Entenda o Ataque Man-In-The-Middle e Como Detectá-lo

Entenda o Ataque Man-In-The-Middle e Como Detectá-lo

Você sabe o que é MITM?

O Man-In-The-Middle (em português: Homem no Meio), faz referência ao atacante que intercepta os dados trocados entre duas partes (por exemplo: você e o seu banco). Em uma comunicação normal os dois elementos envolvidos se comunicam entre si sem interferências, através de um meio, que pode ser uma conexão da rede local à Internet. Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante e retransmitida por este de uma forma discricionária, onde o atacante pode decidir retransmitir entre os legítimos participantes os dados inalterados, com alterações ou bloquear parte da informação.

Como os participantes legítimos da comunicação não percebem que os dados estão a sendo adulterados, aceita-os como válidos, fornecendo informações e executando instruções por ordem do atacante.

Dada a definição, vamos ao trabalho …

Examinamos várias maneiras de sniffar o tráfego na rede com ferramentas como: Wireshark, tcpdump, dsniff e outros. Esses pacotes podem ser usados para configurar vários atributos, como o endereço IP de origem e destino, portas, caracteres ASCII no pacote e se tivermos sorte, talvez uma senha ou duas. Normalmente, um sniffer é visualizado como a saída do Wireshark abaixo.

O que nenhuma dessas ferramentas faz é detectar e exibir arquivos gráficos que estão passando pela rede. Isso exigiria que tal ferramenta

  1. Identificar pacotes contendo os binários para uma parte de um arquivo gráfico;
  2. Em seguida, combinar os binários dos pacotes;
  3. E depois exibi-los.

Essa é uma tarefa complexa para qualquer ferramenta fazer.

No entanto, felizmente um cara chamado Chris Lightfoot já pensou nisso e desenvolveu esta ferramenta, que é conhecida como driftnet e podemos encontrá-la dentro do Kali Linux. É verdade que ainda está longe de ser perfeita, mas nos dá a capacidade de sniffar a rede para encontrar imagens, áudio ou MPEG4 e exibi-las em uma janela X.

Na situação de exemplo que vou simular, usarei outras duas ferramentas chamadas bettercap – para auxiliar na detecção dos ativos de rede – e a ferramenta websploit – que atua como um framework agrupando vários módulos – que nos auxiliam a efetuar não só esse, mas vários outros ataques, então se você suspeita que seu vizinho assiste a filmes pornográficos on-line ou ainda que seu colega de trabalho passa muito tempo vendo bobagens na internet ao invés de trabalhar, é possível ter uma ideia geral dos seus gostos e atividades, afinal a ferramenta nos permite ter uma noção exata do que esses usuários estão procurando.

Espero que gostem..

 

CURSOSCONSULTORIA    CONTATO

Anterior Vagas abertas na 4Linux em Brasília: Programador Python e Analista de Infraestrutura
Próxima Campus Party Brasil 12ª edição: Inovação, Ciência e Cultura Digital

About author

Joatham Silva
Joatham Silva 11 posts

Joatham Pedro - Analista de Sistemas Federal, Analista de Segurança/Infraestrutura, Consultoria e Treinamento, Mestre em Sistemas em Computação, - C|EH - C|HFI - EMC - LPIC 3 - CLA - EXIN

View all posts by this author →

Você pode gostar também

Infraestrutura TI

Keycloak: Gerenciamento de Identidade e Acesso para WebApps e Serviços RESTful

O Keycloak [1] é um software open source de gerenciamento de identidade e acesso voltado para WebApps e RESTful web services. Inicialmente desenvolvido em 2014 pela comunidade de JBoss. Em

Segurança

DevSecOps: 6 passos para implementar segurança no desenvolvimento de software

A cultura DevOps se tornou um marco na história da tecnologia, tanto que muitos recrutadores começaram a utilizar este nome até para descrição de vagas. Mas onde fica a segurança

Segurança

Certificação LPIC-3: Domine a Segurança em Servidores Linux

Antes de começar é importante dizer que, a certificação LPIC-3 é o ápice do programa de certificação profissional multinível da LPI – principal órgão certificador de profissionais Linux a nível Global