais informações relativas ao incidente
a ser investigado.
Atividade 2 – Análise dinâmica de arquivos maliciosos
Utilizando o site https://app.any.run clique no link Public tasks no menu esquerdo. Selecione uma submissão com status
Malicious activity e responda as seguintes perguntas:
1. Qual o nome do malware identificado?
2. Quais são as principais funcionalidades deste malware?
3. O sandbox mapeou alguma atividade de rede desempenhada pelo malware?
4. Quais softwares são afetados pelo malware?
Considerações sobre o uso de ferramentas online
Sandboxes e antivírus online podem fornecer uma primeira impressão de maneira fácil de arquivos desconhecidos. Na
maioria dos casos, a utilização desses serviços requerer poucas habilidades do usuário. Afinal, tais serviços têm foco na
usabilidade dos usuários e são especificados justamente para ocultar a complexidade dos sistemas de análise, muito
embora existam sistemas mais complexos com alto nível de parametrização e customização.
Sabe-se que esses serviços são muito utilizados para uma análise rápida de arquivos; no entanto, devem-se compreender
os riscos associados a esses serviços. Mesmo que um arquivo não seja detectado como malicioso pelos sistemas de
varredura (antivírus ou sandboxes), isso não necessariamente significa que se trata de um arquivo não malicioso. O
contrário também é verdadeiro: caso o arquivo seja avaliado como malicioso por alguns softwares, isso não significa que
se trata de um arquivo malicioso.

Falso positivo e falso negativo são sempre um risco para sistemas de detecção. Por exemplo, alguns
antivírus classificam plug-ins lícitos de segurança bancária como malicioso. Por outro lado, certos
arquivos maliciosos não caracterizados como legítimos por ainda não possuírem assinatura nos
sistemas de segurança.
É essencial lembrar que boa parte dos serviços gratuitos online compartilham as informações com terceiros. Logo,
instituições com informações críticas – segurança nacional, por exemplo – devem reconsiderar o uso desses serviços.
Afinal, alguns malwares são desenvolvidos para alvos específicos e podem conter informações sensíveis de uma instituição
https://app.any.run/
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 5/12
embutidos em si, tal como senhas, IPs e URLs.
Essas ferramentas de análise, além de compartilhar informações com terceiros (empresas de segurança e fabricantes de
antivírus), disponibilizam de forma pública os resultados. Todos os usuários podem consultar as informações dos
malwares analisados pelo sistema, inclusive o próprio autor do malware. Nada impede que um atacante possa utilizar os
sistemas de análise de arquivos online como uma fonte de informação.
Um atacante mais experiente pode desenvolver um malware específico – com único hash criptográfico (md5) – destinado a
uma instituição. Após um período, o próprio atacante pode consultar em ferramentas online pelo hash criptográfico e, com
isso, saber se o malware foi identificado. Dessa forma, o atacante pode aperfeiçoar suas técnicas de evasão e aprimorar
suas táticas para conseguir o seu objetivo.
Analisadores de websites
De forma análoga aos serviços que analisam arquivos binários, é possível encontrar ferramentas especializadas na análise
de conteúdo web. Alguns serviços buscam auxiliar na identificação de websites com conteúdos maliciosos,
compreendendo:
Drive-by-download;
Arquivos flash maliciosos;
Javascript maliciosos;
Applets;
iframes ocultos;
Cross Site Scripting (XSS);
Redirecionamentos maliciosos;
Backdoors (e.g., C99, R57 e Webshells).
Tipicamente, os serviços de análise recebem como entrada uma URL para ser processada pelo sistema. A partir desse
momento, a ferramenta acessa a URL especificada utilizando um ambiente controlado (sandbox), que podem ser
configurados de diferentes formas para avaliar um website suspeito. A configuração dos sistemas pode ser útil para
identificar conteúdos maliciosos destinados a um determinado alvo, como por exemplo: um navegador particular (User-
Agent), plug-ins com versões específicas (Java) ou ainda determinados Sistemas Operacionais.
Uma das ferramentas mais populares para análise de conteúdo é o sitecheck. O sitecheck é um serviço online que busca
analisar as ações desencadeadas por uma página web quando acessada. Para isso, são utilizadas diferentes técnicas e
abordagens a fim de mapear possíveis ações maliciosas no Sistema Operacional que acessa um site possivelmente
comprometido.
Para cada URL submetida, o sitecheck, instancia um browser em um sistema virtualizado e mapeia todas as modificações
ocorridas no Sistema Operacional virtual. Através de uma heurística, o sistema determina se o site é malicioso ou não.
Dessa forma, diferentes tipos de ataques podem ser determinados sem o comprometimento de um sistema de produção.
Como comentado, certos ataques são direcionados a um conjunto específico de clientes que acessam o website. Essa
ferramenta pode ser acessada através do link: http://sitecheck.sucuri.net/
http://sitecheck.sucuri.net/
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 6/12
Figura 2. Análise da página da ESR/RNP usando o Sitecheck.sucuri.
Assim como outros serviços baseados em sandboxes, as soluções não fornecem detecção 100% do conteúdo malicioso.
Algumas técnicas podem ser utilizadas para identificar um sistema virtualizado (sandbox), fazendo com que a análise de
arquivos apresente resultados imprecisos. Além do mais, certas configurações do sandbox podem ser incompatibilidades
com o esperado pelos atacantes deixando o conteúdo malicioso dormente.
Outros serviços online
Além dos serviços de análise de malware e de website, existe um conjunto de serviços online e gratuitos que podem ser
utilizados para obter mais informações sobre um incidente investigado. Nesse contexto, podem ser utilizados os mais
diversos serviços, tal como listas de bloqueio e repositórios de websites desfigurados.
Listas de bloqueio
São listas que descrevem recursos de rede – IPs, blocos de endereçamento, URLs e domínios – relacionados com atividade
maliciosa. Boa parte dessas informações é provida por instituições que constantemente fazem análise de malwares, spams
e phishings. Dessa forma, é possível ter uma lista com informações atualizadas dos principais recursos comprometidos
identificados pelas diversas instituições.
Essas listas de bloqueio – usualmente referenciadas black list – são segmentadas em diferentes categorias:
Máquinas originadoras de spams;
Máquinas infectadas por um determinado malware;
Websites com conteúdo malicioso;
Website utilizados em fraudes.
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 7/12
As listas de bloqueio, em sua maioria, são independentes.Logo, é perfeitamente factível encontrar um recurso de rede
replicado nas mais diversas categorias. Por exemplo, um IP que foi detectado como originador de spam provavelmente
estará presente em uma lista de “máquinas originadoras de spams”. Da mesma forma, se o mesmo IP estiver
comprometido e está atuando como um controlador de botnet, o mesmo pode ser mapeado também para uma lista de
“máquinas infectadas”.
Logo, utilizar essas fontes de informações de listas de bloqueio podem revelar valiosas informações sobre um IP ou
domínio em questão. Nem sempre essas informações das diferentes listas podem ser compostas de forma unificada.
Quando se deseja consultar informações relativas a certos recursos comprometidos, é necessário buscar nas mais diversas
listas, o que pode ser trabalhoso. Felizmente, existem alguns serviços online onde é possível buscar por informações de
bloqueio em múltiplas listas ao mesmo tempo, como por exemplo: Um desses serviços é o projeto “Anti-Abuse”.
Anti-Abuse: http://www.anti-abuse.org/
SPAM database loookup: http://www.dnsbl.info/
O Anti-Abuse disponibiliza um website onde é possível automaticamente buscar uma informação em múltiplas listas de
bloqueio. Atualmente o website indexa mais de 50 listas de bloqueio. A busca em múltiplas listas revela rapidamente se um
IP ou domínio foi identificado como originador de ações maliciosas. É importante notar que, mesmo que o IP ou domínio
não esteja listado em uma lista de bloqueio, não significa que está seguro. Do contrário, quando um IP é listado em
múltiplas listas de bloqueio, podemos supor que existem fortes indícios de um comprometimento. Algumas listas de
bloqueio populares são:
The Spamhaus Block List: http://www.spamhaus.org/sbl/index.lasso
SpamCop: http://www.spamcop.net/
Google Safe Browsing: https://developers.google.com/safe-browsing/
Phish Tank: http://www.phishtank.com/
É importante ressaltar que as listas de bloqueio podem ser mantidas por empresas comerciais ou por grupos de
voluntários. Cada uma tem suas particularidades, tais como: critérios para ser listado; e maneiras de remover um endereço
listado. Além de descreve os IPs e nomes possivelmente comprometidos, alguns administradores utilizam block lists em
dispositivos de redes (firewall, roteadores, servidores de e-mail) para sumariamente bloquear acesso aos sistemas. Logo,
IPs listados em block lists podem ter problemas para acessar determinados IPs. A política de uso de listas é diferente para
cada administrador de rede. Alguns utilizam poucas listas e outros, muitas listas.
Por fim, deve-se evitar serem listados por uma lista de bloqueio para que os acessos de sua organização não sejam
limitados por outras instituições. E, quando for o caso, consulte os procedimentos de remoção da própria lista em que um
dos seus recursos foi listado.
Atividade 3 – Pesquisando por sites relacionados com fraudes
1. Acesse o site do Phishing Tank http://www.phishtank.com/target_search.php e busque por phishings relacionados a
bancos brasileiros. Qual foi o último phishing relativo ao Banco do Brasil?
2. Acesse o website do Phishing Tank http://www.phishtank.com/asn_search.php e localize todos os phishings ativos
relacionados ao AS da RNP (AS 1916). Existe algum phishing válido e online? Qual é o alvo do phishing?
http://www.anti-abuse.org/
http://www.dnsbl.info/
http://www.spamhaus.org/sbl/index.lasso
http://www.spamcop.net/
https://developers.google.com/safe-browsing/
http://www.phishtank.com/
http://www.phishtank.com/target_search.php
http://www.phishtank.com/asn_search.php
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 8/12
Atividade 4 – Identi�car servidores que já foram comprometidos utilizando a base de dados do
zone-h
Zone-h é uma base de dados de websites desfigurados. O portal Zone-h permite que qualquer usuário, incluindo o próprio
atacante, reporte URLs de páginas comprometidas. Assim que uma URL entra no sistema, o site correspondente à URL é
clonado pelos servidores do Zone-h e verificado manualmente pela equipe do Zone-h. Dessa forma, toda URL submetida é
verificada em busca de falsos positivos.
O Zone-h disponibiliza uma base de dados com:
website a serem verificados (on-hold) e,
websites com desfiguração confirmada (arquive).
Segundo o próprio portal, o objetivo é observar tendências e mapear características dos ataques, tal como aplicações e
vulnerabilidades exploradas nos ataques.
Entre os principais utilizadores do portal estão grupos de cibercriminosos ou ativistas que utilizam o Zone-h como um
ranking. Dessa maneira, para cada desfiguração realizada, o próprio atacante encarrega-se de reportar ao portal Zone-h.
Como resultado, o Zone-h apresenta um ranking dos principais reportadores (grupos de hackers) e o respectivo número de
desfigurações.
Figura 3. Base de dados com websites que foram ou estão desfigurados.
Apenar de ser um portal bastante controverso e, até mesmo banido em alguns países, o Zone-h pode ser utilizado como
mais uma fonte de informações sobre possíveis comprometimentos. Por exemplo, é possível consultar por um website
comprometido mesmo que não esteja mais online. A figura ilustra detalhes dos últimos websites comprometidos
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 9/12
apresentando o usuário que notificou (notifier), URL do website, Sistema Operacional do servidor que hospeda a página
alterada (OS) e uma cópia do website alterado (mirror).
Acesse a base de dados do zone-h em busca de sites comprometidos:
Acesse: http://www.zone-h.org/archive
Verifique a existência de websites desfigurados relacionados com o Brasil, ou seja, domínios terminados com “.br”.
Identifique o último site desfigurado (.br) inserido na base do zone-h.
Análise de artefatos
Mesmo não sendo o escopo deste capítulo, é interessante ter uma visão das ferramentas que podem ser úteis em casos que
exigem uma análise mais aprofundada de artefatos. A tabela a seguir sumariza algumas ferramentas que podem ser
utilizadas para analisar os mais diversos arquivos suspeitos e assim pode ser utilizada como ponto de partida para iniciar a
investigação de incidentes mais complexos. Lembre-se de que a Escola Superior de Redes (ESR) possui um curso próprio de
análise de malware.
Tabela 1. Exemplo de Ferramentas para Análise de Malware
Funcionalidade Ferramentas de análise
Decodificar JavaScript Firefox Firebug, Rhino debugger, JS-Beautify,
SpiderMonkey, V8, Windows Script Decoder e
Jsunpack
Analisar arquivos Flash SWFTtools, flasm, flare e RABCDAsm
Analisar executáveis suspeitos Upx, packerid, xorsearch, xortool, ClamAV, ssdeep,
md5deep, pescanner, pev, pyew e bytehist
Analisar documentos maliciosos Pdftk, Origami Framework, PDF X-RAY, Peedpdf,
Jsunpack e OfficeMalScanner
Analisadores de memória Volatility, bulk_extractor, AESKeyFinder,
RSAKEyFinder
Leitura recomendada:
Malware Analyst’s Cookbook: Michael Ligh, Steven Adair;
Provos, Niels, and Thorsten Holz. Virtual honeypots: from botnet tracking to intrusion detection. Pearson Education,
2007;
Free Automated Malware Analysis Services http://zeltser.com/reverse-malware/automated-malware-analysis.html
Atividade 5 – Diferentes formas de ocultar o IP de origem
Quais são os principais recursos e ferramentas para ocultar o IP de origem evitando que o endereçamento do seu CSIRT
seja mapeado por um atacante?
http://www.zone-h.org/archive
http://zeltser.com/reverse-malware/automated-malware-analysis.html
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 10/12
Atividade 6 – Privacidade
Cite os riscos à privacidade ao usar um sistema de DNS público (OpenDNS ou Google DNS) para resolver nomes dos acessos
de um CSIRT, mesmo que esses acessos se dêem por meio de um servidor proxy.
Atividade 7 – Uso de proxies
Cite as principais vantagensde utilização de proxy no processo de resposta a incidentes.
Acesse algum serviço de web proxy/VPN pública (exemplo: https://incloak.com/) e discuta as suas principais características,
tal como: encriptação de URL, encriptação de página:
Atividade 8 – Deep Web
Essa atividade busca apresentar formas de acessar a Deep Web, mas especificamente acessar serviços hospedados na rede
Tor. Siga os passos a seguir e responda as questões subsequentes.
Instalação do Browser Tor Bundle
1. Acessar o website do projeto e faça o download do navegador Tor:
https://www.torproject.org/projects/torbrowser.html
2. Faça a instalação do navegador conforme comandos abaixo (lembre-se de atualizar a nome do binário para aquele que
você fez o download no passo anterior)
# xz –d tor-browser-linux32-X_en-US.tar.xz 
# tar -xvf tor-browser-linux32-X_en-US.tar 
# cd tor-browser_en-US/ 
# ./start-tor-browser
 Não é necessário ser super-usuário para instalar o browser.
3. Após a execução do browser, acesse a página de teste para certificar-se de que o sistema Tor está em funcionamento:
https://check.torproject.org
https://incloak.com/
https://www.torproject.org/projects/torbrowser.html
https://check.torproject.org/
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 11/12
Figura 4. Navegador Tor
4. Através do browser Tor, acesse o site a seguir e identifique o seu endereço IP de saída: http://www.meuip.com.br/
5. Através de mecanismos de busca, identifique websites hospedados em domínios “.onion”. O que os domínios “.onion”
representam? Esses websites são acessíveis via internet convencional?
6. Existem serviços de conversação (chat/IRC) sendo executados sobre a rede Tor?
http://www.meuip.com.br/
19/11/2020 Sessão 8: Ferramenta para Análise e Incidentes
file:///Z:/home/marcelo/projetos/esr-seg4/html/_cadernos/seg4_caderno_s8.html 12/12

ENTREGA DA TAREFA
Para que seja considerada entregue você deve anexar a esta atividade no AVA um arquivo texto
contendo a respostas de todas as perguntas realizadas ao longo desta tarefa.
Última atualização 2020-11-19 12:47:40 -0300