O ataque do tipo homem no meio (MITM) é um ataque em que o atacante se posiciona secretamente entre um usuário e um aplicativo e altera as comunicações entre os dois, quando ambos passam a acreditar que estão se comunicando diretamente.

O ataque geralmente tenta roubar informações pessoais, como credenciais de login, detalhes de conta e informações de cartão de crédito etc. e pode ser usado para vários propósitos, incluindo roubo de identidade, transferências fraudulentas de fundos ou alteração de senha.

Interações suscetíveis a ataques MITM

• Sites financeiros - entre login e autenticação

• Conexões destinadas a serem protegidas por chaves públicas ou privadas

• Outros sites que exigem logins, onde há algo a ser ganho com acesso não autorizado.

Como o MITM acontece?

O ataque acontece em duas fases: interceptação e descriptografia.

O invasor intercepta o tráfego do usuário por falsificação de IP, ARP ou de DNS e, em seguida, descriptografa o tráfego SSL sem nenhuma alteração através de vários métodos, como falsificação de HTTPS, BEAST de SSL, sequestro de SSL ou remoção de SSL.

Vamos entender isso em detalhes:

INTERCEPTAÇÃO

A primeira etapa intercepta o tráfego do usuário através da rede do invasor antes de atingir o destino pretendido.

• A falsificação de IP envolve um invasor que se disfarça de aplicativo alterando os cabeçalhos de pacote em um endereço IP. Como resultado, os usuários que tentam acessar um URL conectado ao aplicativo são enviados para o site do invasor.

• A falsificação de ARP é o processo de vincular o endereço MAC de um invasor ao endereço IP de um usuário legítimo em uma rede local usando mensagens falsas de ARP. Como resultado, os dados enviados pelo usuário ao endereço IP do host são transmitidos ao invasor.

• A falsificação de DNS envolve a infiltração em um servidor DNS e a alteração do registro de endereço de um site. Como resultado, os usuários que tentam acessar o site são enviados pelo registro DNS alterado para o site do invasor.

DESCRIPTOGRAFIA

Após a interceptação, qualquer tráfego SSL bidirecional precisa ser descriptografado sem alertar o usuário ou aplicativo.

• A falsificação HTTPS envia um certificado falso ao navegador da vítima assim que a solicitação de conexão inicial a um site seguro é feita. Ele possui uma impressão digital associada ao aplicativo comprometido, que o navegador verifica de acordo com uma lista existente de sites confiáveis. O invasor pode acessar todos os dados inseridos pela vítima antes de serem transmitidos ao aplicativo.

• O SSL BEAST (exploração do navegador contra SSL / TLS) tem como alvo uma vulnerabilidade do TLS versão 1.0 em SSL. Aqui, o computador da vítima está infectado com JavaScript malicioso que intercepta cookies criptografados enviados por um aplicativo da web. Em seguida, o encadeamento de blocos de códigos (CBC) do aplicativo é comprometido para descriptografar seus cookies e tokens de autenticação.

• O seqüestro de SSL ocorre quando um invasor passa chaves de autenticação falsificadas para o usuário e o aplicativo durante um handshake TCP. Isso configura o que parece ser uma conexão segura quando, de fato, o homem no meio controla a sessão inteira.

• A remoção de SSL rebaixa uma conexão HTTPS para HTTP, interceptando a autenticação TLS enviada do aplicativo ao usuário. O invasor envia uma versão não criptografada do site do aplicativo ao usuário, mantendo a sessão segura com o aplicativo. Enquanto isso, toda a sessão do usuário é visível para o invasor.

Como prevenir o ataque MITM?

• Sempre use uma VPN

• Obtenha um bom antivírus

• Use criptografia nos pontos de acesso – preferencialmente WPA2

• Evite conectar-se a redes wi-fi públicas que não são protegidas por senha

• Se conectado a qualquer rede pública, é aconselhável não realizar nenhuma transação financeira

• Preste muita atenção a quaisquer alertas ou mensagens de aviso de que o site é inseguro

• Saia de qualquer aplicativo quando não estiver em uso

• Verifique se o URL do aplicativo que você visita inicia com HTTPS

• Use sempre a autenticação de dois fatores

Autora:

Shivani Sharma

Project Manager na empresa Paralok Information Security Pvt Ltd

Publicado em 4/9/2019

Tradução realizada com autorização da autora

Notas do tradutor:

Falsificação de IP - Técnica usada para obter acesso não autorizado a computadores, pelo qual o invasor envia mensagens para um computador com um endereço IP, indicando que a mensagem é proveniente de um host confiável. Para se envolver na falsificação de IP, um hacker deve primeiro usar uma variedade de técnicas para encontrar um endereço IP de um host confiável e depois modificar os cabeçalhos dos pacotes para que pareça que os pacotes são provenientes desse host.

ARP spoofing - Também conhecido como ARP poison routing (APR) ou ARP cache poison, trata-se de um método de atacar uma LAN atualizando o cache ARP do computador de destino com um pedido ARP forjado e pacotes de resposta em um esforço para alterar o Endereço MAC Ethernet da camada 2 (ou seja, o endereço da placa de rede) para um que o invasor possa monitorar. Uma tentativa bem-sucedida de APR é invisível para o usuário.

SSL BEAST - abreviação de exploração de navegador contra SSL / TLS, o SSL BEAST foi revelado no final de setembro de 2011. Este aproveita os pontos fracos do encadeamento de blocos de código (CBC) para explorar o protocolo SSL (Secure Sockets Layer). A vulnerabilidade do CBC pode permitir ataques MITM (man-in-the-middle) contra SSL para descriptografar e obter silenciosamente tokens de autenticação, fornecendo aos hackers acesso aos dados transmitidos entre um servidor Web e o navegador da Web que acessa o servidor.