Ataque Man-In-The-Middle (MITM) em Redes Locais: Como detectar, prevenir e rastrear o atacante.

Transcrição

1 Faculdade SENAC DF Pós-Graduação em Segurança da Informação Autores Amaury Coriolano da Silveira Júnior Edilberto Magalhães Silva Luiz Fernando Sirotheau Serique Junior Brasília-DF 2013 Ataque Man-In-The-Middle (MITM) em Redes Locais: Como detectar, prevenir e rastrear o atacante. RESUMO Qualquer usuário na rede está exposto aos mais diversos tipos de ataques cibernéticos, entre eles destacam-se o ataque chamado Man-In-The-Middle, que tem por objetivo interceptar os dados trafegados da rede sem a vítima perceber. Tal característica é que torna esse ataque muito perigoso, pois a vítima não sabe que está sendo atacada e pode transmitir informações importantes sem o mínimo cuidado. Este artigo abordará o ataque Man-In-The-Middle em redes locais e suas técnicas, além de apresentar maneiras de evitá-lo e detectá-lo. A partir da demonstração deste tipo de ataque foi desenvolvido um script, denominado Agente Drynna, capaz de detectar o ataque MITM e rastrear o atacante. Palavras-Chave: Man-In-The-Middle. Rastreamento de ataque. Proteção da informação. Trabalho de Conclusão de Curso apresentado a FACSENAC-DF Faculdade SENAC do DF como requisito para a obtenção do título de Especialista em Segurança da Informação. Ficha Catalográfica SILVEIRA JÚNIOR, Amaury Coriolano da Ataque Man-In-The-Middle em Redes Locais: como detectar, prevenir e rastrear o atacante / Amaury Coriolano da Silveira Júnior. Brasília: Faculdade SENAC-DF, f. : il. Orientador: Edilberto Magalhães Silva Trabalho de Conclusão de Curso (Especialização em Segurança da Informação), Faculdade SENAC-DF, Man-In-The-Middle. 2. Rastreamento de ataque. 3. Proteção da informação. ABSTRACT Any user on the network is exposed to various types of cyber attacks, among them stand out from the attack called Man- In-The-Middle, which aims to intercept data traffic on the network without the victim noticing. This feature is what makes this attack very dangerous because the victim does not know who is being attacked and can convey important information without the least care. This article will discuss the attack Man-In-The-Middle in local network and their techniques, and present ways to prevent it and detect it. Starting from the demonstration of this type of attack was developed a script called Agent Drynna, able to detect the MITM attack and trace the attacker. Keywords: Man-In-The-Middle. Tracing attack. Protection of information.

2 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante INTRODUÇÃO Os ataques cibernéticos têm como foco principal o roubo de dados e informações para que de posse desses o atacante consiga seus objetivos. O ataque Man-In-The-Middle (MITM), Homem no meio, como o próprio nome diz, o atacante fica no meio da transmissão interceptando os dados. Segundo Cunha (2006), este é um ataque no qual o atacante possui capacidade de ler, inserir e modificar mensagens entre duas entidades sem que estas tenham conhecimento que a ligação entre ambas está comprometida. Vale destacar que a falta de conhecimento de estar sendo atacado, coloca este ataque como uns dos mais difíceis de detectar. Deste modo, esse ataque explora além da abordagem técnica com ferramentas específicas, a abordagem humana, explorando a ingenuidade ou a inexperiência do usuário. Figura 1: Ataque Man-In-The-Middle O ataque MITM é bastante peculiar, pois ele não é apenas um ataque passivo, onde apenas ver os dados que trafegam na rede, mas também é um ataque ativo, podendo se passar por um servidor ou por outra vítima sem que ninguém perceba. Por isso, o MITM precisa de uma atenção especial dos usuários ao transmitir uma informação importante, sendo necessário ficar atento ao que se passa na rede. Este artigo apresentará o Man-In-The-Middle em redes locais e suas principais técnicas, além de apresentar as ferramentas mais utilizadas. Também será mostrado como detectar se estiver sendo atacado e como se prevenir de cada uma destas técnicas apresentadas, e ao final, será demonstrado, por meio de

3 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 3 estudo de caso com o uso das técnicas MITM, o script desenvolvido para detectar o ataque, rastrear e identificar o atacante. De acordo com Sanders(2010) as técnicas de ataque MITM mais utilizadas são ARP cache poisoning, dns spoofing, http session hijacking e ssl hijacking. 2. ARP CACHE POISONING 2.1. Protocolo ARP De acordo com BERNAL (2000), a comunicação na arquitetura TCP/IP é realizada através de endereçamento IP, porém em rede local a transmissão de pacotes IP é realizada através de um pacote ethernet. Quando um pacote é transmitido com endereço IP, é necessário traduzir este endereço para endereço físico, daí a necessidade de um protocolo para realizar esse processo, o protocolo ARP. O protocolo ARP (Address Resolution Protocol ou Protocolo de resolução de endereços) é utilizado para mapear endereços IP para endereço físico (MAC 1 ). Um host A de endereço quer se comunicar com um host C de endereço , o host A manda um pacote de broadcast 2 perguntando quem tem o endereço (ARP request requisição ARP), o host C responde com o seu endereço físico 00:ff:ee:8c:00:cc (ARP reply resposta ARP). O protocolo ARP manda um pacote de broadcast para saber o endereço físico do host destino. Como o pacote de broadcast ocupa muito a rede, ficaria inviável realizar este procedimento toda vez que se queira comunicar entre dois pontos da rede. Por isso, utiliza-se o ARP cache, uma lista que armazena os endereços IP s associados aos endereços físicos dos host s da rede, cabe ressaltar que esta lista é armazenada com requisições anteriores (SOUZA, 2010). 1 MAC: Media Access Control é o endereço de controle de acesso ao dispositivo de rede. É um endereço único de 12 dígitos hexadecimais. 2 Broadcast: Pacote transmitido a todos os hosts de uma rede.

4 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 4 Figura 2- Funcionamento do protocolo ARP. O ARP cache é atualizado a cada requisição. O endereço armazenado é removido em intervalos de tempo, estando em uso ou não, o que é chamado de Aging (SOUZA, 2010) Envenenando o ARP cache O ataque de envenenamento do cache ARP explora uma falha de segurança natural do protocolo ARP (SANDERS, 2010). O fato de manter um cache para futuras requisições e o protocolo aceitar atualizações a qualquer tempo é um gargalo para o atacante explorar. Esse ataque envenena o cache ARP enviando uma série de falsos ARP replies (Respostas ARP) no alvo para que a comunicação passe para o atacante de modo a alterar a comunicação do computador de destino, modificando o mapeamento de endereço IP e MAC, assim se passando pelo alvo e ficando no meio da comunicação.

5 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 5 Figura 3 - Funcionamento do envenenamento do cache ARP. Como pode ser visto na figura 3, o atacante intercepta a comunicação modificando o endereço MAC do destino, assim, quando o Host A se comunica com o Host B os dados são enviados para o Atacante que o repassa ao Host B, ficando no meio da comunicação. Da mesma maneira acontece com o Host B quando se comunica com o Host A. Esse ataque é muito perigoso, uma vez que a vítima não sabe se é mesmo o destino que está respondendo e também não sabe se alguém está ouvindo a sua conversa. O envenenamento de cache ARP é uma brecha em LANs, sendo uma porta de entrada para outros ataques MITM. (SANDERS,2010) 2.3. Protegendo do ataque de envenenamento do cache ARP Não há uma solução definitiva para acabar com o envenenamento do cache ARP na rede local, existe, porém, uma solução proativa e reativa. É da natureza do protocolo a dinamicidade e uma maneira de se proteger desse ataque é a adição estática de endereços. Os sistemas Windows e LINUX utilizam o seguinte comando: arp s <endereço IP> <endereço MAC>

6 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 6 Figura 3 - Adição estática de endereço no LINUX. A única diferença com o sistema Windows é que o endereço físico não possui traços e nem dois pontos. Esta é uma solução proativa funcionando apenas em redes com poucas alterações e como o aging (endereços removidos em intervalos de tempo) é uma característica do protocolo, a adição deverá ser feita por meio de um script que irá adicionar os endereços na tabela do cache ARP não dependendo de ARP request (requisição ARP) e ARP reply (resposta ARP). A solução reativa é utilizar uma solução de terceiros que monitora a tabela ARP ou utilizar scripts para esse fim, como o script desenvolvido por este artigo, denominado Agente Drynna (Apêndice A) Ferramentas que podem ser utilizadas para realizar o ataque por meio do protocolo ARP Há softwares criados para auditar uma rede com o objetivo de realizar este ataque para detectar possíveis falhas nos sistemas auditados, citam-se dois, arpspoof (pertencente ao pacote dsniff) - LINUX e Cain & Abel - Windows Arpspoof A ferramenta arpspoof pertence ao pacote dsniff 3 (uma coleção de ferramentas para auditoria de redes e testes de penetração). É uma ferramenta em modo texto que permite transmitir vários falsos ARP replies (respostas ARP), com isso caracteriza-se o ataque Man-In-The-Middle. O arpspoof é uma ferramenta simples com poucas opções e bastante didática: 3 Dsniff

7 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 7 #arpspoof -i (interface de rede) t(alvo, se não especificado, considerará todos os hosts da rede) host (o host que deseja interceptar os pacotes, geralmente é o gateway): Figura 4 - Utilizando a ferramenta arpspoof Cain & Abel Cain & Abel 4 é uma ferramenta, assim como o arpspoof, bastante intuitiva e de fácil manuseio, inicialmente criada para recuperação de senhas em sistemas Windows com ataques de força bruta, dicionário e ataque de criptografia e agora na nova versão conta com novas funcionalidades, entre elas sniffer 5 de rede que realiza entre outras coisas, o envenenamento do cache ARP. Figura 5 - Tela do Cain & Abel descobrindo os hosts das redes. Após o levantamento dos hosts da rede, basta utilizar a função APR ARP Poison Routing do Cain & Abel, esta função irá realizar o envenenamento ARP no host selecionado. 4 Cain & Abel v Sniffer: é um software capaz de capturar todo o tráfego que passa em uma rede.

8 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 8 Figura 6 Tela que apresenta a função APR ARP Poison Routing. Na figura 6 o APR do Cain & Abel é responsável por fazer o envenenamento ARP e ao se clicar no ícone (+) será encaminhado para uma janela onde escolherá o host que se queira atacar. Figura 7 - Tela de configuração de ataque do Cain & Abel. Na figura 7 é demonstrada a janela de configuração do ataque, onde é possível escolher qual comunicação interceptar, neste caso, está sendo interceptado o tráfego entre os hosts e

9 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 9 Cain & Abel é bastante útil para ataques a sistema Windows (SANDERS, 2010), pois realiza a interceptação de dados entre dois hosts de maneira a demonstrar o que está trafegando, diferentemente do arpspoof, que apenas realiza o ataque e necessita de ferramenta específica para demonstrar os pacotes trafegados, como wireshark 6. Figura 8 - Tela do Cain & Abel mostrando os pacotes trafegados entre os hosts interceptados. 3. DNS SPOOFING 3.1 DNS O DNS (Domain Name System Sistema de nome de domínios) é um serviço que mapeia nomes por endereços IP, portanto, ao se consultar é feita uma requisição aos servidores DNS, e o mesmo retorna o endereço IP referente ao (COSTA, 2006) 6 Wireshark: Ferramenta que analisa tráfego de rede.

10 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 10 Figura 9 - Consulta DNS. De acordo com COSTA (2006) o DNS é uma grande base de dados distribuída para tradução de nomes de domínio em endereço IP e vice-versa. Isso ocorre graças à hierarquia desse serviço em forma de árvore invertida, cada servidor DNS se comunica com o próximo servidor DNS hierarquicamente superior, a fim de encontrar o endereço referente ao domínio consultado DNS Spoofing em Rede Local Toda a consulta DNS que é enviada através da rede contém um número de identificação único com o objetivo de indexar consultas e respostas (SANDERS, 2010). O DNS spoofing em Rede Local consiste em interceptar o tráfego e enviar um pacote falso com o número de identificação correspondente a consulta realizada.

11 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 11 Figura 10 - Funcionamento do DNS Spoofing. (SANDERS, 2010) O DNS spoofing pode ser usado para roubar senhas de uma intranet ou até mesmo ser utilizado para roubar dados do usuário que foi enganado por não saber que o site acessado é falso, podendo também ser usado ainda para instalar malwares 7 no host do usuário, uma vez que ele pode ser direcionado a baixar arquivos em seu computador. 3.3 Protegendo do ataque de DNS Spoofing Assim, como envenenamento do cache ARP, o DNS Spoofing não possui fórmula mágica para se proteger dele, pela sua natureza passiva a vítima não percebe que está sendo atacada e é enganada informando seus dados. Mas, existem soluções para, no mínimo, evitar ser atacado por este tipo de ataque. O DNS Spoofing em rede local utiliza-se do envenenamento do cache ARP para ter acesso ao número identificador da consulta DNS e com posse deste realizar o ataque, portanto, utilizar as medidas proativas e reativas do envenenamento do cache ARP é uma maneira de se proteger. 7 Malwares ou código malicioso é o termo para se referir a softwares desenvolvidos para ações danosas ou atividades maliciosas.

12 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 12 Uma solução específica para esse ataque é a utilização do DNSSec, sendo uma extensão da tecnologia do DNS (KUROIWA,2012). Segundo TANENBAUM (2003), com o DNSSec todo o servidor DNS recebe um par de chaves público/privada e todas as informações enviadas a um servidor serão autenticadas com a chave privada e assim será possível ao receptor verificar sua autenticidade e garantindo a sua integridade Ferramenta que pode ser utilizada para realizar o ataque de DNS Spoofing Uma ferramenta amplamente utilizada para realizar esse tipo de ataque é o Ettercap 8, com versões para Linux e Windows. É uma ferramenta simples e bastante intuitiva. A versão mais nova para o Windows é Ettercap 0.74 e para LINUX a versão é o Ettercap O Ettercap possui interfaces em linha de comando e gráfica. Para demonstração e aplicação em ambos os sistemas segue exemplo do Ettercap em linha de comando. Para realizar o ataque de DNS Spoofing no Ettercap é necessário configurar um arquivo (plug-in dns_spoof), bastante simples e muito explicativo, no sistema Windows ele é encontrado no caminho C:\Program Files (x86)\ettercap Development Team\Ettercap-0.7.4\share\etter.dns e no sistemas Linux é encontrado /usr/share/ettercap/etter.dns. Esse arquivo contém os registros DNS que se queiram alterar. Como exemplo, ao usuário digitar o site será redirecionado a um host local que possui um servidor web, informando ao usuário que o mesmo corre risco. 8 Ettercap:

13 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 13 Figura 11 - Realizando o DNS Spoofing. Isso quer dizer que quando a vítima fizer uma consulta DNS do tipo A para o site ele terá como resposta o IP Após a adição dos endereços falsos, basta digitar o comando: ettercap (opções) (Alvo1) (Alvo2) Para realizar este ataque serão utilizadas as opções: -T: Especifica que será utilizado o modo texto. -q: Os comandos serão executados no modo silencioso, as capturas de pacotes não serão mostradas na tela. -P dns_spoof: Especifica a utilização do plug-in dns_spoof -M arp: Será executado o envenenamento do cache ARP para interceptar a comunicação entre os hosts. // //: Especifica que todos os usuários das redes serão alvos desse ataque. Assim, digitando o seguinte comando: ettercap T q P dns_spoof M arp // //

14 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 14 Figura 12 - Ettercap esperando uma consulta DNS. Figura 13 - O resultado do DNS Spoofing. Ao tentar acessar o site o usuário foi redirecionado para um servidor web local ( ) que tenta ludibriá-lo que está correndo um grave

15 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 15 risco e informa um link falso para proteger o computador do usuário, podendo nesse link ter vários tipos de softwares maliciosos. 4. HTTP SESSION HIJACKING 4.1. Sessões HTTP Sessão é quando há um estado na conexão entre dois dispositivos, ou seja, há um diálogo estabelecido em que a conexão constituída é mantida e outro processo definido deve ser realizado para fechar a conexão. (SANDERS, 2010). Os sites que possuem login e senha utilizam as sessões para estabelecer uma conexão de forma a garantir que o usuário ainda esteja logado e quando a sessão está encerrando os cookies 9 são descartados e a sessão termina. Isso é um exemplo de sessão orientado a conexão. Figura 14 - Sessão HTTP Roubo de Sessão HTTP Session Hijacking ou Roubo de Sessão é o termo utilizado para o ataque as sessões entre dois dispositivos. O Roubo de Sessão HTTP é realizado através dos cookies que envolvem sessões HTTP (SANDERS, 2010). Desta maneira o ataque de roubo de sessão intercepta os cookies da comunicação entre o cliente e o servidor e utiliza esse cookie para se comunicar com o servidor, fazendo se passar pelo cliente. 9 Cookie: pequeno arquivo que é armazenado no computador quando acessa um site, contém informações sobre o usuário, como nome de usuários e senhas.

16 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 16 Figura 15 - Roubo de Sessão HTTP Defesa contra ataque de roubo de sessão HTTP O ataque de roubo de sessão é difícil de detectar, uma vez que a primeira fase (captura de cookies) é passiva. Essa técnica é bastante perigosa, se o atacante não fizer alterações na sessão interceptada, dificilmente a vítima perceberá o ataque. O ataque de roubo de sessão utiliza o ataque de envenenamento ARP para interceptar os dados entre os dispositivos, por isso, é ideal se proteger dos ataques no protocolo ARP. Atentar-se a qualquer alteração no perfil do usuário no site, apesar de atacantes experientes dificilmente deixam rastros, possivelmente, um atacante inexperiente os deixarão. Alguns sites demonstram dados importantes para saber se está sendo atacado, um deles, e talvez o mais importante seja o período do último login (último acesso), ficar atento a esta informação é de suma importância para detectar o ataque de roubo de sessão HTTP (SANDERS, 2010). Tomar cuidado ao acessar sites de bancos em uma rede corporativa, pois a maioria dos ataques será direcionada a este tipo de site, devendo observar os dados de usuário informado pelo site, pois como o ataque é realizado em redes locais, não se sabe se há alguém mal-intencionado na rede.

17 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante Ferramentas que podem ser utilizadas para realizar um roubo de sessão HTTP. Para o exemplo do ataque de roubo de sessão serão utilizadas as ferramentas Hamster e Ferret 10, ferramentas livres para sistema Linux. E será utilizada também a ferramenta Wireshark 11 para leitura dos pacotes transmitidos. O primeiro passo é capturar os pacotes transmitidos entre o cliente e o servidor, para isto, usa-se o ataque pelo protocolo ARP aliado à ferramenta Wireshark. Figura 16 - Wireshark capturando pacotes. Após a captura do pacote pelo wireshark é necessário salvar a captura em um arquivo do tipo.pcap no diretório onde se encontra o hamster. O ferret vai processar o arquivo e criar um arquivo com o nome hamster.txt, esse arquivo contém todos os cookies capturados, com o seguinte comando, onde o parâmetro r é utilizado para ler o arquivo no modo offline: #ferret r (arquivo).pcap 10 Hamster and Ferret versão 2.0: 20.html. 11 Wireshark 1.4.6:

18 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 18 Em seguida, executar o hamster no terminal com o seguinte comando: #hamster Para ter acesso a sessão roubada é necessário configurar o proxy para o host local com os endereços de Proxy e a porta 1234 e depois digitar no browser Figura 17 - Tela do Hamster, no lado esquerdo as sessões roubadas ao clicar em uma delas aparecerá à sessão roubada em uma nova guia. Figura 18 - A sessão roubada do site

19 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 19 Com a sessão roubada o atacante pode realizar os mais diversos ataques, além de possuir informações importantes a respeito da vítima, como neste caso, o atacante tem o acesso aos s da vítima. 5. SSL HIJACKING 5.1. Protocolo SSL O SSL (Secure Socket Layer) é um protocolo de aplicação para fornecer segurança em comunicação de rede por meio da criptografia. Esse protocolo pode ser implementado a outros protocolos para garantir mais segurança ao serviço, exemplo disso é o HTTPS. O objetivo é criar um canal seguro em redes não seguras. O HTTPS é o uso mais comum de SSL utilizado atualmente em sites de bancos, s, redes sociais, entre outros. O HTTPS utiliza o par de chaves público/privada para se comunicar com o servidor web (SANDERS, 2010). Figura 19 - Comunicação HTTPS Se o processo de validação do certificado falhar, não será possível autenticar a identidade do site, podendo o usuário prosseguir por sua conta e risco. (SANDERS, 2010).

20 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante SSL HIJACKING O protocolo SSL foi considerado seguro por muitos anos (SANDERS, 2010). Apesar do processo de SSL HIJACKING (Roubo de SSL) não quebrar a criptografia, consegue com sucesso interceptar o processo de comunicação. O SSL HIJACKING cria uma ponte entre a comunicação criptografada com a comunicação não criptografada. No processo de comunicação o site HTTP redireciona para o HTTPS e esta é a falha que foi explorada para a realização desse ataque. Figura 20 - Interceptando uma comunicação HTTPS Defendendo contra o ataque SSL HIJACKING É um ataque difícil de defender devido a sua natureza passiva, mas é um ataque simples de se identificar. Como todos os ataques MITM em redes locais utilizam da falha no protocolo ARP para realizar o ataque, se defender dele é essencial para se proteger deste e outros ataques. O roubo de SSL por meio do protocolo HTTPS é de fácil detecção, pois o ataque redireciona o tráfego para o HTTP, e os navegadores atuais demonstram o protocolo de navegação, geralmente o HTTPS é demonstrado por um cadeado. Portanto, se um site utiliza o protocolo HTTPS e o navegador informa que está utilizando o protocolo HTTP, provavelmente está sendo atacado. Outra informação que é importante se atentar é o certificado digital, os navegadores oferecem informações sobre o mesmo, sendo possível verificar a autenticidade do site. O atacante pode realizar o ataque e com o auxílio de um certificado digital redirecionar o tráfego para HTTPS enganando o usuário, informando que é uma navegação segura.

21 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 21 Cabe ao usuário se atentar as estas informações, apesar que por desconhecimento ou pela falta de tempo do dia a dia muitos usuários não prestam atenção a esta informação. Outra maneira é o usuário certificar as informações de segurança de sites que utilizam protocolo HTTPS e que possuem dados importantes, como sites de bancos e e-commerces, em redes corporativas, pois esse ataque ocorre em LANs, sendo mais seguro utilizar esse site em uma rede doméstica Ferramentas que podem ser utilizadas para realizar o ataque de roubo de SSL. Hoje a ferramenta mais importante que realiza esse ataque é a sslstrip 12. É uma ferramenta escrita na linguagem python 13 executada apenas nos sistemas operacionais LINUX. Para demonstrar o poder desta ferramenta serão atacados os sites e Para começar o ataque é necessário que o tráfego passe pelo atacante e seja redirecionado ao servidor web, através do comando: #echo 1 > /proc/sys/net/ipv4/ip_forward Após isso, é preciso configurar para que o tráfego HTTP que será interceptado seja encaminhado à porta onde o sslstrip estará escutando. Isto é possível, configurando o iptables, o firewall nativo do LINUX. Através do seguinte comando: #iptables t nat -A PREROUTING p tcp destination-port 80 j REDIRECT to-port <Porta que o sslstrip estará escutando> Onde: -t: especifica as regras de uma determinada tabela nat (network address translation ou tradução de endereço de rede) : tabela especificada pelo parâmetro t 12 Sslstrip 0.9: 13 Python: Linguagem de Programação criada por Guido van Rossum apresenta como característica o fato de ser uma linguagem interpretada, altamente dinâmica.

22 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 22 -A: acrescenta uma regra de firewall PREROUTING: quando o pacote é modificado antes de ter seu roteamento previsto. -p tcp: especifica o protocolo, nesse caso o protocolo utilizado é o TCP (transfer control protocol) - -destination-port: a porta de destino, nesse caso a porta 80 -j: indica qual ação deve ser tomada, caso a regra seja ativada REDIRECT to-port : o pacote é redirecionado para a porta especificada nesta opção. O iptables permite filtragem de pacotes, tradução de endereços de rede (NAT) e outras modificações de pacotes, sendo um firewall nativo nas atuais distribuições LINUX. Com o iptables configurado basta executar o sslstrip. Com o comando: sslstrip a l <porta que o sslstrip estará escutando> Figura 21 - Utilizando o sslstrip O último passo para realizar o ataque é atacar o protocolo arp. Figura 22 - Ataque de envenenamento ARP. Após isso, todo o tráfego HTTPS interceptado será redirecionado para HTTP, caracterizando assim o ataque de roubo de SSL.

23 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 23 Figura 23 - Site com o seu funcionamento normal HTTPS. Figura 24 - Site com o seu funcionamento normal HTTPS.

24 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 24 Figura 25 Site redirecionado, agora com o protocolo HTTP. Figura 26 - Site redirecionado, agora com o protocolo HTTP. O SSL Hijacking ou roubo de SSL se mostrou eficaz, podendo o atacante com o auxílio de uma ferramenta de análise de tráfego de pacotes, como wireshark, capturar senhas, já que não há mais criptografia na sessão da vítima e os dados são passados claramente pelo protocolo HTTP.

25 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante ESTUDO DE CASO Demonstradas as técnicas e as principais ferramentas MITM em redes locais, percebe-se que todas elas têm como base o ataque por meio do protocolo ARP, para tal foi desenvolvida uma solução. O estudo de caso mostrará a defesa proposta por este artigo, através de um script desenvolvido para detectar o ataque de envenenamento do cache ARP, a porta de entrada para o ataque MITM e a qualquer alteração detectar o ataque MITM, rastrear e identificar o atacante Agente Drynna O Agente Drynna (Apêndice A) é um script para LINUX desenvolvido por este artigo que monitora a tabela ARP e a qualquer alteração avisa o usuário que o mesmo está sendo atacado, servindo como HIDS (Host Based IDS) 14 para o ataque de envenenamento do cache ARP. O script deve ser iniciado juntamente com os hosts da rede, para que sejam armazenados os endereços IPs iniciais juntamente com o seu endereço MAC, desta maneira o script mapeará toda a rede e saberá onde originou o ataque, caso haja Configuração do ambiente de teste Para o teste será simulado uma rede com quatro hosts no software de virtualização da Oracle Virtual Box 15, versão para Linux, os hosts serão assim identificados: 14 HIDS: Host Based IDS, Sistema de Detecção de Intrusão baseado no Host, se localiza na máquina analisando eventos internos em busca de anomalias. 15 VirtualBox 4.18:

26 Ataque Man-In-The-Middle em Redes Locais: Como detectar, prevenir e rastrear o atacante. 26 Tabela 1- Ambiente de teste. Nome Sistema Operacional Configuração de rede Máquina alvo Ubuntu versão bits Endereço IP: Máscara de Sub-Rede: Gateway: Endereço MAC: 20:cf:30:4c:3c:0f Máquina atacante BackTrack bits Endereço IP: Máscara de Sub-Rede: Gateway: Endereço MAC: 08:00:27:b0:ed:4b Máquina XP Microsoft Windows XP Endereço IP: Máscara de Sub-Rede: Gateway: Endereço MAC:08:00:27:93:1c:96 Máquina Debian Debian 6.0 Endereço IP: Máscara de Sub-Rede: Gateway: Endereço MAC: 08:00:27:0b:c5: VirtualBox Software de virtualização da Oracle é capaz de simular um sistema computacional completo. Assim, é possível instalar vários sistemas operacionais em uma mesma máquina e simular uma rede local Roteador Para o teste foi utilizado o roteador TP-LINK Modelo TD-8816 com o endereço IP e endereço MAC f4:ec:38:a7:f6:40, servindo como central desta rede Máquina Alvo (Ubuntu Linux) A máquina alvo irá utilizar o Agente Drynna para detectar o ataque e o sistema foi configurado sem nenhum outro processo de segurança, apenas o script Agente Drynna.