Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Capturando (sniffing) dados de redes Wi-Fi inseguras (usando Windows :P )

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Tutorial Capturando (sniffing) dados de redes Wi-Fi inseguras (usando Windows :P )

    (sim, usando Windows! :P )
    Hoje vamos aprender a capturar (realizar sniffing/man-in-the-middle) no tráfego de redes Wi-Fi inseguras ao seu redor.
    Não vamos mostrar, aqui, como descriptografar tráfego SSL (HTTPS, FTPS etc.) pois isso já seria assunto para outro tutorial. Vamos ver, aqui, como obter o tráfego das máquinas na rede Wi-Fi, lendo os dados trafegados. Como vamos utilizar um sniffer simples, não há como alterar os dados, apenas lê-los.
    Vale, também, ressaltar que alguns roteadores já são protegidos contra esse tipo de ataque, e alguns antivírus/firewalls (normalmente pagos, com assinatura) já possuem serviço VPN, que criptografa, de forma aparentemente segura, o tráfego.
    Vamos às tools!
    É importante lembrar que, apesar de máquinas 64 bits conseguirem executar aplicações 32 bits (mas não o inverso), o Microsoft Network Monitor realiza verificação de arquitetura, isto é, você se sua máquina for 64 bits, você não conseguirá instalar a versão 32 bits (e vice-versa). O SmartSniff, por sua vez, consegue rodar independente da arquitetura, mas para essa funcionalidade, é necessário que a arquitetura do SmartSniff seja a mesma do Network Monitor. Ou seja, se sua máquina é 64 bits, baixe as versões 64 bits de ambos os aplicativos.

    Após instalar o Network Monitor e descompactar o SmartSniff, inicie o SmartSniff (eu sei que o texto está repetido, mas é para não haver dúvidas) em modo administrador. Se abrirá a janela principal do programa. No menu "Options", acesse "Capture Options".

    Na janela que se abre, selecione a opção "Network Monitor Driver 3.x" (se essa opção estiver escurecida/desabilitada, preste atenção à regra da arquitetura, pois você pode estar usando a versão 32 bits em uma máquina 64 bits). Em seguida, clique em "Wifi Monitor Mode".

    Abrirá uma janela que pertence ao Network Monitor. Nesta janela, em "Select adapter", selecione a sua interface de rede (normalmente você terá apenas uma, e com um nome beeeem sugestivo). Ative o "Switch to Monitor Mode" e selecione a opção "Scan on layer(s) and channel(s)". Na lista de canais e camadas, verifique se todas estão selecionadas. Note que há um aviso dizendo que o modo monitor irá interromper sua conexão Wi-Fi, isto é, enquanto você estiver capturando o tráfego dos outros usuários, você não terá acesso a internet pela interface de rede sem fio a que você está atacando.

    Após realizar isso tudo, clique em "Apply", mas não feche a janela "WiFi Scanning Options". Volte para a janela de opções do SmartSniff sem fechar essa janela. Na lista de interfaces, selecione a interface que você está atacando (estará identificada pelo seu IP interno). Finalmente, clique em OK.

    De volta à janela principal do SmartSniff, ainda sem fechar a janela do Network Monitor, clique no botão "Play verde" para iniciar a captura. Vizinhos, we're watching you!

    A captura inicia e logo começam a chegar os primeiros dados. Se você ficou um bom tempo e nada chegou, das 4, uma:
    • Pare a capture, abra Options > Capture settings novamente e selecione, novamente, a interface, dando OK e iniciando a captura novamente.
    • Certifique-se de que haja uma rede Wi-Fi insegura ao seu redor, que sua máquina alcance (não é necessário conectar-se nela).
    • Certifique-se de que há redes Wi-Fi ao seu redor!
    • Vá ao aeroporto, ao colégio ou ao restaurante da esquina. Lugares com Wi-Fi público.
    É importante verificar a coluna "Remote Port". Porta 443 é HTTPS, estará criptografado. Como o povo passa a maior parte do tempo vagabundando no Facebook, é comum ver bastante conexões a portas 443. Porta 80 é HTTP e está livre para leitura Obviamente você não verá páginas, mas sim os requests (cabeçalhos HTTP) e os códigos HTML (et al) das páginas. Existem várias portas (identifiquei, por exemplo, a porta 53 sendo usado pelo antivírus Kaspersky). Não há como saber quem é aquele usuário diretamente. Veja uma conexão à porta 8080:
    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    Aqui vemos que o usuário acessou o arquivo /mercurio.html do host tm.uol.com.br. Isso quer dizer que o endereço acessado foi: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... . Acessando, vemos que se trata do "UOL Tag Manager". A URL de referência (página em que o usuário estava ao fazer esse request) é Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., o que dá a entender que se trata apenas da atualização de uma nuvem de tags, ou coisa parecida (não costumo visitar o UOL). Também vi requests para o Globo.com e para os resultados da loteria (mais sorte na próxima, caro vizinho). Seria a hora de surpreender o vizinho (ou a vizinha), tendo nas mãos o histórico dela? Espere, só, até o filho do seu vizinho estar sozinho em casa.
    O SmartSniff, apesar de (bem) simples, possui interessante recursos de filtragem. É legal aprender a usá-lo a fundo!
    Este material pode ser compartilhado, desde que os devidos créditos sejam dados.



    Notify-list · Twitter · Blog

    Nova lei: Invadir computadores protegidos é crime.
    Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)

  • Font Size
    #2
    Vlw aê, muito bem explicado!!! Me ajudou muito

    Comment

    X
    Working...
    X