Prevenir danos se torna ainda mais complicado quando você não conhece a causa.
Ataques man-in-the-middle, também conhecidos como machine-in-the-middle, monkey-in-the-middle ou person-in-the-middle, causam interrupções onde os usuários geralmente não estão cientes de sua causa. Os atacantes interceptam redes e descriptografam trocas de dados em um ataque man-in-the-middle para explorar os dados da vítima e comprometer a cibersegurança.
Você precisa definir medidas preventivas fortes usando ferramentas como software de criptografia, software de rede privada virtual e outros para se proteger contra ataques man-in-the-middle. Isso ajudará a garantir a segurança da rede e a proteção de dados, enquanto cumpre com vários padrões da indústria.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle (MITM) envolve um perpetrador retransmitindo ou alterando secretamente comunicações entre duas partes, que acreditam que sua comunicação é segura. É um tipo de ataque de escuta onde os atacantes se inserem no 'meio' das trocas de informações e se passam por uma pessoa legítima envolvida na comunicação.
Os atacantes interceptam informações e podem enviar links ou anexos maliciosos para as duas partes envolvidas sem serem detectados.
Os ataques man-in-the-middle podem ser um tipo de ataque de sequestro de sessão que causa danos à cibersegurança de uma organização. Por exemplo, em 2017, a Equifax enfrentou uma violação de dados que levou ao vazamento de dados pessoais de 147 milhões de pessoas. Mais tarde, descobriu-se que o site não usava consistentemente o Hypertext Transfer Protocol Secure (HTTPS), permitindo que os atacantes interceptassem dados em uma sessão de usuário.
As pessoas envolvidas em um ataque man-in-the-middle incluem:
- Pessoa A e Pessoa B: Pessoas legítimas que estão trocando informações.
- Atacante: Perpetradores que interceptam a comunicação entre as duas partes sem despertar suspeitas.
O objetivo principal em um ataque man-in-the-middle é roubar informações sensíveis ou informações pessoalmente identificáveis (números de cartão de crédito, números de segurança social, etc.) e enviar links maliciosos ou malware para uma vítima para explorar ainda mais seus ativos.
Os atacantes podem realizar roubo de identidade ou transferência de fundos não autorizada, e muitas outras atividades maliciosas usando as informações obtidas em um ataque man-in-the-middle. Às vezes, os perpetradores podem usar os dados interceptados para realizar ataques cibernéticos maiores.
Outra forma de ataque man-in-the-middle é um ataque man-in-the-browser. Um atacante intercepta um canal de comunicação entre duas partes legítimas comprometendo um navegador da web usado por qualquer uma delas. Eles exploram vulnerabilidades de segurança ou alteram funcionalidades do navegador para modificar o comportamento do navegador e se inserir no canal de comunicação.
Como funciona um ataque man-in-the-middle?
Um ataque man-in-the-middle envolve duas fases: interceptação e descriptografia. Na fase de interceptação, um atacante intercepta o tráfego do usuário antes que ele chegue ao destino. Uma vez que o tráfego é interceptado, ele é descriptografado para revelar as informações sem alertar as partes legítimas.
Suponha que você receba um e-mail do site do seu banco pedindo para realizar uma atividade urgente. Você clica no link, autentica-se no site que parece ser do seu banco e realiza a tarefa. Aqui, o e-mail foi uma tentativa de engenharia social (phishing) realizada por man-in-the-middle, enganando você para fazer uma tentativa de login em um site malicioso e revelar suas credenciais de login. O atacante pode então usá-las para realizar atividades fraudulentas.
Técnicas de interceptação
A maneira mais simples de um atacante interceptar uma comunicação é criando um ponto de acesso Wi-Fi gratuito e público. Quando as vítimas se conectam a esses pontos de acesso, os atacantes ganham visibilidade sobre as trocas de dados em andamento.
Spoofing é um ataque cibernético que acontece quando um atacante finge ser uma marca ou contato confiável na tentativa de enganar um alvo para revelar informações sensíveis. Os perpetradores podem interceptar trocas de informações através de várias abordagens ativas.
Falsificação de Sistema de Nomes de Domínio (DNS)
Falsificação de DNS, também referida como envenenamento de cache DNS, é uma técnica que os atacantes usam para direcionar usuários a sites maliciosamente criados em vez de genuínos. Envolve explorar vulnerabilidades em um servidor DNS para desviar o tráfego de um servidor legítimo.
O atacante se insere no meio do servidor DNS e do navegador do usuário e faz modificações em ambos para alterar o cache. Isso resulta em um redirecionamento para um site malicioso hospedado no servidor local do atacante.
Quando uma vítima é redirecionada para um site malicioso, ela é solicitada a inserir suas credenciais de login. Isso revela suas informações sensíveis para os atacantes. Além disso, os atacantes podem falsificar e enganar você para instalar malware que pode causar interrupções mais significativas. As organizações podem usar software de segurança DNS para se prevenir contra ataques de falsificação de DNS ou envenenamento de cache DNS.
Falsificação de protocolo de internet (IP)
Os dados são transferidos pela internet na forma de múltiplos pacotes quebrados. Esses pacotes são reagrupados no final para constituir a informação original. Eles têm um endereço IP de origem e um endereço IP de destino. Os atacantes modificam esses endereços na falsificação de IP, enganando o sistema para acreditar que eles estão vindo de uma fonte confiável.
Atores maliciosos usam essa técnica para realizar ataques de negação de serviço (DoS). Também pode ser usada em um ataque man-in-the-middle, onde os atacantes alteram cabeçalhos de pacotes em um IP. Quando os usuários tentam acessar uma URL conectada ao aplicativo web maliciosamente modificado, eles são direcionados para o site do atacante.
Falsificação de Protocolo de Resolução de Endereços (ARP)
Os atacantes enviam uma mensagem ARP falsificada para uma rede local na falsificação de ARP. Isso resulta na vinculação de endereços IP de computadores ou servidores de usuários legítimos aos endereços Mac dos atacantes.
Os ataques de falsificação de ARP só podem acontecer em LANs que usam ARP. Uma vez que o endereço IP do usuário está conectado ao endereço Mac do atacante, qualquer dado transmitido por um usuário para o endereço IP do host estará acessível aos atacantes.
Técnicas de descriptografia
Quando um atacante interceptou a comunicação, o próximo passo é descriptografá-la sem alertar as partes legítimas envolvidas. Existem vários caminhos que os atacantes usam para descriptografar informações.
Exploração de navegador contra SSL/TLS (BEAST)
BEAST permitiu que atacantes man-in-the-middle revelassem informações em sessões criptografadas SSL/TLS 1.0. Os atacantes foram capazes de descriptografar dados ininteligíveis explorando vulnerabilidades teóricas conhecidas. O ataque BEAST forneceu um exemplo de como uma vulnerabilidade teórica mínima, quando combinada com outras fraquezas de segurança, permite que os atacantes elaborem um ataque cibernético prático.
Em um ataque BEAST, atores de ameaça infectam o computador da vítima com Javascripts maliciosos, interceptando cookies de sessão criptografados. Os atacantes então comprometem a encadeamento de blocos de cifra (CBC) para descriptografar cookies e tokens de autenticação.
O que é encadeamento de blocos de cifra?
Encadeamento de blocos de cifra é um modo operacional de um bloco de cifra onde uma sequência de bits é criptografada como um bloco e combinada com o bloco de texto cifrado anterior.
A chave de cifra é aplicável a todo o bloco, e cada bloco depende do anterior para descriptografia. Às vezes, um vetor de inicialização é usado para unir esses blocos de dados criptografados.
No entanto, navegadores modernos não são vulneráveis a ataques BEAST, pois muitos migraram para TLS v1.1 ou superior e implementaram medidas preventivas adicionais.
Sequestro de camada de soquete seguro (SSL)
Sequestro de SSL envolve um atacante passando chaves de autenticação forjadas tanto para o servidor quanto para o cliente. Embora a sessão pareça ser segura, ela é na verdade controlada por um atacante.
O protocolo SSL estabelece uma conexão segura entre um navegador e um servidor usando criptografia. Os atacantes interceptam essa conexão segura e descobrem informações criptografadas inserindo-se entre o servidor e o cliente.
Falsificação de HTTPS
Falsificação de HTTPS envolve um atacante criando um site falso usando um domínio que parece semelhante a um site legítimo. Por exemplo, o ataque (também conhecido como ataque homográfico) consiste em substituir caracteres em nomes de domínio reais por caracteres não ASCII com aparências semelhantes.
Os atacantes também registram seu certificado SSL para disfarçá-lo como um site genuíno. Muitos navegadores permitem a exibição de "nomes de host Punycode" em sua barra de endereço, e as vítimas não estão cientes de que estão acessando um site malicioso.
Além disso, um atacante pode enganar uma vítima para instalar um certificado falso no navegador. Ele contém uma assinatura digital do aplicativo comprometido. O navegador da vítima então verifica o certificado com uma lista de sites confiáveis. Dessa forma, os atacantes podem acessar os dados da vítima antes que sejam transmitidos para o aplicativo.
Despojo de SSL
Despojo de SSL envolve atacantes rebaixando HTTPS para HTTP, permitindo-lhes acessar a comunicação entre o cliente e o servidor em um formato não criptografado.
Quando um cliente faz uma solicitação ao servidor, um atacante a intercepta e a retransmite enquanto faz uma solicitação legítima independente ao servidor. À medida que o servidor responde, o atacante a intercepta e a retransmite para o cliente em um formato não criptografado. O atacante se passa tanto pelo servidor quanto pelo cliente e evita qualquer suspeita na comunicação em andamento.
Por exemplo, um usuário envia uma solicitação para autenticar sua conta bancária. Um atacante intercepta essa solicitação e cria uma solicitação legítima separada para o servidor do banco. Após receber uma resposta do servidor, o atacante retorna uma resposta não criptografada para o usuário com a página de login. O atacante rouba as informações quando o usuário insere suas credenciais de login.
Quer aprender mais sobre Software de Criptografia? Explore os produtos de Criptografia.
O VPN protege contra ataques MITM?
Uma rede privada virtual (VPN) estende uma rede privada através de uma rede pública que permite aos usuários navegar na internet de forma segura e protegida. As organizações geralmente usam software de VPN para fornecer acesso rápido, criptografado e remoto à rede privada de uma empresa.
Usar uma VPN certamente ajudaria a proteger o tráfego entre seu dispositivo e o gateway VPN. Mas uma vez que o tráfego passa pelo gateway VPN, ele pode ser interceptado. Os atacantes não serão capazes de direcionar ataques MITM a usuários individuais, mas ainda podem realizar um ataque indiscriminado contra todos os usuários do site.
Os cibercriminosos têm muitas técnicas para penetrar nas defesas cibernéticas de uma organização. Embora a VPN ofereça proteção substancial contra ataques MITM, ela deve ser acompanhada por uma abordagem abrangente de cibersegurança com software de segurança relevante.
Como detectar um ataque MITM
Os conceitos de cibersegurança estão alinhados mais com a prevenção do que com a detecção. Você deve definir medidas preventivas robustas para prevenir ataques MITM.
Embora os ataques man-in-the-middle sejam mais difíceis de detectar, há muitos sinais que você pode procurar para limitar danos em ataques MITM, incluindo:
- Endereço de site estranho: Se você encontrar algum endereço suspeito, deve ter cuidado, pois pode ser um ataque MITM. Por exemplo, você vê https://faceb00k.com em vez de https://facebook.com; é um possível sinal de um ataque MITM.
- Desconexões repetidas: Os atacantes às vezes desconectam forçadamente os usuários na rede. Quando uma vítima reinsere seu ID de login e senhas, um atacante pode interceptá-los. Sempre que você observar um comportamento inesperado como esses, pode possivelmente sugerir um ataque MITM.
- Usando conexão Wi-Fi não segura: Os atacantes criam redes falsas com IDs semelhantes aos que você conhece e o enganam para usá-los. Eles podem interceptar todo o tráfego que flui por essas redes, colocando seus dados sensíveis em risco. Você deve evitar usar uma rede Wi-Fi não segura e ter cuidado ao usar uma pública.
Certifique-se de que você tenha algum tipo de mecanismo de detecção de adulteração e autenticação de página configurado, e com a ajuda de forense digital, você pode possivelmente detectar um ataque MITM.
Como se proteger contra ataques MITM
Definir medidas preventivas é mais importante do que detectar MITM enquanto está ocorrendo. Você precisa seguir as melhores práticas e ter cuidado.
As melhores práticas para se proteger contra ataques MITM são:
- Sempre conecte-se a um roteador seguro que ofereça um mecanismo de criptografia forte.
- Altere a senha padrão do roteador para evitar que atacantes comprometam seu servidor DNS.
- Use software de VPN para estender uma rede privada sobre uma rede pública e impedir que hackers maliciosos decifrem seus dados.
- Instale um plugin de navegador para impor conexão HTTPS em cada solicitação.
- Use criptografia de chave pública para verificar a identidade de outras entidades com quem você está se comunicando.
- Use criptografia de ponta a ponta para videoconferências e contas de e-mail, e implemente autenticação multifator.
- Configure ferramentas de detecção e remoção de malware e mantenha-as atualizadas.
- Use gerenciadores de senhas para salvar, prevenir e proteger o reuso de senhas.
- Monitore logs para detectar anomalias no tráfego da rede.
- Use DNS sobre HTTPS para se proteger contra ataques de sequestro de DNS.
Prevenir ou se arrepender – a escolha é sua!
Os ataques man-in-the-middle podem causar danos significativos à segurança de dados e podem levar a repercussões legais. Você precisa montar uma defesa robusta contra tais ataques e se manter bem informado e ciente do cenário de ameaças atual.
Mesmo após montar uma defesa forte, se você se tornar uma vítima de um ataque man-in-the-middle, você precisa manter um plano de resposta a incidentes para combater tais situações.
Saiba mais sobre como gerenciar incidentes de segurança e lidar com eles com um plano de ação claro.
Sagar Joshi
Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.
