Tem 'Homem no Meio' do caminho para o banco

Sempre tomamos cuidado quando acessamos um banco ou qualquer outro site seguro e criptografado(com SSL).
Conhecemos os famosos sites clonados e algumas tcnicas ultrapassadas para capturar senhas de usurios. Vou citar
algumas protees que os sites seguros criaram para eitar essas tcnicas.
CRIPTOGRAFIA SSL ! " fato dos seus dados transitarem em forte criptografia entre seu computador e o do banco
impede a tcnica do fare#amento. $ssa tcnica lhe mostraria os pacotes trafegando na rede (mas apenas em redes locais
ou no m%imo comutadas).
TECLADO VIRTUAL ! &mpede programas de monitoramento de teclas. S'o programas que ao serem instalados no
computador da (tima podem capturar diretamente do teclado as teclas digitadas e eni)las por e)mail para o hac*er.
$ssas s'o as duas protees que o banco nos oferece+ alm de que a ,nica prote'o que o usurio t-m normalmente
um anti(rus e no m%imo um fire.all (ferramenta de bloqueio de intrusos).
Sempre tomamos cuidado quando acessamos um banco ou qualquer outro site seguro e criptografado(com SSL).
Conhecemos os famosos sites clonados e algumas tcnicas ultrapassadas para capturar senhas de usurios. Vou citar
algumas protees que os sites seguros criaram para eitar essas tcnicas.
CRIPTOGRAFIA SSL ) " fato dos seus dados transitarem em forte criptografia entre seu computador e o do banco
impede a tcnica do fare#amento. $ssa tcnica lhe mostraria os pacotes trafegando na rede (mas apenas em redes locais
ou no m%imo comutadas).
TECLADO VIRTUAL ) &mpede programas de monitoramento de teclas. S'o programas que ao serem instalados no
computador da (tima podem capturar diretamente do teclado as teclas digitadas e eni)las por e)mail para o hac*er.
$ssas s'o as duas protees que o banco nos oferece+ alm de que a ,nica prote'o que o usurio t-m normalmente
um anti(rus e no m%imo um fire.all (ferramenta de bloqueio de intrusos).
/uito bem+ a tcnica que ou e%plicar aqui diferente de tudo isso. 0lm de ser e%tremamente simples de ser feita+
nenhuma das protees e%istentes ho#e consegue para)la. 1 chamada de /02)&2)34$)/&55L$ (ou homem no meio). &rei
e%plicar o porqu- desse termo.
6uando acessamos o banco+ nossa cone%'o parece dessa maneira7
CL&$23$ ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) S&3$
C020L C8&93":80;05"
&sso significa que meus dados est'o indo em c<digo para o banco e ice)ersa. Se eu tentasse =fare#ar o trfego n'o
conseguiria nada leg(el. 0( entra a tcnica. $u ou redirecionar o trfego do computador do CL&$23$ para o meu e
repassar os seus dados para a pgina real do S&3$ (aten'o+ a pgina real+ n'o clonada) ficando assim7
CL&$23$ )))))))))))))))))))))))))))))) 40C>$8 ))))))))))))))))))))))))))))))))))) S&3$
C8&93":80;&0 C8&93":80;&0
0o fa?er isso+ eu crio duas cone%es criptografadas+ uma com o CL&$23$ e outra com o @02C".
0ssim+ eu fin#o ser o S&3$ para o CL&$23$ e o CL&$23$ para o S&3$. "u se#a+ ou capturar os dados que o CL&$23$ tentar
eniar para o banco e que o S&3$ eniar de olta ao cliente. $ntenda que a criptografia ainda e%iste+ mas como os dois
lados pensam que o programa interceptador seu companheiro de transa'o os dados chegam at o hac*er em te%to
puro.
0bai%o oc- pode er os dados obtidos pelo soft.are espi'o7
Onde enra a a!enica"#o do ceri$icado ne%%a hi%&ria'
" soft.are malicioso utili?a um certificado qualquer . Consequentemente+ um aiso mostrado quando o CL&$23$ tenta
se conectar a um site seguro. /as esse um problema fcil de contornar para o inasor. Como o programa de
intercepta'o age como um seridor pro%A+ o hac*er enia o usurio para um site qualquer.
0ssim pode aproeitar erros de naegadores como o &nternet $%plorer para instalar um pequeno e%ecutel atras de
scripts 0ctieB maliciosos.
"u mesmo utili?ar)se de engenharia social+ eniando um e)mail para o usurio com o lin* para o site malicioso. /aneiras
n'o faltam. "bsere as configuraes aanadas do &nternet $%plorer7
$sse pequeno e%ecutel ent'o faria diersas modificaes no registro do Cindo.s+ desabilitando os aisos em rela'o
aos certificados. 0ssim+ quando o certificado falso for emitido+ nenhuma mensagem ser eniada.
Abai(o )oc* )* a %e"#o do re+i%ro ,!e e%%a% in$orma"-e% $icam %a.)a%/
Como isso funcionaria em um computador dentro de uma rede internaD 0 partir do momento que um =e%ecutel
preparado rodado em um sistema+ toda a rede pode ser comprometida. Vamos falar disso em 4339 3unneling.
4339 3E22$L&2:
&magine a seguinte situa'o7 o hac*er conseguiu e%ecutar o soft.are espi'o no seu sistema mas n'o conseguiu obter
suas senhas do banco. &sso significa que sua cone%'o atras de um pro%A e proaelmente um poderoso filtro de
pacotes. /esmo assim+ o inasor que acesso F sua cone%'o. $%istiria uma maneira para que ele acessasse diretamente
seu microD
Sim+ e%iste. " programa espi'o pode detectar as configuraes de pro%A diretamente do registro (ou se o acesso for de
usurio comum+ pode)se conseguir atras da arredura da rede local).
0ssim+ utili?ando pedidos :$3 e 9"S3 do protocolo 4339 uma cone%'o bi)direcional ai ser estabelecida+ saindo sem
problemas pelo pro%A e retornando atras do fire.all(filtro de pacotes) que dei%a a resposta oltar sem problemas.
@om+ e o anti)(rusD Como o programa espi'o foi criado pelo pr<prio hac*er+ ele n'o ser identificado por nenhuma
ferramenta contra (rus. 0 imagem a seguir ilustra o ataque7
0 partir do momento que a cone%'o bi)direcional estabelecida+ o hac*er t-m acesso direto aos comandos do sistema.
Caso o sistema este#a rodando como um usurio n'o)priilegiado+ o atacante poder se utili?ar de poss(eis falhas do
sistema que podem lear F chamada =elea'o de priilgios . Se a e%plora'o for bem sucedida e o status de
0dministrador for alcanado+ chega a parte final do ataque. Lembre)se de que o hac*er n'o conseguiu obter as senhas de
banco da (tima pois precisaria redirecion)la para um pro%A e%terno. 0gora+ tendo acesso local F rede+ ele pode e%ecutar
uma ferramenta local de man)in)the)middle+ tais como 5S2&;; (Linu%) e C0&2 (Cindo.s). 9ronto. " inasor receber
todas as senhas capturadas ia SSL utili?ando certificados falsos+ alm de capturar o trfego de e)mail+ banco de dados+
etc...
Conramedida%
3anto para o man)in)the)middle local ou remoto+ o problema se origina da mesma maneira.
Como di?em+ a segurana de sua rede igual F segurana do seu elo mais fraco7 o usurio.
$nquanto os usurios n'o)tcnicos n'o tierem um treinamento espec(fico para que n'o caiam
nas tcnicas de $ngenharia Social e aprendam a atuali?ar seu sistema para eitar poss(es
falhas+ sua institui'o ser ulnerel.
6uanto aos administradores+ precisam do treinamento de penetration test. S< assim
descobrir'o os problemas mais ocultos e poder'o se utili?ar de noos conceitos para tornar seus
sistemas mais seguros (e seu trabalho mais pra?eroso).
Marcos Assuncao