Man in The Middle: um assunto de cibersegurança

O termo Man In The Middle (MitM) ou Homem no Meio é usado para se referir à técnica que os cibercriminosos usam para obter as informações que um usuário envia por meio de um aplicativo. O atacante se posicionará no meio deles, fazendo-se passar por um deles para obter todas as informações que são compartilhadas.

Imagine que você deseja enviar uma carta muito importante a um amigo, então decide usar o serviço postal local para entregá-la. No entanto, o invasor vai até a sua caixa de correio, pega a carta e lê o conteúdo dela, tira uma foto dela, fecha e a coloca de volta na caixa de correio.

O carteiro chega, manda para o destino e seu amigo recebe a carta sem saber que alguém viu o conteúdo. Você é o usuário, a carta os dados que você envia, o carteiro o meio em que esses dados são transportados neste caso, a internet e seu amigo seria o aplicativo com o qual você deseja se comunicar.

Agora, pense se o que você envia na carta fossem suas credenciais bancárias, dados pessoais ou outras informações muito importantes para você. O Homem do Meio fará questão de não ser detectado ao acessar seus dados, ele usará diversas ferramentas para interceptar as informações enviadas do seu computador para a página de compras, para suas redes sociais, ou até mesmo para o servidor do seu banco.

Você deve saber que para um invasor executar um ataque Man-in-the-Middle, ele deve estar na mesma rede que a vítima, além de conhecer o gateway e seu endereço IP. É por isso que você ouvirá constantemente que os especialistas em Segurança da Informação aconselham você a não entrar em sites inseguros ou conectar-se a redes públicas, principalmente se for acessar sua conta bancária, fazer compras ou compartilhar informações. Sempre evite fazer isso se não souber que a rede é segura.

Cómo é um ataque MItM?

Existem várias maneiras pelas quais os invasores executam um ataque MItM, mas agora vou mostrar como eles usam o ARP Poisoning ou ARP Spoofing, que é o cibercriminoso fazer o computador da vítima acreditar, fazendo uso de várias ferramentas como o gateway da rede, portanto não levantará nenhuma suspeita no computador da vítima ao enviar as informações e que ele possa acessá-las, pois devemos entender que a porta Link é o meio pelo qual as informações são transmitidas de um dispositivo para outro.

Abaixo, você verá como um invasor usa várias ferramentas para executar um ataque MItM, demonstrando que eles podem acessar suas informações sem que você perceba. Lembre-se de que tudo isso serve para mostrar que você pode ser um alvo fácil ao usar redes não seguras.

1. Kali Linux (atacante): Este sistema operacional é projetado para realizar auditorias de rede e assim encontrar possíveis falhas com o consentimento da empresa avaliada. Os invasores costumam usá-lo para fins maliciosos e, assim, podem acessar informações para as quais não estão autorizados.

2. Windows 10 (vítima): Este sistema operacional criado pela Microsoft é um dos mais usados ​​atualmente. Considere que os invasores não visarão apenas esse tipo de sistema operacional, mas também pesquisarão todos os dispositivos que estão na rede até encontrar informações úteis.

Observamos as informações do dispositivo da vítima, podemos ver o IP e seu gateway padrão. Ao tentar se comunicar com qualquer página da web, a vítima enviará informações pelo gateway, que podem ser interceptadas por invasores que estejam na mesma rede, vale ressaltar que existem diversas ferramentas utilizadas para esse tipo de ataque.

No entanto, para este exemplo, mostrarei a ferramenta Ettercap, desenvolvida para auditorias agendadas com o consentimento da empresa/pessoa que está realizando este processo. Tecnicamente ele funciona “sniffing and logging” do que passa pela rede, ou seja, monitora todo o tráfego que passa por ela e salva para análise.

O invasor faz uso desses tipos de ferramentas para visualizar a comunicação na rede e, assim, examinar as credenciais ou outras informações úteis.

Inicialmente, ele colocará uma rede chamariz para você se conectar, como uma rede Wi-Fi aberta, ou entrará na sua rede por vários meios, caso não tenha sido configurado com segurança.

Primeiramente, você precisa saber quais computadores estão na rede, para assim realizar o monitoramento. O Ettercap exibirá uma lista dos dispositivos na rede, seus endereços IP e MAC, um identificador exclusivo fornecido ao hardware pelo fabricante do dispositivo.

Assim que o invasor obtiver a lista de dispositivos da rede, ele já saberá que tipo de hardware você possui e qual endereço IP você utiliza. O que você vai fazer agora é escolher qual será o seu objetivo. Nesse caso, você pode ser a vítima e seu segundo alvo será ele mesmo, o dispositivo que receberá os pacotes enviados pela rede.

Agora o atacante vai aplicar o veneno, ou seja, ele vai fazer sua equipe acreditar que ele é a porta de entrada, então todas as informações serão enviadas com o máximo de confiança.

Observaremos como o invasor "envenena" as vítimas, fazendo-as acreditar que as comunicações estão sendo enviadas aos seus destinatários. No entanto, eles são redirecionados para o computador onde o ataque é feito. Se você olhar, não leva muito tempo e esforço para o invasor fazer você pensar que é o seu gateway.

Como os atacantes veem as comunicações?

Algo que devemos levar em consideração é que os atacantes poderão observar todo o tráfego da rede em que o ataque é realizado e é possível ver, em alguns casos, os pacotes que são transmitidos por páginas que não possuem certificados de segurança. Nesse sentido, vejamos um exemplo de quando você deseja entrar por uma página com login sem esse tipo de segurança.

Suponha que, como vítima, você entre em um site sem um certificado de segurança. Observe que o mesmo navegador nos informa que é um site inseguro. Se você vir isso, saia imediatamente.

Você já digitou seu e-mail e senha sem nenhum problema. Agora vamos olhar do lado do atacante, cujo dispositivo detecta todos os pacotes que passam pela rede. Cada linha que você vê na imagem abaixo é um pacote de dados enviado pela rede.

Isso foi capturado e analisado pela ferramenta Wireskark que a equipe do cibercriminoso executa.

Agora, ao acessar sites sem certificados de segurança, as credenciais são vistas em texto simples. Isso ocorre porque os dados não estão sendo protegidos de forma alguma e observe como o invasor pode ver as credenciais que você usou para acessar o site.

Agora, você vê como pode ser fácil para um invasor saber as páginas que você visita e até ver as credenciais quando você faz login em sites inseguros?

Recomendações

Vou te dar algumas recomendações para evitar cair nesse tipo de ataque:

1) Não entre em sites que não possuam o certificado de segurança. Você poderá identificar um site seguro quando o URL da página tiver um bloqueio antes dele:

Mesmo se você clicar nesse cadeado, ele informará que o site é seguro.

2) Não use redes open-WiFi, exceto se for para acessar sites onde você insere suas informações para logins.

3) Proteja sua rede sem fio com senhas fortes, nunca deixe a senha padrão! Muitas pessoas têm seus roteadores domésticos ou empresariais configurados com essas senhas, que podem ser encontradas na web sem nenhum problema.

4) Faça uso de VPN para impedir que o invasor conheça seu endereço IP, para que você não se torne alvo de informações valiosas.

Como especialista em cibersegurança, posso garantir que, mesmo que você pense que não tem nada importante ou que nada será roubado, os cibercriminosos estão constantemente procurando informações que possam ser úteis para eles, especialmente se envolver dinheiro. Eles podem obter suas informações para falsificar sua identidade e até acumular dívidas em seu nome sem que você perceba.

O risco de um ataque Man-in-the-Middle é mais provável do que você pensa e muitas vezes você não vai perceber, então certifique-se de se proteger.

Cuide-se!