10 abr 2013

O que é um Ataque Man-in-the-Middle?

Malware

O objetivo da maioria dos hackers, independente de seus negócios, é roubar informação do usuário. Seja aravés de ataques discretos e individuais ou em grande escala por meio de sites populares e bancos de informação finaceira.  Quase sempre os invasores começam tentando inserir algum vírus na máquina do usuário para depois percorrer um curto caminho até você  e sua informação.  Se por alguma razão este plano der errado, eles poderão utlilizar-se de outro ataque popular conhecido como man-in-the-middle. Como o próprio nome sugere, nesta modalidade o hacker coloca suas armadilhas entre a vítima e sites relevantes, como sites de bancos e contas de email. Estes ataques são extremamente eficientes e difícies  de detectar, especialmente por usuários inexperientes  ou desavisados.

maninthemiddle_b2c_PT

Definição do ataque Man-in-the-Middle

O conceito por trás do ataque MITM é bastante simples e não se restringe ao universo online. O invasor se posiciona entre duas partes que tentam comunicar-se, intercepta mensagens enviadas e depois se passa por uma das partes envolvidas. O envio de contas e faturas falsas poderia ser um exemplo desta prática no mundo offline, o criminoso as envia ao correio das vítimas e rouba os cheques enviados como forma de pagamento. No universo online, os ataques são mais complexos. Apesar de basear-se na mesma idéia o invasor deve permanecer oinadvertido entre a vítima e uma instituição verdadeira para  que o golpe tenha sucesso.

Variantes do ataque MITM

Na forma mais comum de MITM o golpista usa um router WiFi como mecanismo para interceptar conversas de  suas vítimas, o que pode se dar tanto através de um router corrompido quanto através de falhas na instalação de  um equipamento. Numa situação comum o agressor configura seu laptop, ou outro dispositivo wireless, para atuar como ponto de WiFi e o nomea com um título comum em redes públicas . Então quando um usuário se conecta ao “router” e tenta navegar em  sites delicados como de online banking ou comércio eletrônico o invasor rouba suas credenciais.

Num caso recente um hacker usou debilidades na implementação de um sistema criptográfico de uma rede WiFi real  e a usou para capturar informações. Esta é a situação mais incomum mas também a mais lucrativa. Se o agressor for persistente e acessar o equipamento hackeado por dias e horas a fio terá a possibilidade de espiar as sessões de seus usuários silenciosamente fazendo com deixando as vítimas a vontade para usar informações delicadas  durante a navegação.

Uma versão mais recente do ataque MITM é chamada man-in-the-browser. Nesta variável o agressor usa um dos inúmeros métodos para implementar um código daninho no browser do computador de  suas vítimas. O malware silenciosamente grava informações enviadas a vários sites harcodeados. Esta modalidade tem se popularizado ao longo dos anos porque possibilita atacar a um grande volume de usuários por vez e mantém o criminoso a uma distância segura (para ele) de suas vítimas.

Defesas

Existem diferentes maneiras de defender-se dos ataques MITM, mas a maioria delas deve ser  instalada nos routers/servidores e não são 100% seguras. Existe também a técnica que aplica uma criptografia complicada entre o cliente e o servidor. Neste caso o servidor pode identificar-se apresentando um certificado digital para que o cliente possa estabaleça uma conexão criptografica e envie informação delicada através da mesma.  Mas esta possibilidade de defesa depende de que ambos servidores tenham tal criptografia habilitada. Por outro lado, usuários podem proteger-se de ataques MITM evitando conectar-se a WiFi livres ou instalando plug ins  como HTTPS Everywhere or ForceTLS em seu navegador, tais  programas selecionarão apenas conexões seguras, sempre que estas estejam disponíveis. De todas as maneiras, todas esratégias de defesa possuem limitações e há provas de que vírus como SSLStrip ou SSLSniff podem driblar a segurança de conexões SSL.