man in the middle - aprenda o que é e como realizar

Ebook Man In The Middle

1 - Aprenda o que e como realizar o ataque


MAN IN THE MIDDLE

Aprenda o que e como realizar o ataque



Abraho Eneias



Introduo

Ano aps ano cresce o nmero de ataques cibernticos na Rede. Toda semana surgem notcias de que algum fez ataque instituio tal e ainda muito maior o nmero desses ataques realizados contra o cidado comum. Grande parte dos ataques ocorre devido ao booomtecnolgico que estamos vivenciando. Mais dispositivos conectados Internet, mais pessoas que no sabem como us-la de forma segura, pelo menos de forma minimalista.

Os investimentos em segurana da informao por parte das empresas comeam a ganhar fora. Porm, as empresas no conseguem acompanhar a evoluo de seus inimigos, os crackers, que sempre esto a quilmetros de distncia a frente.

De acordo com a Pesquisa Global de Segurana da Informao de 2014 realizada com quase 10 mil executivos de cerca de 115 pases, as empresas tm aumentado o investimento em SI, porm, elas no sabem ou tm dificuldade em identificar e priorizar quais os dados devem ser mais protegidos, tornando-as, assim, alvos fceis dos criminosos virtuais.

Existem diversas formas de ataque s informaes que trafegam na Internet e a cada tempo surgem novas maneiras de burlar a segurana da informao. Pretendo aqui apresentar um das mais usuais tcnicas de ataques, o MITM (Man In The Middle). Miriam von Zuben, analista de segurana do Cert.br, o aumento de ciberataques uma tendncia mundial, e isso bem compreensvel, uma vez que a internet das coisas vem ganhado cada vez mais usabilidade.Miriam ainda salienta que esse meio atrai o interesse de quem deseja obter alguma vantagem financeira atravs do uso da rede. Os cibercriminosos no querem saber qual a sua senha na conta do Facebook, querem saber de sua conta bancria. Eles no so crianas que querem aprontar uma comvoc para chate-lo. O buraco muito mais profundo.

Esta obra no pretende incentivar os ciberataques por parte de quem o ler. Seu intuito apenas repassar informao do venha a ser o MITM, como realizado e como podemos nos defender, uma vez que, se esta prtica for realizada contra alguma instituio ou at mesmo contra usurios comuns da grande Rede o atacante pode responder judicialmente se for descoberto e podendo, assim, passar bons anos de sua vida vendo o Sol nascer quadrado. Cabe ao leitor ou leitorapesquisar sobre as consequncias ilegais dos ataques cibernticos.



Cap. 1 O que o MITM

O MITM ou Man In The Middle (Homem No Meio) uma tcnica usada para roubar ou capturar os dados que trafegam numa determinada rede (ou at mesmo da Internet) onde o atacante se interpe entre um dispositivo emissor de dados e seu respectivo receptor podendo ter acesso a esses dados que vo e voltam. Para melhor entendimento analise a figura abaixo:

Fig. 01 Representao do MITM

Depois de ter ganhado o acesso ao roteador o atacante passa a escutar todo o trfego da rede. Isso pode acontecer devido ao roteador estar corrompido, por falhas na instalao e configurao do mesmo e at por firmware e protocolos de segurana desatualizados (alis, isso um dos principais motivos de ataques). O MITM um tipo de ataque relativamente fcil de se realizar.



Cap. 2 - Ferramentas e ambiente usadao no ataque

Para realizar a simulao de um ataque MITM, utilizei-me de: Sistema Operacional: Kali Linux 1.1.0a-amd64.

Sistema Operacional desenvolvido especificamente para realizao de testes em segurana de redes que contm mais de 300 ferrmentas open source gratuitas voltadas para invaso de redes.Voc pode baixar a imagem em https://www.kali.org /.

O Kali Linux pode ser usado tanto como live cd quanto instalado permanentemente no seu computador. Caso queira us-lo por meio de uma mquina virtual ser necessrio ter uma placa de rede externa.

Ambiente de simulao de ataque: minha prpria rede interna. Voc pode fazer esse teste para verificar o quo frgil e vulnervel pode est sua rede e no para sair por a achando que pode roubar e invadir qualquer sistema, pode no dar certo, uma vez que os sistemas possuem detector deintrusos e voc pode se dar muito mal.



Cap. 3 - Realizando o ataque

Para ficar mais didtico apresentarei as telas que representam cada passo que foi dado para aexperincia. Sugiro que o leitor ou leitora pesquise cada comando mais a fundo se quiser se aprofundar, cada comando tem de opes variadas. Cada tela informa os comando usados. Segue abaixo o passo a passo.

Fig. 02 Comando route

O comando route serve para nos apresentar quais as rotas que os pacotes da rede iro tomar. Na Fig. 02, o comando route nos apresenta a rota default que no caso o meu roteador.



Fig. 03 Comando NMap

O comando nmap (Network Map) na Fig. 03 serve para varrer uma determinada faixa de IP'se mostrar os hosts ativos, sua sada ter a tela a seguir, fig. 04. Mas o nmap no se limita a apresentar apenas os hosts ativos, dentre suas funes destacam-se: varreduras de IP's ativos numa rede; varreduras de portas e seus respectivos servioslevantados; verificar sistema operacional do alvo e sua verso.

claro que existem inmeras funes e opes fornecidas pelo nmap. Existem no mercado vrios livros que tratam do assunto, da se percebe o quo poderoso o Nmap.

Vale a pena o leitor ou leitora gastar um pouco do seu tempo para pesquisar sobre a ferramenta.



Fig. 04 sada do comando nmap

Na varredura realizada foram encontrados 5 hosts up, isto , 5 dispositivos que esto conectados na minha redes. Ofusquei os endereos MAC por motivos de segurana.

Podemos ver tambm as portas e servios utilizados pelo gateway: portas 22 (ssh), 53 (DNS), 80 (http) e 443 (http seguro).



Fig. 05 redirecionamento de pacotes

O comando na tela est habilitando o redirecionamento dos pacotes que trafegam em sua rede.

Fig. 06 redirecionamento de porta iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080



Na fig. 06, o firewall est redirecionando todos os pacotes que passam pela porta 80, que aporta default, para a porta 8080.

Fig. 07 Comando sslstrip

O comando sslstrip, far o papel do ouvinte, ou seja, ele que estar verificando os pacotes trafegados na rede, uma vez que o firewall estar redirecionando todo o trafego para a porta 8080.

Fig. 08 comando ettercap



O comando ettercap o responsvel pelo ataque em si. O wlan0 minha interface de rede. Para saber qual a sua abra outro terminal e digite ifconfig. Os // // est dizendo quesero verificados todos os endereos da faixa de IP's. Para verificar apenas um IP em especficos deixe assim: ettercap -T -q -i (sua interface) -M arp:remote /ip-do-gateway/ip-da-vitma/ .

Fig. 09 sslstrip em execuo

Fig. 10 comando urlsnarf



O comando urlsnarf usado para verificar quais os sites que esto acessando na rede. Na figura abaixo vemos os sites acessados em tempo real. Para um melhor aproveitamento dos dados trafegados voc pode usar programas que fazem leituras mais precisas, assim tambem como usar expresses regulares (coisa muito poderosa no Linux), para filtrar as informaes que vocc deseja.

Fig. 11 exibio dos sites que esto sendo acessados

Fig. 12 comando driftnet

O comando driftnet serve para exibir as imagens em tempo real que os sites acessados apresentam. Veja um exemplo na figura abaixo, so apresentadas as imagens de sites que acessei.



Fig. 13 driftnet capturando imagens acessadas

Para quem quer se aprofundar mais, existem outros comando que podemos usar e ampliar nossa forma de ataque, veja abaixo alguns:

msgsnarf -i (interface)Verifica as mensagens trafegadas.

mailsnarf -i (interface)Verifica e-mails trafegados.

dsniff -i (interface)Atua como sniffador.



Cap.5 Como se defender

Existem diversas formas de se prevenir desse tipo de ataque, segue abaixo algumas: usar SSL/TLS em suas conexes; anlise de trfego e de logs; atualizao de firmware do roteador; criptografia.

Concluso

A cada dia novas formas de ataques virtuais surgem. Devemos no apenas sermos usurios de tecnologia, mas preciso conhecer seus funcionamentos para podermos entender suas fraquezas e, assim, evitar sermos vtimas de bandidos virtuais.

Uma breve pesquisada na Internet nos mostrar que nossos dados trafegando na rede so muito vulnerveis. Entender e encontrar solues para esses problemas deve ser uma atividade constante no apenas de empresas mas de todos os usurios da Internet.

Comandos utilizados

routenmap ip-do-gateway/24echo 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080sslstrip -a -l 8080ettercap -T -q -i (interface) -M arp:remote // //urlsnarf -i (interface)driftnet -i (interface)

*interface faz referncia a sua placa de rede.

Abraho Eneias, 05/09/2015Paraba


man in the middle - aprenda o que é e como realizar

Documents