Ataques de Rede: Envenenamento de Cache DNS e Man-in-the-Middle
Um ataque de rede simples de conceituar, mas que pode causar muitos danos, é o ataque de envenenamento de cache DNS. Você provavelmente se lembra do curso sobre estruturas e funcionamento das redes de computador... O DNS funciona obtendo informações sobre endereços IP e nomes para facilitar a localização de um site. O ataque de envenenamento de cache DNS funciona enganando um servidor DNS para que ele aceite um registro DNS falso e aponte você para um servidor DNS comprometido. Em seguida, ele fornece endereços DNS falsos quando você tenta acessar sites verdadeiros. E não é só isso, o envenenamento de cache DNS consegue se espalhar para outras redes também. Se outros servidores DNS estiverem obtendo informações de DNS de um servidor comprometido, eles oferecerão essas entradas falsas de DNS para outros hosts.
Há vários anos, houve um grande ataque de envenenamento de cache DNS no Brasil. Parece que os invasores conseguiram envenenar o cache DNS de alguns provedores locais inserindo registros DNS falsos para vários sites populares como Google, Gmail ou Hotmail. Quando alguém tentava visitar um desses sites, recebia um registro de DNS falso e era enviado para um servidor controlado pelo invasor, que hospedava um pequeno applet Java. O usuário era ludibriado e instalavam o applet, que na verdade era um Trojan bancário projetado para furtar dados de acesso a bancos. Este é um exemplo de danos reais que os ataques de envenenamento de cache DNS podem causar.
O ataque "man-in-the-middle" é um ataque que coloca o invasor no meio de dois hosts que acham que estão se comunicando diretamente um com o outro. Esse nome tem que mudar, é claro, pois não são só homens que são hackers. O ataque monitora as informações entre esses hosts e consegue modificá-los no meio do caminho.
Um ataque man-in-the-middle muito comum é o sequestro de sessão ou sequestro de cookies. Digamos que você entre em um site e se esqueça de fazer logout. Você já se autenticou no site e gerou um token de sessão que lhe dá acesso a esse site. Se alguém estiver executando um sequestro de sessão, essa pessoa consegue furtar esse token e se passar por você no site, e ninguém deseja isso. Esta é mais uma razão para pensar em CIA quando o assunto é segurança: sempre tenha certeza de que os dados que você está enviando ou recebendo têm integridade e não estão sendo adulterados.
Outra maneira de fazer um ataque man-in-the-middle é com um "rogue access point". O Rogue AP é um ponto de acesso não autorizado instalado na rede sem o conhecimento do administrador da rede. Às vezes, em ambientes corporativos, pode-se ligar um roteador na rede corporativa para se criar uma rede sem fio simples. Algo inocente, não é? Nada inocente. Isso pode ser muito perigoso e pode dar acesso não autorizado a uma rede segura autorizada. Em vez do invasor conseguir acesso à rede conectando-se diretamente a uma porta de rede, ele podem estar do lado de fora do prédio e entrar pela rede sem fio.
Um último método man-in-the-middle de que falaremos é o chamado de gêmeo do mal. Ele parece com o Rogue AP, mas tem uma diferença pequena, mas importante: a premissa de um ataque gêmeo do mal é você se conectar a uma rede idêntica à sua. Esta rede idêntica é a rede "gêmea do mal" e é controlada pelo nosso invasor. Depois que nos conectamos a ela, nosso tráfego poderá ser monitorado. Me pergunto se Fred Weasley já fez isso com George... Provavelmente não, eles eram magos. É só fazer mágica e pronto. Deve ser legal.
0 Comentários