Ebook Man In The Middle

Transcrição

1 1 - Aprenda o que é e como realizar o ataque

2 2 - Aprenda o que é e como realizar o ataque

3 MAN IN THE MIDDLE Aprenda o que é e como realizar o ataque 3 - Aprenda o que é e como realizar o ataque

4 Abrahão Eneias 4 - Aprenda o que é e como realizar o ataque

5 Introdução Ano após ano cresce o número de ataques cibernéticos na Rede. Toda semana surgem notícias de que alguém fez ataque à instituição tal e ainda é muito maior o número desses ataques realizados contra o cidadão comum. Grande parte dos ataques ocorre devido ao booomtecnológico que estamos vivenciando. Mais dispositivos conectados à Internet, mais pessoas que não sabem como usá-la de forma segura, pelo menos de forma minimalista. Os investimentos em segurança da informação por parte das empresas começam a ganhar força. Porém, as empresas não conseguem acompanhar a evolução de seus inimigos, os crackers, que sempre estão a quilômetros de distância a frente. De acordo com a Pesquisa Global de Segurança da Informação de 2014 realizada com quase 10 mil executivos de cerca de 115 países, as empresas têm aumentado o investimento em SI, porém, elas não sabem ou têm dificuldade em identificar e priorizar quais os dados devem ser mais protegidos, tornando-as, assim, alvos fáceis dos criminosos virtuais. Existem diversas formas de ataque às informações que trafegam na Internet e a cada tempo surgem novas maneiras de burlar a segurança da informação. Pretendo aqui apresentar um das mais usuais técnicas de ataques, o MITM (Man In The Middle). Miriam von Zuben, analista de segurança do Cert.br, o aumento de ciberataques é uma tendência mundial, e isso é bem compreensível, uma vez que a internet das coisas vem ganhado cada vez mais usabilidade.miriam ainda salienta que esse meio atrai o interesse de quem deseja obter alguma vantagem financeira através do uso da rede. Os cibercriminosos não querem saber qual a sua senha na conta do Facebook, querem saber de sua conta bancária. Eles não são crianças que querem aprontar uma com você para chateá-lo. O buraco é muito mais profundo. Esta obra não pretende incentivar os ciberataques por parte de quem o ler. Seu intuito é apenas repassar informação do venha a ser o MITM, como é realizado e como podemos nos defender, uma vez que, se esta prática for realizada contra alguma instituição ou até mesmo contra usuários comuns da grande Rede o atacante pode responder judicialmente se for descoberto e podendo, assim, passar bons anos de sua vida vendo o Sol nascer quadrado. Cabe ao leitor ou leitora pesquisar sobre as consequências ilegais dos ataques cibernéticos. 5 - Aprenda o que é e como realizar o ataque

6 Cap. 1 O que é o MITM O MITM ou Man In The Middle (Homem No Meio) é uma técnica usada para roubar ou capturar os dados que trafegam numa determinada rede (ou até mesmo da Internet) onde o atacante se interpõe entre um dispositivo emissor de dados e seu respectivo receptor podendo ter acesso a esses dados que vão e voltam. Para melhor entendimento analise a figura abaixo: Fig. 01 Representação do MITM Depois de ter ganhado o acesso ao roteador o atacante passa a escutar todo o tráfego da rede. Isso pode acontecer devido ao roteador estar corrompido, por falhas na instalação e configuração do mesmo e até por firmware e protocolos de segurança desatualizados (aliás, isso é um dos principais motivos de ataques). O MITM é um tipo de ataque relativamente fácil de se realizar. 6 - Aprenda o que é e como realizar o ataque

7 Cap. 2 - Ferramentas e ambiente usadao no ataque Para realizar a simulação de um ataque MITM, utilizei-me de: Sistema Operacional: Kali Linux 1.1.0a-amd64. Sistema Operacional desenvolvido especificamente para realização de testes em segurança de redes que contém mais de 300 ferrmentas open source gratuitas voltadas para invasão de redes. Você pode baixar a imagem em O Kali Linux pode ser usado tanto como live cd quanto instalado permanentemente no seu computador. Caso queira usá-lo por meio de uma máquina virtual será necessário ter uma placa de rede externa. Ambiente de simulação de ataque: minha própria rede interna. Você pode fazer esse teste para verificar o quão frágil e vulnerável pode está sua rede e não para sair por aí achando que pode roubar e invadir qualquer sistema, pode não dar certo, uma vez que os sistemas possuem detector de intrusos e você pode se dar muito mal. 7 - Aprenda o que é e como realizar o ataque

8 Cap. 3 - Realizando o ataque Para ficar mais didático apresentarei as telas que representam cada passo que foi dado para a experiência. Sugiro que o leitor ou leitora pesquise cada comando mais a fundo se quiser se aprofundar, cada comando tem de opções variadas. Cada tela informa os comando usados. Segue abaixo o passo a passo. Fig. 02 Comando route O comando route serve para nos apresentar quais as rotas que os pacotes da rede irão tomar. Na Fig. 02, o comando route nos apresenta a rota default que no caso é o meu roteador. 8 - Aprenda o que é e como realizar o ataque

9 Fig. 03 Comando NMap O comando nmap (Network Map) na Fig. 03 serve para varrer uma determinada faixa de IP's e mostrar os hosts ativos, sua saída terá a tela a seguir, fig. 04. Mas o nmap não se limita a apresentar apenas os hosts ativos, dentre suas funções destacam-se: varreduras de IP's ativos numa rede; varreduras de portas e seus respectivos serviços levantados ; verificar sistema operacional do alvo e sua versão. É claro que existem inúmeras funções e opções fornecidas pelo nmap. Existem no mercado vários livros que tratam do assunto, daí se percebe o quão poderoso é o Nmap. Vale a pena o leitor ou leitora gastar um pouco do seu tempo para pesquisar sobre a ferramenta. 9 - Aprenda o que é e como realizar o ataque

10 Fig. 04 saída do comando nmap Na varredura realizada foram encontrados 5 hosts up, isto é, 5 dispositivos que estão conectados na minha redes. Ofusquei os endereços MAC por motivos de segurança. Podemos ver também as portas e serviços utilizados pelo gateway: portas 22 (ssh), 53 (DNS), 80 (http) e 443 (http seguro) Aprenda o que é e como realizar o ataque

11 Fig. 05 redirecionamento de pacotes O comando na tela está habilitando o redirecionamento dos pacotes que trafegam em sua rede. Fig. 06 redirecionamento de porta iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port Aprenda o que é e como realizar o ataque

12 Na fig. 06, o firewall está redirecionando todos os pacotes que passam pela porta 80, que é a porta default, para a porta Fig. 07 Comando sslstrip O comando sslstrip, fará o papel do ouvinte, ou seja, é ele que estará verificando os pacotes trafegados na rede, uma vez que o firewall estará redirecionando todo o trafego para a porta Fig. 08 comando ettercap 12 - Aprenda o que é e como realizar o ataque

13 O comando ettercap é o responsável pelo ataque em si. O wlan0 é minha interface de rede. Para saber qual é a sua abra outro terminal e digite ifconfig. Os // // está dizendo queserão verificados todos os endereços da faixa de IP's. Para verificar apenas um IP em específicos deixe assim: ettercap -T -q -i (sua interface) -M arp:remote /ip-do-gateway/ip-da-vitma/. Fig. 09 sslstrip em execução Fig. 10 comando urlsnarf 13 - Aprenda o que é e como realizar o ataque

14 O comando urlsnarf é usado para verificar quais os sites que estão acessando na rede. Na figura abaixo vemos os sites acessados em tempo real. Para um melhor aproveitamento dos dados trafegados você pode usar programas que fazem leituras mais precisas, assim tambem como usar expressões regulares (coisa muito poderosa no Linux), para filtrar as informações que voccê deseja. Fig. 11 exibição dos sites que estão sendo acessados Fig. 12 comando driftnet O comando driftnet serve para exibir as imagens em tempo real que os sites acessados apresentam. Veja um exemplo na figura abaixo, são apresentadas as imagens de sites que acessei Aprenda o que é e como realizar o ataque

15 Fig. 13 driftnet capturando imagens acessadas Para quem quer se aprofundar mais, existem outros comando que podemos usar e ampliar nossa forma de ataque, veja abaixo alguns: msgsnarf -i (interface) Verifica as mensagens trafegadas. mailsnarf -i (interface) Verifica s trafegados. dsniff -i (interface) Atua como sniffador Aprenda o que é e como realizar o ataque

16 Cap.5 Como se defender Existem diversas formas de se prevenir desse tipo de ataque, segue abaixo algumas: usar SSL/TLS em suas conexões; análise de tráfego e de logs; atualização de firmware do roteador; criptografia. Conclusão A cada dia novas formas de ataques virtuais surgem. Devemos não apenas sermos usuários de tecnologia, mas é preciso conhecer seus funcionamentos para podermos entender suas fraquezas e, assim, evitar sermos vítimas de bandidos virtuais. Uma breve pesquisada na Internet nos mostrará que nossos dados trafegando na rede são muito vulneráveis. Entender e encontrar soluções para esses problemas deve ser uma atividade constante não apenas de empresas mas de todos os usuários da Internet. Comandos utilizados route nmap ip-do-gateway /24 echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080 sslstrip -a -l 8080 ettercap -T -q -i (interface) -M arp:remote // // urlsnarf -i (interface) driftnet -i (interface) *interface faz referência a sua placa de rede. Abrahão Eneias, 05/09/2015 Paraíba 16 - Aprenda o que é e como realizar o ataque