UNIVERSIDADE TUIUTI DO PARANÁ DIEGO LOPES DA CRUZtcconline.utp.br/media/tcc/2015/04/Monografia-2014-Diego-Lopes-da... · Topologia de rede em estrela Neste tipo de rede, todos os

UNIVERSIDADE TUIUTI DO PARANÁ

DIEGO LOPES DA CRUZ

UMA ABORDAGEM PARA DETECÇÃO E PROTEÇÃO DE ATAQUES

MAN-IN-THE-MIDDLE (MITM)

CURITIBA

2014

DIEGO LOPES DA CRUZ



Monografia do curso de Pós-graduação em Redes

de Computadores e Segurança em Redes, da

Universidade Tuiuti do Paraná, como requisito à

título de especialização.

Professor orientador: André Luiz de Souza Paula.

CURITIBA

2014

TERMO DE APROVAÇÃO

DIEGO LOPES DA CRUZ



Esta monografia foi julgada e aprovada para a obtenção do título de Especialista no Curso de Pós-graduação em Redes de Computadores e Segurança em Redes da Universidade Tuiuti do Paraná.

Curitiba, 21 de fevereiro de 2014.

_________________________________________________

Especialização em Redes de Computadores e Segurança em Redes

Universidade Tuiuti do Paraná.

Orientador: Prof. Esp. André Luiz de Souza Paula UTP - Universidade Tuiuti do Paraná

CURITIBA

2014

DEDICATÓRIA

Dedico este trabalho à minha família, minha esposa Aline Lewerentz e minha filha

Rafaela Lewerentz da Cruz, por conceder o tempo que teria com elas de muitos

finais de semana para que o meu objetivo fosse alcançado.

AGRADECIMENTOS

Agradeço este trabalho à todos os professores envolvidos e que colaboraram com

meu aprendizado: Prof. Luiz Altamir Corrêa Júnior, Prof. Marcelo Soares Farias,

Prof. Msc. Roberto Neia Amaral e em especial ao orientador Prof. André Luiz de

Souza Paula. Meu muito obrigado!

“Que os vossos esforços desafiem as impossibilidades, lembrai-vos de que as grandes coisas do homem foram conquistadas do que parecia impossível."

Charles Chaplin

RESUMO

O estudo explica os princípios da rede de computadores e demonstra alguns tipos de ataques específicos à segurança das informações que trafegam através de uma rede computadores, sendo privada ou pública, cujo os mesmos são conhecidos por especialistas na área da segurança da informação como Man-In-The-Middle (MITM), tendo sua tradução do idioma inglês, "homem no meio", pelo fato que o atacante (homem) ficar no meio da comunicação entre dois ou mais dispositivos. Consiste em demonstrar como um atacante pode interceptar e manipular as informações que são trafegadas na rede afim de usá-las para benefício próprio. Mostra também, a mitigação destes ataques através de recursos e ferramentas de software disponíveis no mercado tendo também como base uma boa política de segurança da informação. O resultado do estudo mostra que, com o entendimento à estes tipos de ataques e o uso das ferramentas adequadas para identificá-los, traz um resultado positivo para evitar que informações confidencias trafegadas pela rede sejam acessadas por terceiros. Palavras-chave: MITM. Man-In-The-Middle. Segurança da informação. Ataques.

Redes de computadores. Mitigação.

LISTA DE FIGURAS

FIGURA 1 - MODELO TCP/IP....................................................................................20

FIGURA 2 - COMUNICAÇÃO ENTRE AS CAMADAS...............................................21

FIGURA 3 - REQUISIÇÃO DE RESOLUÇÃO DE NOME..........................................24

FIGURA 4 - FUNCIONAMENTO SERVIDOR DHCP.................................................25

FIGURA 5 - FUNCIONAMENTO SERVIDOR DE PÁGINA WEB..............................26

FIGURA 6 - DIAGRAMA ENTRE CLIENTE E SERVIDOR FTP................................27

FIGURA 7 - CRIPTOGRAFIA COM CHAVE SIMÉTRICA.........................................36

FIGURA 8 - SIGILO UTILIZANDO CHAVE ASSIMÉTRICA...................................... 37

FIGURA 9 - AUTENTICIDADE USANDO CHAVE PRIVADA....................................37

FIGURA 10 - COMUNICAÇÃO ARP.........................................................................47

FIGURA 11 - TRÁFEGO PADRÃO E TRÁFEGO COM ARP ENVENENADO..........48

FIGURA 12 - SOFTWARE CAIN & ABEL.................................................................49

FIGURA 13 - HOSTS SELECIONADOS PARA O ATAQUE.....................................49

FIGURA 14 - ANÁLISE DAS RESPOSTAS ARP DO ATAQUE.................................50

FIGURA 15 - CONSULTA E RESPOSTA DNS NORMAL.........................................50

FIGURA 16 - CONSULTA RECURSIVA AO SERVIDOR DNS..................................51

FIGURA 17 - CENÁRIO DO ATAQUE DE DNS SPOOFING.....................................51

FIGURA 18 - ADICIONANDO REGISTROS NO ETTERCAP....................................52

FIGURA 19 - ETTERCAP RESPONDENDO REQUISIÇÕES DNS...........................54

FIGURA 20 - RESULTADO DO ATAQUE DNS SPOOFING.....................................54

FIGURA 21 - REQUISIÇÕES E RESPOSTAS DHCP...............................................55

FIGURA 22 - ROGUE DHCP SERVER......................................................................56

FIGURA 23 - ROGUE ACCESS POINT CENÁRIO...................................................57

FIGURA 24 - CRIANDO UM ROGUE AP COM AIRBASE.........................................58

FIGURA 25 - ANALISANDO DADOS COLETADOS..................................................59

FIGURA 26 - ATAQUE SESSION HIJACKING..........................................................60

FIGURA 27 - ATAQUE SESSION HIJACKING COM XSS........................................61

FIGURA 28 - PROCESSO PARA COMUNICAÇÃO HTTPS.....................................62

FIGURA 29 - ATAQUE SSL HIJACKING...................................................................62

FIGURA 30 - DESVIANDO O TRÁFEGO DE SAÍDA WEB.......................................63

FIGURA 31 - EXECUTANDO O SSLSTRIP..............................................................64

FIGURA 32 - FERRAMENTA ARPSPOOF................................................................65

LISTA DE SIGLAS

ACL Access Control List

ANSI American National Standards Institute

AP Access Point

ARP Address Resolution protocol

DDoS Distributed Deny of Service

DHCP Dynamic Host Configuration Protocol

DNS Domain Name Service

FTP File Transfer Protocol

HSTS HTTP Strict Transport Security

HTML HyperText Markup Language

HTTP HyperText Transfer Protocol

HTTPS HyperText Transfer Protocol Security

ICMP Internet Control Message Protocol

IDS Intrusion Detection System

IP Internet Protocol

IPS Intrusion Prevention System

IRC Internet Relay Chat

MAC Media Access Control

P2P Peer-to-peer

RFC Request For Comments

SMTP Simple Mail Transfer Protocol

SNMP Simple Network Manage Protocol

SQL Structured Query Language

SSL Secure Sockets Layer

TCP Transmission Control Protocol

UDP User Datagram Protocol

WWW World Wide Web

SUMÁRIO

RESUMO..................................................................................................................... 7

LISTA DE FIGURAS ................................................................................................... 8

1. INTRODUÇÃO ................................................................................................... 13

2. ENTENDENDO AS REDES DE COMPUTADORES ......................................... 14

2.1. O QUE É UMA REDE DE COMPUTADORES? ........................................... 14

2.2. TIPOS DE REDES ....................................................................................... 14

2.3. COMO SURGIU A INTERNET? ................................................................... 17

2.4. MODELO DE REFERÊNCIA TCP/IP ........................................................... 20

2.5. PRINCIPAIS SERVIÇOS DE REDE............................................................. 23

2.5.1. Servidor DNS ......................................................................................... 23

2.5.2. Servidor DHCP ...................................................................................... 25

2.5.3. Servidor de páginas WEB ...................................................................... 26

2.5.4. Servidor de arquivos FTP ...................................................................... 26

3. SEGURANÇA DA INFORMAÇÃO .................................................................... 28

3.1. POLÍTICA DE SEGURANÇA ....................................................................... 28

3.2. VULNERABILIDADES DE SISTEMAS ......................................................... 28

3.3. CÓDIGOS MALICIOSOS ............................................................................. 29

3.3.1. Vírus ...................................................................................................... 30

3.3.2. Worm ..................................................................................................... 30

3.3.3. Cavalo de Tróia ..................................................................................... 31

3.3.4. Spyware ................................................................................................. 31

3.3.5. Backdoor ............................................................................................... 32

3.3.6. Rootkit ................................................................................................... 33

3.3.7. Botnet/Bot .............................................................................................. 34

3.4. FIREWALL ................................................................................................... 35

3.5. CRIPTOGRAFIA .......................................................................................... 36

3.5.1. Criptografia Simétrica ............................................................................ 36

3.5.2. Criptografia Assimétrica ......................................................................... 37

3.6. ASSINATURA DIGITAL ............................................................................... 38

3.7. CERTIFICADO DIGITAL .............................................................................. 38

3.8. TIPOS DE ATAQUES MAIS COMUNS ........................................................ 39

3.8.1. Ataques de negação de serviço (DoS) .................................................. 39

3.8.2. Força Bruta ............................................................................................ 40

3.8.3. Phishing ................................................................................................. 40

3.8.4. Desfiguração de Sites ............................................................................ 40

3.8.5. Man-In-The-Middle ................................................................................ 41

3.8.6. SQL Injection ......................................................................................... 41

3.8.7. Spoofing ................................................................................................ 41

3.8.8. Sniffing ................................................................................................... 42

3.8.9. Envenenamento de cache DNS............................................................. 42

3.8.10. Elevação de Privilégios ...................................................................... 43

3.8.11. Smurf .................................................................................................. 44

3.9. SISTEMAS DE DETECÇÃO DE INTRUSOS ............................................... 44

4. ENTENDENDO OS ATAQUES MITM ............................................................... 46

4.1. TIPOS DE ATAQUES MITM ........................................................................ 46

4.1.1. Envenenamento de cache ARP ............................................................. 46

4.1.2. DNS Spoofing ........................................................................................ 50

4.1.3. Rogue DHCP ......................................................................................... 55

4.1.4. Rogue AP .............................................................................................. 57

4.1.5. Session Hijacking .................................................................................. 59

4.1.6. SSL Hijacking ........................................................................................ 61

5. MECANISMOS DE PROTEÇÃO À ATAQUES MITM ....................................... 66

5.1. MANTER OS APLICATIVOS E SERVIÇOS SEMPRE ATUALIZADOS ....... 66

5.2. CONTROLE FÍSICO E LÓGICO .................................................................. 67

5.3. NÃO ABRIR MÃO DE FERRAMENTAS DE SEGURANÇA ......................... 67

6. CONCLUSÃO .................................................................................................... 68

REFERÊNCIAS ......................................................................................................... 69

13

1. INTRODUÇÃO

O bem mais precioso que uma empresa pode ter atualmente, além dos

recursos, é a informação. E esta informação esta cada vez mais longe da

caneta e papel, estão indo para os sistemas informatizados, datacenters e

armazenamentos na nuvem.

Garantir a privacidade desta informação não é tarefa fácil, pois a cada

dia surgem novas técnicas para explorar falhas nos sistemas e expor esta

informação. Estas técnicas ainda quando descobertas, são replicadas

rapidamente em fóruns online, blogs e redes sociais.

Por conta isto, tem-se notado a conscientização dos usuários e

administradores de rede de se utilizar recursos que aumentem a segurança na

hora de se utilizar os meios informatizados, como o uso sistemas que garante a

privacidade através da criptografia por exemplo.

Mas só este cuidado não é suficiente, pois com alguns tipos de ataques,

pode-se quebrar ou evitar o uso de criptografia. Este é o principal motivo de um

invasor utilizar o tipo de ataque MITM (Man-in-the-Middle): Manipular o fluxo

de dados na comunicação para que se consiga coletar as informações, antes

mesmo que as mesmas sejam criptografadas.

14

2. ENTENDENDO AS REDES DE COMPUTADORES

Para entender o tema principal deste projeto, faz-se necessário o

entendimento dos princípios e funcionamento das redes de computadores, que

estão presentes no dia-a-dia das pessoas.

2.1. O QUE É UMA REDE DE COMPUTADORES?

Uma rede de computadores é formado por dois ou mais dispositivos que

estão interligados, via cabo ou sem fio, trocando informações entre si através

de protocolos de comunicação específicos.

2.2. TIPOS DE REDES

Segundo Tanenbaum (2004), uma rede pode ser definida por seu

tamanho, topologia, meio físico e protocolo utilizado.

Quanto ao seu tamanho existem as seguintes definições:

PAN (Personal Area Network, ou rede pessoal). Uma PAN é uma

rede de computadores usada para comunicação entre dispositivos de

computador (incluindo telefones e assistentes pessoais digitais) perto

de uma pessoa.

LAN (Local Area Network, ou Rede Local). É uma rede onde seu

tamanho se limita a apenas uma pequena região física.

VAN (Vertical Area Network, ou rede de vertical). Uma VAN é

usualmente utilizada em redes prediais, vista a necessidade de uma

distribuição vertical dos pontos de rede.

CAN (Campus Area Network, ou rede campus). Uma rede que

abrange uma área mais ampla, onde pode-se conter vários prédios

dentro de um espaço contínuos ligados em rede.

MAN (Metropolitan Area Network, ou rede metropolitana). A MAN é

uma rede onde temos por exemplo, uma rede de farmácias, em uma

cidade, onde todas acessam uma base de dados comum.

15

WAN (Wide Area Network, ou rede de longa distância). Uma WAN

integra equipamentos em diversas localizações geográficas (hosts,

computadores, routers/gateways), envolvendo diversos países e

continentes como a Internet.

SAN (Storage Area Network, ou Rede de armazenamento). Uma

SAN serve de conexão de dispositivos de armazenamento remoto de

computador para os servidores de forma a que os dispositivos

aparecem como locais ligados ao sistema operacional.

Sobre as topologias de rede mais utilizadas, segundo Tanenbaum

(2004), são as três:

Topologia de rede em estrela

Neste tipo de rede, todos os usuários comunicam-se com um

nodo (nó) central, tem o controle supervisor do sistema, chamado host.

Por meio do host os usuários podem se comunicar entre si e com

processadores remotos ou terminais. No segundo caso, o host funciona

como um comutador de mensagens para passar dados entre eles.

O arranjo em estrela é a melhor escolha se o padrão de

comunicação da rede for de um conjunto de estações secundárias que

se comunicam com o nó central. As situações nas quais isso acontece

são aquelas em que o nó central está restrito às funções de gerente das

comunicações e a operações de diagnósticos.

O gerenciamento das comunicações por este nó central pode ser

por chaveamento de pacotes ou de circuitos.

O nó central pode realizar outras funções além das de

chaveamento e processamento normal. Por exemplo, pode

compatibilizar a velocidade de comunicação entre o transmissor e o

receptor. Se o protocolo dos dispositivos fonte e destino for diferente, o

nó central pode atuar como um roteador, permitindo duas redes de

fabricantes diferentes se comunicar.

No caso de ocorrer falha em uma estação ou na ligação com o nó

central, apenas esta estação fica fora de operação.

16

Entretanto, se uma falha ocorrer no nó central, todo sistema pode

ficar fora do ar. A solução deste problema seria a redundância, mas isto

acarreta um aumento considerável de custos.

A expansão de uma rede desse tipo só pode ser feita até um certo

limite, imposto pelo nó central: em termos de capacidade de

chaveamento, número de circuitos concorrentes que podem ser

gerenciados e números de nós que podem ser servidos.

O desempenho obtido numa rede em estrela depende da

quantidade de tempo requerido pelo nó central para processar e

encaminhar mensagens, e da carga de tráfego de conexão, ou seja, é

limitado pela capacidade de processamento do nó central.

Esta configuração facilita o controle da rede e a maioria dos

sistemas de computação com funções de comunicação; possuem um

software que implementa esta configuração.

Topologia de rede em barramento

Consiste em estações conectadas através de um circuito fechado,

em série, formando um circuito fechado (anel). O anel não interliga as

estações diretamente, mas consiste de uma série de repetidores ligados

por um meio físico, sendo cada estação ligada a estes repetidores.

Segundo Tanenbaum, é uma topologia em desuso.

Topologia de rede em anel

A topologia em anel como o próprio nome diz tem um formato

circular, onde a última estação é ligada com a primeira, fechando um

anel.

Quanto ao meio físico, o mais utilizado hoje, segundo

Tanenbaum, é o Ethernet. O padrão Ethernet vem subdividido em:

Coax/10base2 que utiliza cabo coaxial de 10 mbps de velocidade, UTP

(Unshielded Twisted Pair - Par Trançado Não Blindado)/10BaseT que

utiliza cabo com 4 pares de fios metálicos trançados com conectores

padrões RJ45 nas pontas de 10 mbps e UTP/100baseT ue utiliza cabo

17

com 4 pares de fios metálicos trançados também, Gigabit ethernet com

velocidades de 1.000 mbps.

Também pode ser conectado por Fibra óptica, um fino filamento

contínuo de vidro com uma cobertura de proteção que pode ser usada

para conectar longas distâncias. Já existe o padrão Ten-Gigabit

Ethernet com velocidade de 10.000 mbps sobre a fibra óptica.

E ainda há as redes sem fios, que se subdividem em diversas

tecnologias: Wi-fi, bluetooth, wimax e outras. (Tanenbaum 2004)

Quanto ao seu protocolo, hoje, o protocolo mais usado é o

TCP/IP, versão IPv4, passando a ser adotado em paralelo o IPv6.

(Tanenbaum, 2004)

2.3. COMO SURGIU A INTERNET?

A internet surgiu a partir de pesquisas militares nos períodos áureos da

Guerra Fria. Na década de 1960, quando dois blocos ideológicos e

politicamente contrários um ao outro exerciam enorme controle e influência no

mundo, qualquer mecanismo, qualquer inovação, qualquer ferramenta nova

poderia contribuir nessa disputa liderada pela União Soviética e pelos Estados

Unidos: as duas superpotências compreendiam a eficácia e necessidade

absoluta dos meios de comunicação. Nessa perspectiva, o governo dos

Estados Unidos temia um ataque russo às bases militares. Um ataque poderia

trazer a público informações sigilosas, tornando os EUA vulneráveis. Então foi

idealizado um modelo de troca e compartilhamento de informações que

permitisse a descentralização das mesmas. Assim, se o Pentágono fosse

atingido, as informações armazenadas ali não estariam perdidas. Era preciso,

portanto, criar uma rede, primeiramente chamada de ARPANET, criada pela

ARPA, sigla para Advanced Research Projects Agency, em 1962.

A ARPANET funcionava através de um sistema conhecido como

chaveamento de pacotes, que é um sistema de transmissão de dados em rede

de computadores no qual as informações são divididas em pequenos pacotes,

que por sua vez contém trecho dos dados, o endereço do destinatário e

18

informações que permitiam a remontagem da mensagem original. O ataque

inimigo nunca aconteceu, mas o que o Departamento de Defesa dos Estados

Unidos não sabia era que dava início ao maior fenômeno midiático do século

20, único meio de comunicação que em apenas 4 anos conseguiria atingir

cerca de 50 milhões de pessoas.

Em 29 de Outubro de 1969 ocorreu a transmissão do que pode ser

considerado o primeiro e-mail da história. O texto desse primeiro e-mail seria

"LOGIN", conforme desejava o Professor Leonard Kleinrock da Universidade

da Califórnia em Los Angeles (UCLA), mas o computador no Stanford

Research Institute, que recebia a mensagem, parou de funcionar após receber

a letra "O".

Já na década de 1970, a tensão entre URSS e EUA diminui. As duas

potências entram definitivamente naquilo em que a história se encarregou de

chamar de Coexistência Pacífica. Não havendo mais a iminência de um ataque

imediato, o governo dos EUA permitiu que pesquisadores que

desenvolvessem, nas suas respectivas universidades, estudos na área de

defesa pudessem também entrar na ARPANET. Com isso, a ARPANET

começou a ter dificuldades em administrar todo este sistema, devido ao grande

e crescente número de localidades universitárias contidas nela.

Dividiu-se então este sistema em dois grupos, a MILNET, que possuía

as localidades militares e a nova ARPANET, que possuía as localidades não

militares. O desenvolvimento da rede, nesse ambiente mais livre, pôde então

acontecer. Não só os pesquisadores como também os alunos e os amigos dos

alunos, tiveram acesso aos estudos já empreendidos e somaram esforços para

aperfeiçoá-los. Houve uma época nos Estados Unidos em que sequer se

cogitava a possibilidade de comprar computadores prontos, já que a diversão

estava em montá-los.

A mesma lógica se deu com a Internet. Jovens da contracultura,

ideologicamente engajados em uma utopia de difusão da informação,

contribuíram decisivamente para a formação da Internet como hoje é

conhecida. A tal ponto que o sociólogo espanhol e estudioso da rede Manuel

Castells afirmou no livro A Galáxia da Internet (2003) que A Internet é, acima

de tudo, uma criação cultural.

19

Um sistema técnico denominado Protocolo de Internet (Internet Protocol)

permitia que o tráfego de informações fosse encaminhado de uma rede para

outra. Todas as redes conectadas pelo endereço IP na Internet comunicam-se

para que todas possam trocar mensagens. Através da National Science

Foundation, o governo norte-americano investiu na criação de backbones (que

significa espinha dorsal, em português), que são poderosos computadores

conectados por linhas que tem a capacidade de dar vazão a grandes fluxos de

dados, como canais de fibra óptica, elos de satélite e elos de transmissão por

rádio. Além desses backbones, existem os criados por empresas particulares.

A elas são conectadas redes menores, de forma mais ou menos

anárquica. É basicamente isto que consiste a Internet, que não tem um dono

específico.

O cientista Tim Berners-Lee, do CERN, criou a World Wide Web da sigla

WWW em 1992.

A empresa norte-americana Netscape criou o protocolo HTTPS

(HyperText Transfer Protocol Secure), possibilitando o envio de dados

criptografados para transações comercias pela internet.

Por fim, vale destacar que já em 1992, o então senador Al Gore, já

falava na Superhighway of Information. Essa "super-estrada da informação"

tinha como unidade básica de funcionamento a troca, compartilhamento e fluxo

contínuo de informações pelos quatro cantos do mundo através de uma rede

mundial, a Internet. O que se pode notar é que o interesse mundial aliado ao

interesse comercial, que evidentemente observava o potencial financeiro e

rentável daquela "novidade", proporcionou o boom (explosão) e a

popularização da Internet na década de 1990. Até 2003, cerca de mais de 600

milhões de pessoas estavam conectadas à rede. Segundo a Internet World

Estatistics, em junho de 2007 este número se aproxima de 1 bilhão e 234

milhões de usuários. (WIKIPEDIA. 2013)

20

2.4. MODELO DE REFERÊNCIA TCP/IP

No estudo de redes de computadores existem dois modelos de

referência, o modelo conceitual definido pela International Standards

Organization (ISO) chamado OSI e o modelo de referência padronizado para

uso na Internet chamado TCP/IP. (TANENBAUM, 2003).

Portanto, todo computador ou dispositivo que funciona em rede, sendo

local (LAN) ou global (Internet), corporativo ou doméstico, utiliza os padrões e

protocolos do modelo de referência TCP/IP estabelecido como modelo padrão

em 1983.

O modelo de referência TCP/IP é divida em quatro camadas conforme

figura 1, a seguir.

FIGURA 1 - MODELO TCP/IP

FONTE: FAQ INFORMÁTICA, 2010.

21

A figura 2 mostra a comunicação entre as camadas do modelo TCP/IP, a

seguir:

FIGURA 2 - COMUNICAÇÃO ENTRE AS CAMADAS


2.4.1. Camada de Aplicação

Esta camada faz a comunicação entre os aplicativos e o protocolo

de transporte. Existem vários protocolos que operam na camada de aplicação.

Os mais conhecidos são o HTTP, SMTP, FTP, SNMP, DNS e o Telnet. Quando

um programa cliente de e-mail quer descarregar os e-mails que estão

armazenados no servidor de e-mail, ele irá efetuar esse pedido para a camada

de aplicação do TCP/IP, onde é atendido pelo protocolo SMTP. Quando o

usuário entra em um endereço www em seu navegador para visualizar uma

página da internet, o navegador irá comunicar com a camada de aplicação do

TCP/IP, onde é atendido pelo protocolo HTTP. E assim por diante. A camada

de aplicação comunica-se com a camada de transporte através de uma porta.

As portas são numeradas e as aplicações padrão usam sempre uma mesma

porta. Por exemplo, o protocolo SMTP utiliza sempre a porta 25, o protocolo

HTTP utiliza sempre a porta 80 e o FTP as portas 20 e a 21. O uso de um

22

número de porta permite ao protocolo de transporte, na maioria das vezes o

TCP, saber qual é o tipo de conteúdo do pacote de dados por exemplo, saber

que o dado que ele está a transportar é um e-mail e no receptor, saber para

qual protocolo de aplicação ele deverá entregar o pacote de dados, já que,

como pode-se ver, existem inúmeros. Assim ao receber um pacote destinado à

porta 25, o protocolo TCP irá entregá-lo ao protocolo que estiver conectado a

esta porta, tipicamente o SMTP, que por sua vez entregará o dado à aplicação

que o solicitou. (FAQ INFORMÁTICA, 2010).

2.4.2. Camada de Transporte

Esta camada é responsável por captar os dados enviados pela camada

de aplicação e transformá-los em pacotes, a serem repassados para a camada

de Internet. No protocolo TCP/IP a camada de transporte utiliza um esquema

de multiplexação, onde é possível transmitir simultaneamente dados das mais

diferentes aplicações. Na verdade, ocorre o conceito de intercalação de

pacotes; vários programas poderão estar a comunicar com a rede ao mesmo

tempo, mas os pacotes gerados serão enviados à rede de forma intercalada,

não sendo preciso terminar um tipo de aplicação de rede para então começar

outra.Isso é possível graças ao uso do conceito de portas, explicado na

camada de aplicação, já que dentro do pacote há a informação da porta de

origem e de destino do dado. Nesta camada operam dois protocolos: o TCP

(Transmission Control Protocol) e o UDP (User Datagram Protocol). Ao

contrário do TCP, este segundo protocolo não verifica se o dado chegou ou

não ao destino. Por esse motivo, o protocolo mais usado na transmissão de

dados é o TCP, enquanto que o UDP é tipicamente usado na transmissão de

informações de controle. Na recepção de dados, a camada de transporte capta

os pacotes passados pela camada Internet e trata de colocá-los em ordem e

verificar se todos chegaram corretamente. Além disso, o protocolo IP, que é o

protocolo mais conhecido da camada de Internet, não verifica se o pacote de

dados enviado chegou ou não ao destino; é o protocolo de transporte, o TCP

que, ao remontar a ordem dos pacotes recebidos, verifica se está a faltar

algum, pedindo, então, uma retransmissão do pacote que não chegou. (FAQ

INFORMÁTICA, 2010)

23

2.4.3. Camada de Internet

Existem vários protocolos que podem operar nesta camada: IP (Internet

Protocol), ICMP (Internet Control Message Protocol), ARP (Address Resolution

Protocol) e RARP (Reverse Address Resolution Protocol). Na transmissão de

um dado de programa, o pacote de dados recebidos da camada TCP é dividido

em pacotes chamados datagramas. Os datagramas são enviados para a

camada de interface com a rede, onde são transmitidos pelo cabeamento da

rede através de quadros. Esta camada não verifica se os datagramas

chegaram ao destino, isto é feito pelo TCP. Esta camada é responsável pelo

roteamento de pacotes, isto é, adiciona ao datagrama informações sobre o

caminho que ele deverá percorrer. (FAQ INFORMÁTICA, 2010).

2.4.4. Camada de Interface com a Rede

Esta camada é responsável por enviar o datagrama recebido pela

camada de Internet em forma de um quadro através da rede. Tem como

principal função, a interface do modelo TCP/IP com os diversos tipos de redes

e transmitir os datagramas pelo meio físico, tem a função de encontrar o

caminho mais curto e confiável. (FAQ INFORMÁTICA, 2010).

2.5. PRINCIPAIS SERVIÇOS DE REDE

Os serviços de rede estão localizados na camada superior do modelo de

referência TCP/IP, ou seja, na camada de aplicação. Os principais serviços

são descritos a seguir.

2.5.1. Servidor DNS

O servidor DNS (Domain Name Server) é responsável pela tradução de

nomes de domínio em endereço lógico IP e vice-versa. Sem ele, seria difícil a

navegação pela internet através de sites WWW, pois teríamos que decorar o

24

endereço IP de cada site que desejaríamos acessar. Além disto, é possível

criar através dele as chamadas zonas internas e externas, onde máquinas da

rede interna ou remotas podem ser acessadas sabendo-se apenas o seu nome

(apelido) no domínio, sem a necessidade de saber o seu endereço IP deixando

para que o DNS resolva o endereço. (MONTEIRO, 2007)

A figura 3 ilustra o funcionamento entre o cliente e o servidor DNS, a

seguir:

FIGURA 3 - REQUISIÇÃO DE RESOLUÇÃO DE NOME

FONTE: OVH.COM, 2013.

25

2.5.2. Servidor DHCP

O DHCP, do inglês Dynamic Host Configuration Protocol cuja tradução é

Protocolo de Configuração Dinâmica de Endereços de Rede, permite que todos

os micros da rede recebam suas configurações de rede automaticamente a

partir de um servidor central, deixando de existir a necessidade de

configuração manual do ambiente de rede e aumentando o controle sobre

quem e quando se conectou a rede. (BUGALLO, 1999).

A figura 4 ilustra o funcionamento do serviço de DHCP em uma rede local, a

seguir:

FIGURA 4 - FUNCIONAMENTO SERVIDOR DHCP


26

2.5.3. Servidor de páginas WEB

A expressão servidor web engloba uma máquina ou servidor destinada a

aceitar pedidos HTTP, geralmente de navegadores como Internet Explorer ou

Mozilla Firefox, e servi-los com respostas HTTP, incluindo opcionalmente

dados, tais como páginas da web. (ALECRIM, 2006).

FIGURA 5 - FUNCIONAMENTO DO SERVIDOR DE PÁGINA WEB

FONTE: GOOHOST, 2004.

2.5.4. Servidor de arquivos FTP

Servidores de arquivos que utilizam o protocolo File Transfer Protocol

(FTP), traduz-se do idioma inglês como "Protocolo de Transferência de

Arquivos", possuem propósitos diferentes, alguns deles são: backup (cópia de

segurança), compartilhamento de informações, armazenamento remoto, etc.

Em síntese são maquinas dispostas dentro de redes onde é centralizado o

armazenamento de informações, garantindo acessibilidade e segurança na

continuidade e manutenção destas informações. (GERALDI, 2006).

A figura 6 mostra o diagrama entre o cliente e o servidor de arquivos,

onde o usuário pode enviar (upload) um arquivo de seu computador para um

27

computador remoto e também baixar (download) outro arquivo deste mesmo

computador remoto, através do protocolo FTP, a seguir.

FIGURA 6 - DIAGRAMA ENTRE CLIENTE E SERVIDOR FTP

FONTE: MICROSOFT CORPORATION, 2011.

28

3. SEGURANÇA DA INFORMAÇÃO

A Informação é um ativo que, como qualquer outro importante para os

negócios, tem um valor para a organização e conseqüentemente necessita ser

adequadamente protegida.

A informação pode existir de diversas formas. Ela pode ser impressa ou

escrita em papel, armazenada eletronicamente, transmitida pelo correio ou

através de meios eletrônicos, mostrada em filmes ou falada. Seja qual for a

forma pela qual a mesma é apresentada, transmitida, armazenada ou

compartilhada, é recomendado que seja protegida adequadamente.

Segurança da informação é garantir que as informações (em qualquer

formato: mídias eletrônicas, papel e até mesmo em conversações pessoais ou

por telefone) estejam protegidas contra o acesso por pessoas não autorizadas,

estejam sempre disponíveis quando necessárias, e que sejam confiáveis.

(IZQUIERDO, 2007).

3.1. POLÍTICA DE SEGURANÇA

Política de Segurança é uma série de normas internas padronizadas

pela empresa que devem ser seguidas obrigatoriamente para que todas as

possíveis ameaças sejam minimizadas e combatidas eficientemente pela

equipe de segurança.

3.2. VULNERABILIDADES DE SISTEMAS

Vulnerabilidades, no âmbito computacional, são falhas encontradas na

programação de um determinado sistema, sendo ele um sistema operacional,

software ou serviço de rede.

As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo

buffer overflow (estouro de pilha), que muitas vezes pode dar privilégios de

administrador para o invasor, rodar códigos maliciosos remotamente, burlar

particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e

acesso irrestrito ao sistema ao invasor. (WIKIPEDIA, 2013).

29

3.3. CÓDIGOS MALICIOSOS

Códigos maliciosos, do termo em inglês malware, são programas

especificamente desenvolvidos para executar ações danosas e atividades

maliciosas em um computador. Algumas das diversas formas como os códigos

maliciosos podem infectar ou comprometer um computador são:

pela exploração de vulnerabilidades existentes nos programas

instalados;

pela auto-execução de mídias removíveis infectadas, como pen-drives;

pelo acesso a páginas Web maliciosas, utilizando navegadores

vulneráveis;

pela ação direta de atacantes que, após invadirem o computador,

incluem arquivos contendo códigos maliciosos;

pela execução de arquivos previamente infectados, obtidos em anexos

de mensagens eletrônicas, via mídias removíveis, em páginas Web ou

diretamente de outros computadores (através do compartilhamento de

recursos).

Uma vez instalados, os códigos maliciosos passam a ter acesso aos

dados armazenados no computador e podem executar ações em nome dos

usuários, de acordo com as permissões de cada usuário.

Os principais motivos que levam um atacante a desenvolver e a

propagar códigos maliciosos são a obtenção de vantagens financeiras, a coleta

de informações confidenciais, o desejo de autopromoção e o vandalismo. Além

disto, os códigos maliciosos são muitas vezes usados como intermediários e

possibilitam a prática de golpes, a realização de ataques e a disseminação de

spam. (CERT.BR, 2012)

Segundo a CERT.BR, existem diversas classificações para os códigos

maliciosos, mas será mostrado apenas os principais e mais comuns, a seguir:

30

3.3.1. Vírus

Vírus é um programa ou parte de um programa de computador,

normalmente malicioso, que se propaga inserindo cópias de si mesmo e se

tornando parte de outros programas e arquivos. Para que possa se tornar ativo

e dar continuidade ao processo de infecção, o vírus depende da execução do

programa ou arquivo hospedeiro, ou seja, para que o seu computador seja

infectado é preciso que um programa já infectado seja executado. O principal

meio de propagação de vírus costumava ser os disquetes. Com o tempo,

porém, estas mídias caíram em desuso e começaram a surgir novas maneiras,

como o envio de e-mail. Atualmente, as mídias removíveis tornaram-se

novamente o principal meio de propagação, não mais por disquetes, mas,

principalmente, pelo uso de pen-drives. Há diferentes tipos de vírus. Alguns

procuram permanecer ocultos, infectando arquivos do disco e executando uma

série de atividades sem o conhecimento do usuário. Há outros que

permanecem inativos durante certos períodos, entrando em atividade apenas

em datas específicas. (CERT.BR, 2012)

3.3.2. Worm

Worm, traduzido do idioma inglês "verme", é um programa capaz de se

propagar automaticamente pelas redes, enviando cópias de si mesmo de

computador para computador. Diferente do vírus, o worm não se propaga por

meio da inclusão de cópias de si mesmo em outros programas ou arquivos,

mas sim pela execução direta de suas cópias ou pela exploração automática

de vulnerabilidades existentes em programas instalados em computadores.

Worms são notadamente responsáveis por consumir muitos recursos, devido à

grande quantidade de cópias de si mesmo que costumam propagar e, como

conseqüência, podem afetar o desempenho de redes e a utilização de

computadores. (CERT.BR, 2012).

31

3.3.3. Cavalo de Tróia

Cavalo de tróia, conhecido como trojan ou trojan-horse, é um programa

que, além de executar as funções para as quais foi aparentemente projetado,

também executa outras funções, normalmente maliciosas, e sem o

conhecimento do usuário.

Exemplos de trojans são programas que você recebe ou obtém de sites

na Internet e que parecem ser apenas cartões virtuais animados, álbuns de

fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente,

consistem de um único arquivo e necessitam ser explicitamente executados

para que sejam instalados no computador.

Trojans também podem ser instalados por atacantes que, após

invadirem um computador, alteram programas já existentes para que, além de

continuarem a desempenhar as funções originais, também executem ações

maliciosas.

Há diferentes tipos de trojans, classificados de acordo com as ações

maliciosas que costumam executar ao infectar um computador. (CERT.BR,

2012)

3.3.4. Spyware

Spyware (Software espião) é um programa projetado para monitorar as

atividades de um sistema e enviar as informações coletadas para terceiros.

Segundo a CERT.BR. pode ser usado tanto de forma legítima quanto

maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de

informação monitorada e do uso que é feito por quem recebe as informações

coletadas. Pode ser considerado de uso:

Legítimo: quando instalado em um computador pessoal, pelo próprio

dono ou com consentimento deste, com o objetivo de verificar se outras

pessoas o estão utilizando de modo abusivo ou não autorizado.

Malicioso: quando executa ações que podem comprometer a

privacidade do usuário e a segurança do computador, como monitorar e

32

capturar informações referentes à navegação do usuário ou inseridas

em outros programas (por exemplo, conta de usuário e senha).

Além disto, a CERT.BR classifica alguns tipos específicos de programas

spyware, são:

Keylogger: capaz de capturar e armazenar as teclas digitadas pelo

usuário no teclado do computador. Sua ativação, em muitos casos, é

condicionada a uma ação prévia do usuário, como o acesso a um site

específico de comércio eletrônico ou de Internet Banking.

Screenlogger: similar ao keylogger, capaz de armazenar a posição do

cursor e a tela apresentada no monitor, nos momentos em que o mouse

é clicado, ou a região que circunda a posição onde o mouse é clicado. É

bastante utilizado por atacantes para capturar as teclas digitadas pelos

usuários em teclados virtuais, disponíveis principalmente em sites de

Internet Banking.

Adware: projetado especificamente para apresentar propagandas. Pode

ser usado para fins legítimos, quando incorporado a programas e

serviços, como forma de patrocínio ou retorno financeiro para quem

desenvolve programas livres ou presta serviços gratuitos. Também pode

ser usado para fins maliciosos, quando as propagandas apresentadas

são direcionadas, de acordo com a navegação do usuário e sem que

este saiba que tal monitoramento está sendo feito. (CERT.BR, 2012).

3.3.5. Backdoor

Backdoor é um programa que permite o retorno de um invasor a um

computador comprometido, por meio da inclusão de serviços criados ou

modificados para este fim.

Pode ser incluído pela ação de outros códigos maliciosos, que tenham

previamente infectado o computador, ou por atacantes, que exploram

33

vulnerabilidades existentes nos programas instalados no computador para

invadi-lo.

Após incluído, o backdoor é usado para assegurar o acesso futuro ao

computador comprometido, permitindo que ele seja acessado remotamente,

sem que haja necessidade de recorrer novamente aos métodos utilizados na

realização da invasão ou infecção e, na maioria dos casos, sem que seja

notado.

A forma usual de inclusão de um backdoor consiste na disponibilização

de um novo serviço ou na substituição de um determinado serviço por uma

versão alterada, normalmente possuindo recursos que permitem o acesso

remoto. Programas de administração remota, como BackOrifice, NetBus,

SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o

consentimento do usuário, também podem ser classificados como backdoors.

Há casos de backdoors incluídos propositalmente por fabricantes de

programas, sob alegação de necessidades administrativas. Esses casos

constituem uma séria ameaça à segurança de um computador que contenha

um destes programas instalados pois, além de comprometerem a privacidade

do usuário, também podem ser usados por invasores para acessarem

remotamente o computador. (CERT.BR, 2012).

3.3.6. Rootkit

Rootkit é um conjunto de programas e técnicas que permite esconder e

assegurar a presença de um invasor ou de outro código malicioso em um

computador comprometido.

Segundo a CERT.BR, o conjunto de programas e técnicas fornecido

pelos rootkits pode ser usado para:

remover evidências em arquivos de logs ;

instalar outros códigos maliciosos, como backdoors, para assegurar o

acesso futuro ao computador infectado;

esconder atividades e informações, como arquivos, diretórios,

processos, chaves de registro, conexões de rede, etc;

34

mapear potenciais vulnerabilidades em outros computadores, por meio

de varreduras na rede;

capturar informações da rede onde o computador comprometido está

localizado, pela interceptação de tráfego.

É muito importante ressaltar que o nome rootkit não indica que os

programas e as técnicas que o compõe são usadas para obter acesso

privilegiado a um computador, mas sim para mantê-lo.

Rootkits inicialmente eram usados por atacantes que, após invadirem

um computador, os instalavam para manter o acesso privilegiado, sem precisar

recorrer novamente aos métodos utilizados na invasão, e para esconder suas

atividades do responsável e/ou dos usuários do computador. Apesar de ainda

serem bastante usados por atacantes, os rootkits atualmente têm sido também

utilizados e incorporados por outros códigos maliciosos para ficarem ocultos e

não serem detectados pelo usuário e nem por mecanismos de proteção.

Há casos de rootkits instalados propositalmente por empresas

distribuidoras de CDs de música, sob a alegação de necessidade de proteção

aos direitos autorais de suas obras. A instalação nestes casos costumava

ocorrer de forma automática, no momento em que um dos CDs distribuídos

contendo o código malicioso era inserido e executado. É importante ressaltar

que estes casos constituem uma séria ameaça à segurança do computador,

pois os rootkits instalados, além de comprometerem a privacidade do usuário,

também podem ser reconfigurados e utilizados para esconder a presença e os

arquivos inseridos por atacantes ou por outros códigos maliciosos. (CERT.BR,

2012).

3.3.7. Botnet/Bot

Bot, do termo robô em inglês, é um programa que dispõe de

mecanismos de comunicação com o invasor que permitem que ele seja

controlado remotamente. Possui processo de infecção e propagação similar ao

do worm, ou seja, é capaz de se propagar automaticamente, explorando

vulnerabilidades existentes em programas instalados em computadores.

35

A comunicação entre o invasor e o computador infectado pelo bot pode

ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros

meios. Ao se comunicar, o invasor pode enviar instruções para que ações

maliciosas sejam executadas, como desferir ataques, furtar dados do

computador infectado e enviar spam.

Um computador infectado por um bot costuma ser chamado de zumbi

(zombie computer), pois pode ser controlado remotamente, sem o

conhecimento do seu dono. Também pode ser chamado de spam zombie

quando o bot instalado o transforma em um servidor de e-mails e o utiliza para

o envio de spam.

Botnet é uma rede formada por centenas ou milhares de computadores

zumbis e que permite potencializar as ações danosas executadas pelos bots.

Quanto mais zumbis participarem da botnet mais potente ela será. O

atacante que a controlar, além de usá-la para seus próprios ataques, também

pode alugá-la para outras pessoas ou grupos que desejem que uma ação

maliciosa específica seja executada.

Algumas das ações maliciosas que costumam ser executadas por

intermédio de botnets são: ataques de negação de serviço, propagação de

códigos maliciosos (inclusive do próprio bot), coleta de informações de um

grande número de computadores, envio de spam e camuflagem da identidade

do atacante. (CERT.BR, 2012)

3.4. FIREWALL

O firewall, cujo termo vem do idioma inglês e traduzido como "parede de

fogo", pode ser definido como uma barreira de proteção entre a rede interna e a

Internet, seu objetivo é permitir somente a transmissão e recepção de dados

autorizados (ALECRIM, 2004). Existem soluções baseadas na combinação de

hardware e software ou somente em software, este último é o mais comum.

36

3.5. CRIPTOGRAFIA

A palavra criptografia é de origem grega e tem por objetivo o estudo dos

princípios e técnicas pelas quais a informação pode ser escondida de forma

que se torne incompreensível. (MUNHOZ, 2011).

Segundo MUNHOZ, este processo de codificação é chamado de

encriptação ou cifragem.

Já o processo de engenharia reversa, isto é, transformar a informação

de modo que ela fique compreensível novamente se chama decriptação ou

decifragem.

Para que estas técnicas sejam aplicadas é necessário tanto o conteúdo

a ser criptografado quanto a chave que será utilizada para realizar o processo.

Obviamente esta chave deve ser mantida em segredo, de forma que somente

quem tem acesso a chave consiga entender o conteúdo da mensagem.

(MUNHOZ, 2011)

Existem basicamente dois tipos de criptografias: a criptografia com uso

de chave simétrica e outra com uso de chaves assimétricas, composta por uma

chave públicas e outra privada.

3.5.1. Criptografia Simétrica

A criptografia de chave simétrica utiliza a mesma chave para criptografar

e para decriptografar os dados, de forma que os dois lados da comunicação

devem possuir a mesma chave. Além disso é importantíssimo que esta chave

seja transferida com segurança. (MUNHOZ, 2011)

37

FIGURA 7 - CRIPTOGRAFIA COM CHAVE SIMÉTRICA

FONTE: MUNHOZ, 2011.

3.5.2. Criptografia Assimétrica

Já a criptografia de chave pública utiliza duas chaves distintas, isto é,

uma chave privada e uma chave pública. Estas chaves são geradas

simultaneamente e são fortemente relacionadas uma com a outra, de forma

que a operação executada por uma seja revertida pela outra.

A chave privada como o nome indica deve ser mantida em sigilo e

protegida por quem gerou as chaves. Já a chave pública é disponibilizada e

tornada acessível a qualquer indivíduo que deseje se comunicar com o

proprietário da chave privada correspondente. A criptografia por chave pública

permite garantir tanto a confiabilidade quanto a autenticidade das informações.

(MUNHOZ, 2011).

FIGURA 8 - SIGILO UTILIZANDO CHAVE ASSIMÉTRICA


38

FIGURA 9 - AUTENTICIDADE USANDO CHAVE PRIVADA


3.6. ASSINATURA DIGITAL

A assinatura digital permite comprovar a autenticidade e a integridade de

uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito

isto e que ela não foi alterada.

A assinatura digital baseia-se no fato de que apenas o dono conhece a

chave privada e que, se ela foi usada para codificar uma informação, então

apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o

uso da chave pública, pois se o texto foi codificado com a chave privada,

somente a chave pública correspondente pode decodificá-lo.

Para contornar a baixa eficiência característica da criptografia de chaves

assimétricas, a codificação é feita sobre o hash e não sobre o conteúdo em si,

pois é mais rápido codificar o hash (que possui tamanho fixo e reduzido) do

que a informação toda. (CERT.BR, 2013)

3.7. CERTIFICADO DIGITAL

A chave pública pode ser livremente divulgada, entretanto, se não

houver como comprovar a quem ela pertence, pode ocorrer de você se

comunicar, de forma cifrada, diretamente com um impostor.

Um impostor pode criar uma chave pública falsa para um amigo seu e

enviá-la para você ou disponibilizá-la em um repositório. Ao usá-la para

39

codificar uma informação para o seu amigo, você estará, na verdade,

codificando-a para o impostor, que possui a chave privada correspondente e

conseguirá decodificar. Uma das formas de impedir que isto ocorra é pelo uso

de certificados digitais.

O certificado digital é um registro eletrônico composto por um conjunto

de dados que distingue uma entidade e associa a ela uma chave pública. Ele

pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede

(por exemplo, um site Web) e pode ser homologado para diferentes usos, como

confidencialidade e assinatura digital.

Um certificado digital pode ser comparado a um documento de

identidade, por exemplo, o seu passaporte, no qual constam os seus dados

pessoais e a identificação de quem o emitiu. No caso do passaporte, a

entidade responsável pela emissão e pela veracidade dos dados é a Polícia

Federal. No caso do certificado digital esta entidade é uma Autoridade

Certificadora (AC).

Uma AC emissora é também responsável por publicar informações

sobre certificados que não são mais confiáveis. Sempre que a AC descobre ou

é informada que um certificado não é mais confiável, ela o inclui em uma "lista

negra", chamada de "Lista de Certificados Revogados" (LCR) para que os

usuários possam tomar conhecimento. A LCR é um arquivo eletrônico

publicado periodicamente pela AC, contendo o número de série dos

certificados que não são mais válidos e a data de revogação. (CERT.BR, 2013)

3.8. TIPOS DE ATAQUES MAIS COMUNS

Consultando os sites Tecmundo e Banrisul, foi separada uma lista dos

principais ataques à serviços computacionais, são:

3.8.1. Ataques de negação de serviço (DoS)

Ataques de negação de serviço, em inglês Deny of Service, é um tipo de

ataque que consiste em atingir um determinado sistema ou serviço de rede

com muitas requisições falsas no qual o sistema não consegue atender à todas

40

as requisições tornando-se indisponível até mesmo para as requisições

legítimas.

Quando ocorrem vários ataques simultâneos à um alvo específico, este

mesmo é chamado de Distribued Deny of Service (DDoS) traduzido como

Ataque de Negação de Serviço Distribuído. Segundo o Tecmundo, este é o

mais comum atualmente.

3.8.2. Força Bruta

Ataque de força bruta (brute force) consiste em forçar a quebra de uma

senha de um determinado usuário de um sistema. É utilizado um dicionário de

palavras mais comuns e suas combinações. Quando as combinações de uma

senha são descobertas, o atacante consegue utilizá-las para acessar o sistema

de modo legítimo.

3.8.3. Phishing

O termo Phishing vem de pescaria em inglês, pois consiste em enganar

o usuário através de propagandas ou notícias enganosas, geralmente enviadas

por e-mail, e quando o usuário acessa o link desta propaganda ou notícia,

informações são coletadas por ações do próprio usuário.

Por exemplo, um falso e-mail é recebido pelo usuário, onde o assunto é

referente ao seu Internet banking. Ele clica no link para atualização de dados

pessoais, como senhas, número da conta, agência e CPF em um falso site do

banco. Estes dados são coletados e em banco de dados e consultado mais

tarde pelo atacante. Com estas informações o atacante consegue acessar a

conta da vítima e muitas vezes fazer transações financeiras em seu nome.

3.8.4. Desfiguração de Sites

Desfiguração de sites ou Sites Defacement em inglês, é um tipo de

ataque em que consiste em descobrir alguma vulnerabilidade tanto no site,

41

quanto no servidor web ou no serviço de hosting (hospedagem) e através disto

conseguir alterar a página que esta hospedada neste servidor. Colocando um

conteúdo de interesse do atacante neste site.

Este ataque é utilizado bastante como forma de protesto, onde o

atacante modifica o seu conteúdo para protestar sobre determinado assunto.

3.8.5. Man-In-The-Middle

É um tipo de ataque onde o atacante fica entre a vítima e o serviço no

qual esta tentando acessar, se passando pelo servidor legítimo, por isto o

termo "Homem no Meio" em inglês. O objetivo deste ataque é coletar as

informações da vítima que estão sendo enviadas ao servidor. Será explicado

mais detalhadamente à frente.

3.8.6. SQL Injection

Segundo o site DEVMEDIA, o SQL Injection é uma técnica de ataque

baseada na manipulação do código SQL, que é a linguagem utilizada para

troca de informações entre aplicativos e bancos de dados relacionais. Como a

maioria dos fabricantes de software utiliza o padrão SQL na escrita do código,

os problemas e as falhas de segurança aqui apresentadas se aplicam a todo

ambiente que faz uso desse padrão para troca de informações - o que inclui,

por exemplo, servidores Oracle, MySQL, PostgreSQL, e MS-SQL.

3.8.7. Spoofing

O termo em inglês Spoofing, vem de falsificação de endereço do

remetente, onde o atacante usa um endereço da vítima para enviar várias

solicitações à um servidor, cujo o intuito é fazer com que o servidor fique

respondendo às requisições à vitima, comprometendo o desempenho do

serviço e do acesso da vítima. Como, por exemplo, um atacante escrevesse

uma carta com ofensas à alguém , mas que colocasse como remetente não

42

seu nome, mas de um terceiro que ele queira prejudicar. Ao se investigar a

origem desta carta, a vítima pode ser processada injustamente.

3.8.8. Sniffing

O ataque de sniffing, farejamento em inglês, é quando o atacante fica

farejando determinada informação que passa pela rede. Este ataque na sua

maioria das vezes se passa por despercebido pelo administradores de rede,

pois atua-se de forma passiva, onde os pacotes de dados não são alterados

entre a origem e destino, são apenas tirados uma cópia e guardados para uma

análise posterior pelo atacante. Por isto a importância de se criptografar as

informações entre a origem e destino, pois com as informações criptografadas,

o atacante não conseguirá decifrar as informações coletadas.

3.8.9. Envenenamento de cache DNS

Envenenamento de cache DNS, em inglês DNS cache poisoning, é o

comprometimento na segurança ou na integridade dos dados em um Sistema

de Nomes de Domínios (Domain Name System DNS). Este ataque pode ser

conhecido como Pharming também.

Um Servidor DNS tem como uma de suas funções realizar a tradução de

um nome de domínio (como exemplo.com) em um endereço IP que um host na

internet usa para obter conteúdo disponível na internet. Se um servidor DNS é

envenenado, este pode retornar o endereço IP incorreto, desviando o tráfego

para outro computador, provavelmente o computador no qual o atacante tem a

página web falsa.

A cache de um servidor DNS serve para armazenar informações

temporárias sobre os domínios e seus respectivos IP´s, de tal forma faz com

que as respostas das próximas consultas ao servidor seja mais rápida.

O ataque ocorre quando dados são introduzidos na cache do servidor

que não se originaram de outro servidor de nomes DNS com autoridade real.

Tal problema pode ser uma tentativa de ataque malicioso em um servidor de

43

nomes, mas também pode ser o resultado de um erro não intencional de

configuração na cache do servidor DNS.

Quando um servidor DNS recebe dados não autênticos de outros

servidores e armazena os mesmos em sua cache para otimizar o desempenho,

tais dados podem ser falsos e, portanto, podemos ter o envenenamento da

cache do servidor que fornece uma resolução de nome não autêntica para seus

clientes. (WIKIPEDIA, 2013).

3.8.10. Elevação de Privilégios

Segundo o artigo de Vieira (2011) no site VivaoLinux, o termo escalação

ou elevação de privilégio significa basicamente em adicionar mais direitos ou

permissões para um usuário. Em resumo, escalação de privilégios tenta

transformar um usuário normal em um usuário administrativo, usuário com

maior privilégios do que o usuário atual ou fazer com que um usuário participe

de outros grupos locais na máquina, com privilégio diferente do privilégio atual

do atacante.

Quando são explorados alguns serviços, nem sempre o atacante

consegue acesso root (usuário privilegiado do SO Linux). Esse é o caso da

exploração de um PHP Inject, visto aqui anteriormente. Alguns outros exemplos

podem ser usados, como exploração de um processo que não é executado

como root. Portanto, para conseguirmos controlar totalmente a máquina e pode

executar programas que precisam de privilégios de administrador, precisamos

aumentar nosso privilégio localmente.

Porém, a escalação de privilégios não está limitada apenas a aumentar

os privilégios dentro do sistema operacional, mas em qualquer sistema. Por

exemplo, podemos ter um acesso limitado a um servidor de banco de dados

Oracle e desejamos nos tornar DBA, podendo assim acessar todas as tabelas

e bases de dados existentes no banco. O ato de tornar um usuário com mais

privilégios é também chamado de elevação de privilégios. (VIEIRA, 2011).

44

3.8.11. Smurf

Segundo o autor Silva (2010), smurf é um ataque baseado em IP

Spoofing e Broadcast (endereço IP onde todos recebem a informação). Um

único pacote ICMP Echo Request é enviado com destino ao endereço de

broadcast de uma sub-rede na Internet. Todos os computadores naquela sub-

rede respondem para o IP de origem. Nesse caso, o IP de origem deste pacote

de broadcast será trocado (spoofing) pelo endereço IP da vítima escolhida pelo

atacante. Dessa forma, os computadores que receberem o broadcast

responderão com ICMP echo replay para o endereço forjado, contido naquele

broadcast (IP da Vítima). Dependendo do número de computadores existentes

naquela sub-rede, dezenas, centenas ou até milhares de pacotes ICMP echo

replay serão enviados para o endereço IP da vítima, fazendo com que a

conexão da mesma se torne indisponível ou mesmo lenta. Essa técnica pode

ser aplicada em conjunto com vários outros atacantes para que o efeito seja

ainda mais devastador e duradouro. Para a vítima, não há muito que fazer a

não ser contratar o responsável pela sub-rede que esta servindo de

amplificador de Smurf. (SILVA, 2010)

3.9. SISTEMAS DE DETECÇÃO DE INTRUSOS

Segundo a empresa RedHat, um sistema de detecção de intrusão

(Intrusion Detection System, IDS) é um processo ou dispositivo ativo que

analisa as atividades do sistema e da rede e identifica entradas não

autorizadas e/ou atividades maléficas. A maneira como um IDS detecta

anomalias pode variar amplamente; no entanto, o objetivo final de qualquer IDS

é capturar os infratores na ação antes de realmente danificarem seus recursos.

Um IDS protege um sistema de ataques, mal-uso e danos. Também

pode monitorar as atividades da rede, auditar as configurações da rede e do

sistema para detectar vulnerabilidades, analisar integridade de dados e muito

mais. Dependendo dos métodos de detecção que você escolher aplicar, há

diversos benefícios diretos e casuais em utilizar um IDS.

45

Alguns IDSs são baseados no conhecimento, que alertam

prioritariamente os administradores de segurança antes de uma intrusão

ocorrer utilizando um banco de dados de ataques comuns. Alternativamente,

há alguns IDSs comportamentais que rastreiam todos os usos de recursos para

encontrar anomalias, que normalmente são sinais positivos de atividades

maldosas. Alguns IDSs são serviços isolados (standalone) que trabalham por

trás do cenário e monitoram passivamente as atividades, registrando quaisquer

pacotes suspeitos vindos de fora. Outros IDSs combinam ferramentas padrão

de sistema, configurações alteradas e registro de palavras, juntamente à

intuição do administrador e sua experiência em criar um kit de detecção de

intrusão poderoso. Avaliar as diferentes técnicas de detecção pode ajudar a

encontrar uma que seja correta para sua organização.

Os tipos mais comuns de IDSs mencionados na área da segurança são

conhecidos como IDSs baseados em hosts e os baseados em rede. Um IDS

baseado em hosts é o mais detalhado dos dois, envolvendo a implementação

de um sistema de detecção em cada máquina separadamente. Independente

do ambiente de rede no qual a máquina reside, ela está protegida. Um IDS

baseado na rede afunila pacotes através de um único dispositivo antes de

enviá-los a máquinas específicas. IDSs baseados na rede são freqüentemente

encarados como menos detalhados, já que muitas máquinas em um ambiente

móvel impossibilitam uma filtragem e proteção confiável dos pacotes na rede.

(REDHAT, 2005)

46

4. ENTENDENDO OS ATAQUES MITM

A principal diferença entre os ataques MITM e os demais citados acima,

é que estes são considerados ataques de espionagem ativa e o fluxo das

informações de ambas as pontas são desviados para o computador do

atacante. MITM funciona através do estabelecimento de conexões entre as

máquinas das vítimas, transmitindo mensagens entre elas. Neste caso, a vítima

acredita estar se comunicando diretamente com outra vítima, quando na

realidade a comunicação flui através da captura e manipulação da informação

de um ataque. O resultado final é que o atacante não só pode interceptar os

dados sensíveis, mas também pode injetar e manipular um fluxo de dados para

ganhar mais controle de suas vítimas.

4.1. TIPOS DE ATAQUES MITM

Segundo os autores Bryant (?), Sanders (2010) e o site SensePost

(2013) , os principais tipos de ataques MITM, são:

4.1.1. Envenenamento de cache ARP

Todo dispositivo padrão ethernet que também opera na camada 3 do

modelo TCP/IP, há uma tabela chamada ARP, onde ficam armazenadas as

informações sobre o endereço físico (MAC) de seus vizinhos conectados

diretamente e o seu correspondente endereço de rede IP. Esta tabela fica

armazenada em cache em cada host da rede para evitar latência e carga na

rede. Por padrão, esta tabela é atualizada dinamicamente.

A figura 10 mostra como funciona a requisição ARP para a comunicação

entre dois hosts. Repare que o host da esquerda solicita um ARP Request para

todos os hosts do mesmo domínio de broadcast querendo saber qual é o MAC

do IP 192.168.0.1. Todos os hosts recebem a solicitação, mas apenas o host

com IP 192.168.0.1 responde qual é o seu endereço MAC, neste caso o

endereço é 02:02:02:02:02:02.

47

FIGURA 10 - COMUNICAÇÃO ARP

FONTE: WINDOWSECURITY.COM, 2010.

A figura 11 mostra, no cenário chamado Normal Traffic Pattern (Trafego

Padrão), como funciona um farejamento (sniffing) sem o uso de técnica MITM.

Repare que o atacante (sniffer) só conseguirá capturar informações enviadas

ao endereço de broadcast ou ao próprio host do atacante. As demais

comunicações ponto-a-ponto são enviadas diretamente entre o Target

computer e o Router sem o consenso do atacante.

No cenário Poisoned ARP Cache (ARP Cache envenenado), o atacante

se intromete nas requisições ARP e responde às vítimas que o endereço MAC

solicitado corresponde ao seu host. Então os hosts das vítimas passam a

acreditar que a máquina dele é a outra ponta na qual deseja enviar as

48

informações, fazendo o fluxo passar por dentro da máquina do atacante. Com

isto, o invasor consegue capturar todas as informações trocadas entre as duas

pontas.

FIGURA 11 - TRÁFEGO PADRÃO E TRÁFEGO COM ARP ENVENENADO


Segundo a pesquisa, existe um software disponível na Internet chamado

Cain & Abel, onde pode ser reproduzida este tipo de ataque. Como mostra a

figura 12:

49

FIGURA 12 - SOFTWARE CAIN & ABEL


A figura 13 mostra a funcionalidade da ferramenta que possibilita o

ataque de envenenamento de ARP. Neste exemplo os hosts que terão o

tráfego desviado para o atacante são o IP 172.16.16.2 e o IP 172.16.16.149.

FIGURA 13 - HOSTS SELECIONADOS PARA O ATAQUE


50

Usando uma ferramenta de análise de pacotes na rede, pode-se verificar

o ataque sendo feito através da manipulação das respostas ARP entre as

vítimas. Repare na figura 14 que o atacante informou às vítimas que tanto o IP

172.16.16.2 e IP 172.16.16.149 pertencem ao endereço MAC de seu host:

00:21:6a:5b:7d:4a.

FIGURA 14 - ANÁLISE DAS RESPOSTAS ARP DO ATAQUE


4.1.2. DNS Spoofing

DNS Spoofing é uma técnica MITM usado para fornecer falsas

informações de resoluções de nomes a um host cliente no modo que, quando

ele faz uma consulta, por exemplo, tentando saber onde fica o site

www.internetbanking.com.br que esta hospedado no endereço IP

200.200.200.200, é informado um outro endereço IP de um servidor web falso.

Uma cópia do site www.internetbanking.com.br foi hospedada no endereço IP

111.111.111.111 no qual o atacante criou para roubar credenciais bancárias

online e informações de conta de usuários desavisados.

A figura 15 abaixo, mostra uma transação de consulta ao DNS normal:

FIGURA 15 - CONSULTA E RESPOSTA DNS NORMAL


51

Em algumas empresas, há servidores DNS locais apenas para

resolução de nomes da intranet (domínios locais) e os demais nomes da

internet são repassados (forwarding) à outros servidores DNS, geralmente aos

servidores dos provedores de internet (ISP). Nestes casos, a consulta ao DNS

de internet são repassados recursivamente, como mostra a figura 16:

FIGURA 16 - CONSULTA RECURSIVA AO SERVIDOR DNS


Já no cenário onde o ataque acontece, a vítima ao fazer a consulta ao

servidor DNS, o atacante se intromete e responde com uma resolução de

endereço IP diferente, no qual deseja redirecionar o usuário para uma página

falsa para a coleta de informações. Como mostra a figura 17:

FIGURA 17 - CENÁRIO DO ATAQUE DE DNS SPOOFING


52

Repare no cenário acima, que a vítima fez uma requisição legítima ao

site do yahoo.com, porém o atacante respondeu prontamente a vítima

encaminhando-a à outro site, no exemplo, para o chrishacksyourbox.com.

Geralmente estas páginas falsas são um clone das verdadeiras, com o intuito

de não causar qualquer desconfiança às vítimas.

A ferramenta utilizada pelo autor do artigo em WindowSecurity.com para

demonstrar este ataque chama-se EtterCap. A figura 18 mostra um exemplo de

configuração de registros para efetuar um ataque de DNS na vítima, a seguir:

FIGURA 18 - ADICIONANDO REGISTROS NO ETTERCAP


53

Repare que o foi associado o endereço IP 172.16.16.100 para que seja

respondido à vítima quando requisitado ao servidor DNS qual o endereço do

domínio yahoo.com.

Para que o ataque seja bem feito, há a necessidade de fazer o ataque

de envenenamento de cache ARP visto anteriormente. Os parâmetros

utilizados para efetuar o ataque foram:

-T – Especifica que a interface utilizada será modo-texto (modo MS-

DOS);

-q – Roda o aplicativo no modo silencioso, não joga o andamento do

ataque na tela;

-P dns_spoof – Especifica o uso do plugin para o tipo de ataque de

DNS;

-M arp – Inicia o processo com o ataque de envenenamento de ARP

para interceptar os pacotes entre a vítima e o servidor primeiro;

// // - Especifica toda a rede como alvo do ataque;

O comando final com todos os parâmetros foi:

Ettercap.exe –T –q –P dns_spoof –M arp // //

A figura 19 mostra o comando sendo executado no prompt de comando

do MS-DOS:

54

FIGURA 19 - ETTERCAP RESPONDENDO REQUISIÇÕES DNS


Sob o ataque do EtterCap, ao consultar o servidor DNS sobre o

endereço IP do yahoo.com para abrir a página, a vítima é redirecionada

ao IP 172.16.0.122 onde há uma página maliciosa criada pelo atacante,

como pode-se ver na figura 20, a seguir:

FIGURA 20 - RESULTADO DO ATAQUE DNS SPOOFING


55

4.1.3. Rogue DHCP

Rogue DHCP é o termo usado para o tipo de ataque MITM

quando um invasor instala um falso serviço DHCP na rede na qual deseja

atacar. Cada segmento de rede deve conter apenas um servidor DHCP ativo

que irá, como foi citado no item 2.5.2 deste estudo, atribuir automaticamente

aos hosts um endereço IP, o gateway (servidor de saída para a internet) e

quais são os servidores DNSs serão consultados. Neste caso, o falso servidor

irá informar aos hosts que deverão utilizar um falso servidor DNS,

redirecionando as vítimas para páginas falsas como foi visto no item 4.1.2, e/ou

então um falso gateway no qual se deseja receber o fluxo de toda a saída de

dados para que o atacante possa analisar as informações que trafegam para a

fora daquele segmento de rede.

Em uma rede com servidor DHCP legítimo instalado pelo administrador

de rede, as requisições (DHCPDiscovery) chegam ao servidor e a respostas

(DHCPOffer) com os endereços IPs corretos são enviados aos hosts. Como

mostra a figura 21, a seguir:

FIGURA 21 - REQUISIÇÕES E RESPOSTAS DHCP

FONTE: THEBRYANTADVANTEGE.COM, ?

Já no cenário a seguir, o atacante instalou um falso (rogue) servidor

DHCP na rede para responder às requisições dos hosts clientes, conforme a

figura 22:

56

FIGURA 22 - ROGUE DHCP SERVER

FONTE: THEBRYANTADVANTAGE.COM, ?

Nota-se no cenário acima que o falso servidor DHCP responde ao

cliente que ele é o gateway da rede, fazendo com que todo o tráfego de saída

da vítima seja enviada para o atacante.

Não há necessidade de um software específico para este ataque, pode-

se usar um servidor DHCP qualquer, apenas mudando os parâmetros de

configuração como gateway e DNS a interesse do atacante. Este ataque pode

ser usado em conjunto com o Spoofing DNS e SSL Hijacking citados neste

estudo também, para que a vítima acesse páginas falsas e receba certificados

SSL falsos usados nas páginas criptografadas (HTTPS). Neste conjunto, o

ataque se torna mais expressivo.

57

4.1.4. Rogue AP

Rogue AP (Access Point intrujão) é o tipo de ataque MITM que consiste

do atacante instalar um ponto de acesso (access point) para rede sem fio falso,

com o mesmo nome SSID (nome que identifica o ponto de acesso), para que

as vítimas possam se conectar achando que estão conectados no AP legítimo.

Neste ataque, não apenas o SSID é clonado, mas o endereço MAC e

freqüência do canal utilizado pelo AP legítimo. Tudo para que a vítima não

perceba a diferença e conecte-se sem levantar suspeita sobre o ataque.

Além do Rogue AP, o atacante utiliza um conjunto de outros ataques

MITM como o Rogue DHCP para levar os hosts das vítimas à outro gateway ou

DNS de interesse do invasor ou também utilizar o DNS Spoofing. Ainda outros

serviços podem ser clonados, como o Captive Portal, onde as estações

precisam se autenticar antes de iniciar a navegação com a Internet, desta

maneira informações como usuário e senhas são armazenadas para uso do

invasor.

O problema maior é que para efetuar este tipo de ataque o invasor,

diferentemente dos outros ataques MITM, não precisa estar dentro do local

físico da empresa ou escritório onde se deseja atacar. Basta apenas estudar de

uma forma estratégica, onde é o melhor ponto para deixar o Rogue AP para

enviar o sinal mais forte que o AP legítimo para as estações das vítimas.

No cenário, pode-se verificar a topologia do ataque na figura 23, a

seguir:

FIGURA 23 - ROGUE ACCESS POINT CENÁRIO

FONTE: WLANBOOK.COM, 2007.

58

Existem várias ferramentas para reproduzir este tipo de ataque, uma

delas é uma suíte com várias ferramentas em software livre:

airbase-ng;

macchanger;

iw;

A figura 24 mostra a suíte airbase-ng sendo na console do sistema

operacional GNU/Linux para criar um Rogue AP:

FIGURA 24 - CRIANDO UM ROGUE AP COM AIRBASE

FONTE: VIVAOLINUX, 2010.

Os parâmetros utilizados para a criação do Rogue AP são:

- c = canal

-C 30 = permitir balizamento de valores sondados ESSID (em

segundos)

--e = SSID da rede

-v = verbose

mon0 = interface de modo monitor virtual

59

Os dados capturados pelo atacante foram analisados com o

software Wireshark, e informações importantes puderam ser coletadas,

como mostra a figura 25, a seguir:

FIGURA 25 - ANALISANDO DADOS COLETADOS

FONTE: VIVAOLINUX, 2010.

Repare que a matrícula e senha do aluno puderam ser capturadas

através do envio do formulário web utilizando o método GET, pois estavam no

que se chama "texto plano".

4.1.5. Session Hijacking

Session Hijacking, traduz-se do inglês como "Roubo de Sessão" , é um

tipo de ataque MITM onde o invasor se apropria de uma sessão legítima já

estabelecida com o servidor de aplicação e utiliza para acessar o sistema como

se fosse o usuário legítimo.

Uma das técnicas utilizadas para efetuar a captura da sessão é

chamada XSS (Cross-site script attack) onde o invasor cria uma página com

código malicioso feito na linguagem JavaScript que é interpretado pelo

60

navegador e envia o link para a vítima abrir. Ao abrir o link, o código malicioso

lê os cookies/tokens da máquina da vítima, e envia as informações que estão

dentro deles para o atacante. Com estas informações o atacante consegue

acessar o site como se tivesse autenticado legitimamente.

Mas afinal, o que são tokens ou cookies?

Cookies são arquivos com informações que o navegador (browser)

armazena na máquina do cliente pertinentes à autenticação do sistema

acessado. Quando o usuário se autentica em um sistema web, as informações

sobre a autenticação como usuário, senha e horário são armazenados até o

momento em que o usuário se desconecte ou feche a página.

A figura 26 ilustra um ataque de Session Hijacking:

FIGURA 26 - ATAQUE SESSION HIJACKING

FONTE: OWASP.ORG, 2011.

61

Já a figura 27 ilustra um ataque de Session Hijacking utilizando o

método XSS (Cross-site Script):

FIGURA 27 - ATAQUE SESSION HIJACKING COM XSS

FONTE: SHAMPOO.ANTVILLE.ORG, 2007.

Repare que na figura 27, a vítima abriu um link que continha um código

malicioso, onde este código leu as informações sobre sessões de outras

páginas abertas no navegador, e enviou uma cópia destas informações para o

atacante.

4.1.6. SSL Hijacking

SSL em inglês, Secure Socks Layer, é um padrão global de tecnologia

de segurança criado em 1994 pela empresa Netscape, cujo objetivo é criar um

canal criptografado entre o servidor da aplicação e o cliente. A comunicação

estando criptografada entre o cliente e o servidor, qualquer captura de

informação entre os dois é indecifrável, a não ser que se conheça a chave

privada com que a informação foi criptografada.

62

Sabendo-se disto, um invasor que queira capturar informações que

estão neste túnel, deverá utilizar o método de ataque MITM conhecido como

SSL Hijacking. Neste ataque, antes da vítima fechar o canal criptografado

utilizando o conceito de troca de chaves (pública e privada) e recebimento do

certificado do servidor web, o atacante intercepta a comunicação HTTPS,

captura a chave publica do servidor que seria enviado ao cliente e fecha uma

comunicação sem criptografia entre ele e a vítima. Neste caso, o canal foi

segmentado em dois túneis. O primeiro entre o servidor e o atacante (

criptografado ) e o segundo túnel entre o atacante e a vítima ( sem criptografia )

em texto claro.

A figura 28 ilustra o fechamento de canal criptografado entre o cliente e

servidor web usando SSL:

FIGURA 28 - PROCESSO PARA COMUNICAÇÃO HTTPS


Já a figura 29 ilustra um cenário onde o ataque esta acontecendo:

FIGURA 29 - ATAQUE SSL HIJACKING

FONTE: ISMAIL ELTAHAWY, 2013.

63

Note que o atacante recebe todas a requisições que a vítima manda ao

servidor via protocolo HTTP sem criptografia ( texto claro). Já o atacante envia

estas mesmas requisições para o servidor web, porém criptografadas via

HTTPS. Mas antes disto ele salva uma cópia para uma análise posterior dos

dados antes de criptografar. O caminho inverso funciona da mesma forma, o

servidor web responde ao atacante via protocolo HTTPS (criptografado com

SSL) e o atacante abre as informações, salva uma cópia em sua máquina e as

encaminha para a vítima.

Para que este ataque seja efetuado com sucesso, outra técnica MITM

citada anteriormente também deve ser utilizada em conjunto: ARP Poisoning.

Um exemplo de software que pode ser utilizado para efetuar este ataque

é o SSLstrip. A figura 30 mostra a preparação para utilização do SSLstrip.

FIGURA 30 - DESVIANDO O TRÁFEGO DE SAÍDA WEB


No exemplo acima, todos os dados com destinos à porta 80 (páginas

web) serão redirecionados para a porta 6000, que serão utilizadas pelo

SSLstrip, como mostra a figura 31.

64

FIGURA 31 - EXECUTANDO O SSLSTRIP


E por fim, para que o ataque se concretize, a máquina do invasor tem

que fazer o papel de gateway da rede para que os dados sejam interceptados

por ele. Para isto, a técnica ARP Poisoning deve ser usada com o software

Cain & Abel visto anteriormente ou então com a ferramenta Arpspoof. Como

mostra a figura 32, a seguir:

65

FIGURA 32 - FERRAMENTA ARPSPOOF

FONTE: WINDOWSECURITY.COM, 2010

Pronto, os dados entre o servidor web e a vítima estão sendo recebidos

e encaminhados pelo invasor com o uso do SSLstrip.

66

5. MECANISMOS DE PROTEÇÃO À ATAQUES MITM

Evitar um ataque MITM não é tarefa fácil, pois depende de vários

cuidados na implementação dos ativos de rede. O que todos os autores tem

em comum é o uso de serviços criptografados e controle nos acessos à rede

físicos e lógicos.

Segundo o estudo, aponta também, que os seguintes itens devem ser as

boas práticas dos administradores de rede para mitigar e minimizar estes tipos

de ataques.

Todos os itens abaixo devem estar alinhados com a política de

segurança que prevê regras sobre a segurança de uma forma mais global.

5.1. MANTER OS APLICATIVOS E SERVIÇOS SEMPRE ATUALIZADOS

Esta prática faz evitar a exploração de falhas conhecidas, além de novas

implementações que o fabricante aplica, como criptografia e mecanismos de

verificação de autenticidade.

Existe atualmente um novo mecanismo nos servidores web, chamado de

HSTS, sigla em inglês HTTP Strict Transport Security, onde é traduzido como

HTTP Transporte Estritamente Seguro. Este mecanismo funciona apenas se o

navegador (browser) do cliente também tiver suporte, por isto a importância de

estar sempre atualizado. O HSTS faz com que a comunicação entre o servidor

web e o navegador ocorra apenas criptografada, usando HTTPS, e não apenas

isto, que este certificado seja válido, autêntico e emitido por uma autoridade

certificadora confiável. Desta forma se evita o ataque MITM, no qual o atacante

envia certificados falsos auto-assinados para a vítima se passando pelo

servidor web verdadeiro.

Se possível, utilize criptografia em todas as comunicações na

rede, desde consultas ao DNS (DNSSec) a acessos à aplicativos. Os sistemas

de autenticação também devem ser criptografados para que, mesmo o

atacante colete as informações via MITM, não consiga ler o seu conteúdo por

estar indecifrável.

67

5.2. CONTROLE FÍSICO E LÓGICO

Para o atacante conseguir êxito no ataque MITM, primeiramente precisa

ter acesso físico à rede ou comprometer uma máquina para acesso remoto. O

acesso físico deve ser controlado e restrito nos ambientes mais críticos, como

datacenters e racks onde ficam os roteadores e comutadores de rede. Pontos

de rede de parede que não estão sendo utilizados devem ser desativados na

configuração do switch ou patch panel, evitando que sejam utilizados pelo

atacante.

Controle sobre a rede sem fio também deve ser uma prioridade, pois o

atacante não precisa estar dentro da empresa ou residência que deseja atacar,

apenas próximo da área de cobertura do Access Point. Utilizar sempre os mais

atuais algoritmos de criptografia para a rede sem fio, como o WPA2, e senhas

fortes, de preferência com senhas individuais para cada usuário com uso de

hotspots.

Foi visto também que o controle lógico da rede é importante, pois o

ataque de envenenamento ARP utiliza os endereços lógicos da rede.

Importante se ter o controle de endereços MAC nas portas dos switches,

implementando as listas de controles (ACLs), e nos servidores mais críticos

inserir na tabela ARP os endereços IP´s e MAC´s estaticamente.

Ter mapeada toda a topologia de rede afim de tê-la documentada para

uma rápida mitigação sobre as atividades suspeitas na rede.

5.3. NÃO ABRIR MÃO DE FERRAMENTAS DE SEGURANÇA

Além da utilização de software antivírus para verificação de malwares

nos hosts, como boa prática, utilizar também ferramentas que façam a

monitoria dos acessos e comportamentos na rede, utilizando firewalls e os

já citados Sistemas de Detecção de Intrusos (IDS) ou Sistemas de

Prevenção de Intrusão (IPS).

Bloquear os protocolos e serviços que não estão sendo utilizados no

ambiente via regra de firewall. Análise dos logs de serviços, e acompanhar

as tentativas de conexões e autenticação é uma tarefa imprescindível.

68

6. CONCLUSÃO

Através dos resultados das pesquisas para elaboração deste estudo,

conclui-se que a busca por melhorias e conhecimento para combater as

ameaças e ataques virtuais deve ser constante para os administradores de

rede. Os esforços para que a privacidade das informações seja garantida

durante as transmissões e armazenamento, devem ser o objetivo principal de

todos aqueles que colaboram para desenvolvimento e implantação, desde

técnicas e padrões, para que a segurança da informação seja aprimorada.

Foi notado nesta abordagem que os ataques MITM tem um impacto

maior sobre as outras ameaças pois afetam diretamente a privacidade, sendo

que estes coletam informações confidencias e sigilosas através de diversas

técnicas expostas aqui.

Para que se haja um contra ataque ao MITM, deve-se ter bastante

conhecimento na metodologia utilizada pelos atacantes e as falhas sobre a

implantação e desenvolvimento dos serviços informatizados.

Ficou claro também, que muitas vezes não se pode evitar um ataque

MITM, pois muitas variáveis estão envolvidas. Mas deve-se ter em mente de

todos os procedimentos para identificá-los e minimizar o impacto que ele pode

causar às vítimas envolvidas.

69

REFERÊNCIAS

ALECRIM, Emerson. Firewall, conceitos e tipos. 2004. Disponível em: < http://www.infowester.com/firewall.php > Acesso em: 14 de out. 2013. BANRISUL. Tipos de Ataques. ? Disponível em:< http://ww3.banrisul.com.br/internet/bfqzbe2bt.nsf/anexdir/tipos+de+ataque?opendocument > Acesso em 05 dez. 2013. BRYANT, Chris. Understanding And Configuring DHCP Snoopin. ? . Disponível em: < http://www.thebryantadvantage.com/BCMSNCiscoCCNPExamTutorialDHCPSnooping.htm >. Acesso em 30 nov. 2013. BUGALLO, Angela Maria Duran. BARROS, Márcio Almeida. TORRES, Waldeck Ribeiro. Introdução ao DHCP. 1999. Disponível em: < http://www.rnp.br/newsgen/9911/dhcp.html > Acesso em: 15 de out. 2013. CERT.BR. Cartilha de Segurança para a Internet - Códigos Maliciosos. 2012. Disponível em: < http://cartilha.cert.br/malware/ >. Acesso em: 15 nov. 2013. CERT.BR. Criptografia. 2012. Disponível em: < http://cartilha.cert.br/criptografia/ >. Acesso em 19 nov. 2013. DEVMEDIA.COM.BR. SQL Injection: o que é, por que funciona e como prevenir. ? . Disponível em: < http://www.devmedia.com.br/artigo-sql-magazine-23-sql-injection-o-que-e-por-que-funciona-e-como-prevenir/6102 >. Acesso em 10 jan 2014. DUNNING, David. O que é "session hijacking"?. ? . Disponível em: < http://www.ehow.com.br/session-hijacking-info_36188/ >. Acesso em 11 nov. 2013. ELTAHAWY Ismail. Man-in-the-Middle (MitM) Attack + HTTPs strip. 2013. Disponível em: < http://secpack.blogspot.com.br/2013/07/man-in-middle-mitm-attack-https-strip.html >. Acesso em 21 nov. 2013. FAQ INFORMATICA. O que é o TCP/IP e quais as suas camadas? 2010. Disponível em: < http://faqinformatica.com/o-que-e-o-tcpip-e-as-camadas/ >. Acesso em: 18 nov. 2013. GERALDI, Tiago André. Samba PDC no Debian com ClamWin antivírus. 2006. Disponível em: < http://www.guiadohardware.net/artigos/pdc-debian-clamwinestacoes/ > Acesso em 15 de out. 2013. GOOHOST. Como funciona um aplicativo para a Web. 2004. Disponível em: < http://goohost.com.br/curso/1.2.htm >. Acesso em: 15 nov. 2013.

70

IZQUIERDO, Victor Antonio. Afinal o que é Segurança da Informação?. 2007. Disponível em: < http://www.relacionamentodigital.com/afinal-o-que-e-seguranca-dainformacao > Acesso em 22 de out. de 2013. MADDIN. Implementing XSS Immune Session Handling. 2007. Disponível em: < https://shampoo.antville.org/stories/1586524 >. Acesso em 10 jan. 2014. MICROSOFT CORPORATION. O modelo TCP/IP. 2003. Disponível em: < http://technet.microsoft.com/pt-br/library/cc786900%28v=ws.10%29.aspx >. Acesso em: 18 nov. 2013. MONTEIRO, Ricardo Vaz. O que é DNS (e DNSSEC) bem explicadinho. 2007. Disponível em: < http://webinsider.uol.com.br/index.php/2007/10/13/o-que-e-dns-ednssec-bem-explicadinho/ > Acesso 20 de Nov. de 2013. MOREIRA, Ademilson. A Importância da segurança da informação. 2008. Disponível em: < http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_informacao > Acesso em: 14 de set. 2013. MUNHOZ, Felipe. Criptografia. 2011. Disponível em: < http://blog.felipemunhoz.com/criptografia/ >. Acesso em 15 nov. 2013. OWASP.ORG. Session Hijacking Attack. 2011. Disponível em: < https://www.owasp.org/index.php/Session_hijacking_attack >. Acesso em 4 dez 2013. RED HAT. Capítulo 4: Principios gerais da segurança da informação. 2013. Disponível em: < https://access.redhat.com/site/documentation/pt-BR/Red_Hat_Enterprise_Linux/6/html/Security_Guide/chap-Security_Guide-General_Principles_of_Information_Security.html >. Acesso em 28 out. 2013. RED HAT. Red Hat Enterprise Linux 4: Guia de Segurança. 2005. Disponível em: < http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-pt_br-4/ch-detection.html >. Acesso em 10 jan. 2014. ROHR, Altieres. Conheça os diferentes tipos de vulnerabilidades e ataques de hackers. 2010. Disponível em: < http://g1.globo.com/tecnologia/noticia/2010/05/conheca-os-diferentes-tipos-de-vulnerabilidades-e-ataques-de-hackers.html > Acesso em 20 nov. 2013. SANDERS, Chris. Understanding Man-In-The-Middle Attacks - Part 4: SSL Hijacking. 2010. Disponível em: < http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Understanding-Man-in-the-Middle-Attacks-ARP-Part4.html >. Acesso em 20 nov. 2013. SENSEPOST.COM. Rogue Access Points, a how-to. 2013. Disponível em: < https://www.sensepost.com/blog/9460.html >. Acesso em 10 jan. 2014. SILVA, Aldo. Ataque Smurf. 2010. Disponível em: < http://hercules-now.com/2010/11/22/ataque-smurf/ >. Acesso em 22 nov. 2013.

71

TANENBAUM, Andrew S. Redes de Computadores. 4ª ed. São Paulo: Campus. 2003. VALE. Daniel do. Ataque de Rogue AP com AIRBASE-NG. 2010. Disponível em: < http://www.vivaolinux.com.br/artigo/Ataque-de-Rougue-AP-com-AIRBASENG >. Acesso em 18 dez. 2013. VIEIRA, Luiz. Elevação de privilégios locais. 2010. Disponível em: < http://www.vivaolinux.com.br/artigo/Elevacao-de-privilegios-locais >. Acesso em 20 nov. 2013. WIKIPEDIA.ORG. DNS Cache Poisoning. 2011. Disponível em: < http://pt.wikipedia.org/wiki/DNS_cache_poisoning >. Acesso em 15 jan. 2014. WIKIPEDIA.ORG. Historia da Internet. 2012. Disponível em: < http://pt.wikipedia.org/wiki/Historia_da_Internet >. Acesso em 05 nov. de 2013. WIKIPEDIA.ORG. Rede de Computadores. 2011. Disponível em: < http://pt.wikipedia.org/wiki/Rede_de_computadores >. Acesso em 05 nov. 2013. WLANBOOK.COM. WiFi Phishing. 2007. Disponível em: < http://wlanbook.com/wifi-phishing/ >. Acesso em 7 jan. 2014. Y2H4CK. Session Hijacking. 2008. Disponível em: < http://y2h4ck.wordpress.com/2008/01/15/session-hijacking/ >. Acesso em 17 out. 2013.

Documents

UNIVERSIDADE TUIUTI DO PARANÁ DIEGO LOPES DA CRUZtcconline.utp.br/media/tcc/2015/04/Monografia-2014-Diego-Lopes-da... · Topologia de rede em estrela Neste tipo de rede, todos os