ataques

Termos comuns de segurança: man-in-the-middle

Antes de tudo, já sabemos que o objetivo das ações de hackers é roubar informações, visando a obtenção de vantagens financeiras. Por isso, eles estão sempre em busca de ataques que os ajudem a chegar nesse objetivo. Um desses ataques é o man-in-the-middle, que veremos neste artigo.

O que vem a ser o ataque man-in-the-middle?

O ataque man-in-the-middle (em português homem-no-meio) é um ataque relativamente fácil de ser realizado, porém super poderoso. Nele envolve a interceptação e escuta de comunicação entre um usuário e uma outra parte envolvida, como um usuário e um sites de compras, por exemplo.

Contudo, nem o cliente quanto o servidor sabem que a conexão está sendo controlada por uma terceira pessoa. O atacante se posiciona no “meio” entre essas duas partes, acessando a informação trocada entre os dois, se passando por uma das partes envolvidas.

Qual sua finalidade?

Um ataque man-in-the-middle bem sucedido, permite ao hacker ver tudo o que é enviado como informações de navegação, detalhes de sua conta e login, senhas, dados financeiros, etc. Além de poder visualizar todas essas informações, ele ainda pode fazer um ataque a confidencialidade e integridade dos dados trafegados, sem que as vítimas percebam. Nesse meio tempo, quando as partes envolvidas derem conta, já será tarde demais.

Essa espionagem para a obtenção de informações pode ser sobre uma determinada vítima, apenas para poder “usá-la” em outros ataques, como também pode ser focada em uma pessoa específica para o roubo de informações mais valiosas ou até mesmo de uma entidade.

Segurança da Informação - Fundamentos
Curso de Segurança da Informação - Fundamentos
CONHEÇA O CURSO

Alguns tipos de ataques man-in-the-middle…

Existem muitas maneiras do hacker se colocar no “meio” e interceptar a comunicação. Eles podem aproveitar os pontos fracos de uma rede ou de qualquer um de seus elementos, fazendo a utilização de IPs, DNS e HTTPS falsos, sequestro de SSL / e-mail e interceptação de Wi-Fi. A seguir veremos alguns tipos de ataques mais comuns:

  • Sequestro de sessão:
    Uma sessão é quando você deve ser autenticado pelo site com seu login e senha. Como o navegador acaba gerando os chamados “cookies de sessão”, estes podem conter informações pessoais, nome de usuário e senhas, que podem ser utilizadas por alguém mal intencionado que esteja no meio de sua rede.

  • DNS spoofing:
    Neste caso, o atacante intercepta o tráfego da rede para capturar uma consulta DNS a fim de modificá-la, fazendo com que a vítima seja direcionada para uma página falsa da internet. Depois de visitar o site falso, o invasor pode obter acesso a suas informações confidenciais e dados pessoais, caso a vítima coloque suas informações ali.

  • ARP Spoofing:
    Também chamado de envenenamento de cache ARP, esse tipo de ataque é eficiente para redes locais, onde o atacante que está conectado na mesma rede, possa espionar o tráfego.
    Quando o usuário enviar uma solicitação de ARP, um hacker fingindo ser um dispositivo, envia uma resposta falsa. Com isso, ele consegue alterar o IP e MAC de destino se colocando no meio da comunicação, sem que a vítima perceba.

  • Stripping SSL:
    Nesse caso o hacker tenta se conectar a um site criptografado, tentando fazer com que ele rebaixe de um site de HTTPS para HTTP, retirando o protocolo SSL da conexão de rede do usuário, servindo para você uma versão desprotegida. Dessa forma, todos seus dados, senhas, etc, chegam descriptografados para ele.

Como se proteger?

O man-in-the-middle é um ataque comum e que pode ser bastante eficiente, pois é de difícil detecção. Além disso o atacante pode vir de qualquer lugar.

Como em vários outros ataques, o importante é se atentar a algumas medidas de segurança, a fim de dificultar a sua execução. Algumas medidas de segurança são:

  • Evitar acessar redes wi-fi públicas;
  • Evitar navegar e principalmente digitar informações em sites que não tenham certificado digital (SSL);
  • Estranhe quando uma URL trocar de HTTPS para HTTP;
  • Tenha um antivírus confiável;
  • Fique atento a e-mails de phishing.

Termos comuns de segurança: DDoS

Continuando com nossa série de artigos sobre os termos comuns de segurança, vamos abordar hoje o DDoS – sigla para Distributed Denial of Service, ou Ataque Distribuído de Negação de Serviços.

O que vem a ser o ataque DDoS?

Antes de tudo, precisamos saber que DDoS é uma derivação de DoS (Denial of Service, ou Negação de Serviço). O ataque DoS envolve somente um atacante, contudo no DDoS já acontece o contrário: ele é um conjunto de ataques DoS, com diversos atacantes.

O ataque DDoS tem como objetivo tirar um serviço (como sites e servidores web em geral) do ar através de uma sobrecarga de requisições de múltiplos computadores ao mesmo tempo. Ao contrário do que muitas pessoas podem pensar, não se trata de um ataque de invasão: os ataques DDoS são apenas para fins de sobrecarga, ou seja, deixar sites sobrecarregados e até mesmo fora do ar.

Como resultado, esse ataque pode causar a interrupção operacional de um serviço por horas ou até dias, o que acaba resultando em prejuízo financeiro e até mesmo dano à reputação de uma organização. É um ataque direto contra a disponibilidade – um dos três pilares da segurança da informação.

Segurança da Informação - Fundamentos
Curso de Segurança da Informação - Fundamentos
CONHEÇA O CURSO

O ataque pode acontecer de uma dessas três formas:

Ataque por inundação

Tem o objetivo de esgotar a largura de banda disponível para o servidor, ou seja, enviar uma quantidade enorme de requisições para esgotar a taxa de largura de banda disponível para aquele serviço;

Ataque por amplificação

Tem o objetivo de fazer com que o servidor esgote os seus recursos computacionais;

Ataque por exploração

Tem o foco na exploração de protocolos que são mal implementados pelas estruturas atacadas. Na maioria das vezes, as brechas se encontram em protocolos baseados no TCP.

Alguns tipos de ataques

– Volumétrico (floods)

Esse é um dos tipos mais básicos, onde o objetivo principal é esgotar a largura de banda do alvo a ser atacado, através de um volume muito grande de requisições.

– UDP Flood

São enviados um grande grupo de pacotes UDP (User Datagram Protocol). Como o servidor tem que responder a todos eles, ainda que sejam solicitações UDP maliciosas, ele acaba ficando mais lento até que uma sobrecarga acaba acontecendo.

– NTP Flood

São enviados pequenos pacotes de dados válidos, porém com IPs falsificados, a fim de executar o NTP (Network Time Protocol). Como o NTP tenta responder às inúmeras solicitações recebidas, pode resultar em inundações de UDP, onde os recursos de rede se esgotam por não suportarem a demanda.

– SYN Flood

Neste ataque é enviado uma sequência de requisições SYN visando uma sobrecarga, também fazendo a utilização de IPs falsos, a fim de consumir os recursos do servidor da vítima, sobrecarregando seus limites de capacidade, tendo como resultado a indisponibilidade de solicitações que realmente são legítimas.

Afinal, tem como se defender?

Definitivamente os hackers não param de fazer ataques, pelo contrário, o número de ataques só vem crescendo. Logo, não temos como saber quando vamos sofrer uma tentativa de ataque. Porém, podemos tomar algumas medidas a fim de se obter uma proteção que previna esse tipo de ataque.

  • Largura de banda: Acima de tudo, uma das medidas mais básicas que podemos investir é em largura de banda, para nos ajudar a lidar com picos de tráfego.

  • Monitoramento de rede: Aqui podemos identificar ataques, analisar o tráfego, o histórico, etc.

  • Proteção remota: Utilizar uma camada extra de proteção, como por exemplo um proxy que fica entre o servidor e os usuários.

Um exemplo de ataque DDoS…

Por fim e não menos importante, vamos ver um ataque DDoS que o GitHub sofreu em 2018, onde ficou indisponível por quase 10 minutos.

Segundo o GitHub, foi um ataque de amplificação usando a abordagem baseada em memcached:

“esse ataque funciona abusando de instâncias armazenadas em cache que estão inadvertidamente acessíveis na Internet pública com o suporte UDP ativado. A falsificação de endereços IP permite que as respostas do memcached sejam direcionadas para outro endereço, como as usadas no GitHub.com, e enviem mais dados para o destino do que o necessário para a fonte não falsificada.”

imagem ataque DDoS github

De antemão, o GitHub publicou este relato em seu blog oficial, onde enfatizaram também que em nenhum momento a confidencialidade ou integridade de seus dados ficaram em risco.

© 2004 - 2019 TreinaWeb Tecnologia LTDA - CNPJ: 06.156.637/0001-58 Av. Paulista, 1765, Conj 71 e 72 - Bela Vista - São Paulo - SP - 01311-200