Adriano Langaro Carlos Eduardo de Quadros Eduardo Reder

A Segurana uma Iluso, um Estado de Esprito.

O que MITM
o ataque no qual o atacante capaz de ler,
inserir e modificar mensagens entre duas

entidades sem que estas tenham conhecimento

que a ligao entre ambas est comprometida.

Tipicamente o atacante insere-se no meio da

comunicao entre dois postos, fazendo parte

do canal de comunicao.

Entendendo o MITM

Conexo normal Sem Interceptaes

Funciona do modo como o Cliente passa dados ao Servidos e vice-versa

* Engana o Cliente se passando pelo Proxy; * Engana Servidor se passando pelo Cliente * Os dados chegam at o Cracker em texto puro, pois os dois pensam ser confivel.

Tipos de MITM

ARP Poisoning

Envenenamento da tabela ARP que contm os MACs dos hosts. A consequncia desse ato que o roteador mandar os pacotes direcionados ao IP do servidor para a mquina do atacante.

Para executar esse tipo de ataque necessrio que o ARPPoisoning seja realizado inicialmente. A tcnica de ARP-Spoofing aplicada apenas em redes Ethernet.

Modificao do endereo DNS para o endereo IP da estao que efetuar o ataque.

e DNS poisoning ; Port stealing ;

Modificao do endereo default do gateway para o IP do atacante.

e DNS poisoning ;

O atacante inunda a rede com pacotes, cujo endereo IP de origem o da vtima mas com o seu endereo MAC. Assim, quando chegar um pacote com a vtima como destino, o atacante vai receb-lo.

Consiste no atacante modificar as tabelas de routing dos routers quando o routing dinmico, de forma a gerir os encaminhamentos. Para isso injetado pacotes na rede com informaes erradas.

Objetivo deste tipo de ataque redirecionar o trfego de entrada de um router remoto tirando partido dos protocolos de encapsulamento e de criao de tneis virtuais para o trfego.

Forja um ICMP redirect para todos os membro da rede, forando a que todos comuniquem, por exemplo, por ele. Assim o atacante pode receber todas as conexes e possivelmente redirecion-las para o exterior.

Denial of Service (DoS)= negao de um servio. Genericamente trata-se da sobrecarga do servidor,

MAC Flooding; Replay attack; ACK Storm; Eavesdropping / Sniffing; Exploits; Filtering; Hijacking ou Roubo de sesso; TCP;

Consiste em inundar o switch com muitas tramas arp para que o switch no as consiga processar, sendo obrigado a repetir as tramas recebidas para todos os pontos, portando-se como um hub.

Atualiza as tabelas MAC/IP com endereos MAC no existentes, faz com que os pacotes sejam descartados. Se isto for feito em todos os clientes da rede, vai provocar um ataque do tipo denial of service.

 medida que o atacante injeta mais dados, o tamanho da tempestade de pacotes ACK aumenta, decaindo rapidamente a performance da rede.

Consiste na monitorizao do trfego na rede entre um cliente e um servidor, em especial os dados em plain text e as informaes de configurao da rede.

O atacante pode modificar o Payload* do pacote e recalcular o respectivo checksum**de forma a torn-lo vlido.
*Payload, ou carga til, em protocolos de comunicao refere-se ao dado real sendo transmitido. **Checksum um cdigo usado para verificar a integridade de dados transmitidos atravs de um canal com rudos ou armazenados em algum meio por algum tempo.

O atacante aproveita-se de vulnerabilidades existentes em aplicaes, sistemas operativos, protocolos ou algoritmos de segurana, de forma a obter acesso indevido a dados ou sistemas.

O roubo de sesso por parte de um atacante ocorre devido a quase todas as comunicaes serem protegidas no incio do estabelecimento da sesso, e no aps a criao destas. Aproveitando-se disso, o atacante, aps a criao da sesso, efetua o roubo desta no servidor, fazendo-se passar pelo cliente e assumindo a continuidade da sesso.

Uma das principais chaves do TCP a confiana e ordem de entrega de pacotes. Para cumprir isto so usados pacotes de confirmao (ACK) e nmeros de sequncia. A manipulao destes a base para o desvio da sesso TCP.

Anlogo ao TCP, exceto que os atacantes no necessitam de se preocupar com o manuseamento dos nmeros sequenciais. Por isso fcil injetar dados numa sesso sem ser detectado. Jogos do tipo Quake e Half-Life e sesses peer-to-peer so protocolos comuns que funcionam sobre UDP, e so alvos preferidos para este tipo de ataque.

Consiste na insero de dados ou pacotes numa comunicao entre um cliente e um servidor.

O Spoofing consiste em esconder a verdadeira identidade do atacante na rede. De forma a criar uma identidade falsa, o atacante usa um falso endereo de origem que no representa o verdadeiro endereo do pacote. Desta forma pode-se esconder a fonte original de um ataque ou contornar listas de controle de acesso de rede.

Dsniff; Arpspoof; Dnsspoof; Ettercap; Ethereal; SSLSNIF; Entre muitos outros.

Concluso
Para se sentir um pouco protegido, preciso:

Firewall, IDS e IPS de verdade, CONFIGURADOS e AUDITADOS. No adianta s instalar. Manter seguros seus servidores DNS. Adotar tcnicas criptogrficas fortes. Por exemplo IPSec para a camada de rede, SSLv3 para a camada de transporte e PGP para a camada de aplicao.