Ataques Man-in-the-Middle e a importância da Criptografia

6 de setembro de 2022 • Artigos

Mesmo que o roubo de informações de organizações e de seus usuários continue trazendo enormes prejuízos, ainda é bastante comum encontrarmos aplicações e servidores web sem o uso de certificados SSL/TLS para criptografia dos dados, principalmente na rede interna de empresas.

Uma das maneiras mais populares de roubar informações é através de ataques Man-in-the-Middle. Um tipo de ataque super eficiente e que possui uma dificuldade para ser detectado. O ataque man-in-the-middle (MitM) é uma forma criminosa de interceptar a comunicação entre dois hosts para roubar informações, ou seja, aproveita de falhas cibernéticas para agir.

Com o aumento desses crimes cibernéticos, ataques Phishing e campanhas de Engenharia Social cada vez mais sofisticadas, é importante entender o impacto que uma aplicação ou Web Server sem certificado SSL/TLS pode representar caso um agente não autorizado consiga acesso a rede interna da sua organização.

Quando uma conexão HTTP é estabelecida sem o uso de certificado, toda a comunicação trafega em texto plano. Ou seja, um atacante que esteja infiltrado na rede após ter sucesso em um ataque prévio poderá interceptar todo o tráfego destes servidores desprotegidos e dos clientes conectados a eles, tendo acesso integral à comunicação entre os dois dispositivos.

Existem várias técnicas possíveis para impersonificar um host da rede interna e conduzir ataques Man in the Middle como: ICMP Redirect, LLMNR/NBT-NS Poisoning (em redes Windows), DHCP Spoofing e ARP Poisoning. Veremos este último na prática (link abaixo), para que seja possível entender o risco de manter um servidor ou aplicação web com dados sensíveis sem o uso de criptografia.

Na simulação podemos ver dois computadores de uma mesma rede, sendo um computador comprometido por um ATACANTE com IP 192.168.15.4 e um segundo computador de IP 192.168.15.30 sem nenhum comprometimento, que teve seu tráfego interceptado ao visitar um Website sem criptografia.

Através do envenenamento das tabelas ARP, um agente malicioso anuncia para a rede que ele agora é o Gateway, forçando vítimas a enviarem seu tráfego para o computador do Atacante, que por sua vez, redireciona o tráfego para o Gateway e por final para a internet.

Nesse caso, um agente malicioso que esteja infiltrado na rede, com permissão de execução de comandos em qualquer computador, pode facilmente instalar programas como o arpspoof.exe, que o permitirão impersonificar, interceptar e redirecionar o tráfego de outros computadores da rede, realizando a leitura na íntegra de credenciais e demais dados sensíveis de vítimas em texto plano, enviados à Websites e Servidores que não utilizam certificado SSL.

Figura 1 – Ação MITM em tráfego computador e gateway

A imagem exemplifica a interceptação do tráfego entre um computador da rede e o Gateway, porém também seria possível interceptar o tráfego entre quaisquer outros dispositivos da rede, como um cliente e um servidor de um sistema interno, por exemplo.

Sabemos da importância de investir em processos de segurança, pois através dele é possível mitigar riscos de ataques como esses demonstrados acima. É essencial adequar os servidores para que façam uso de certificados SSL/TLS e assim diminuir a superfície de ataque em caso de incidentes e comprometimentos, evitando que agentes maliciosos elevem seus acessos e privilégios para outros Sistemas e Servidores. Salienta Rafael Luís da Silva, Analista de Segurança Ofensiva na Stronit.

A Stronit tem especialistas em cibersegurança que garantem uma estrutura de TI protegida e pronta para detectar possíveis falhas de segurança. Clique e saiba mais sobre os nossos serviços https://stronit.com.br/seguranca-cibernetica

Quer saber mais sobre nossos serviços?

Fale com um dos nossos consultores
de vendas ou envie um e-mail.

[email protected]