Tweet
Um Breve sobre Sniffers
O que são sniffers:
A análise de rede
Um “analisador rede” (chamado igualmente analisador de tramas ou em inglês sniffer) é um dispositivo que permite “ouvir” o tráfego de uma rede, quer dizer, capturar as informações.
Com efeito, numa rede não comutada, os dados são enviados a todas as máquinas da rede. Contudo, numa utilização normal, as máquinas ignoram os pacotes que lhes não são destinados. Assim, utilizando o interface rede dum modo específico (chamado geralmente modo "promiscuous") é possível ouvir todo o tráfego que passa por um adaptador rede (uma placa rede ethernet, uma placa rede sem fios, etc.).
Utilização do sniffer
Um sniffer é um instrumento formidável que permite estudar o tráfego de uma rede. Serve geralmente para A grande maioria dos protocolos Internet faz transitar as informações de forma transparente, quer dizer de maneira não cifrada. Assim, quando um utilizador da rede consulta o seu serviço de mensagens através do protocolo POP ou IMAP, ou surfa na Internet em sites cujo endereço não começa por HTTPS, todas as informações enviadas ou recebidas podem ser interceptadas. É assim que sniffers específicos foram afinados por piratas para recuperar as senhas que circulam no fluxo rede.os administradores diagnosticarem os problemas na sua rede, bem como para saber que tráfego há. Assim, os detectores de intrusão (IDS, para intrusion detection system) são baseados num sniffeur para a captura das redes, e utilizam uma base de dados de regras para detectar redes suspeitas.
Infelizmente, como todos os instrumentos de administração, o sniffer pode igualmente ser utilizado por uma pessoa maliciosa que tem um acesso físico à rede para recolher informações. Este risco é ainda mais importante nas redes sem fios, porque é difícil confinar as ondas hertzianas num perímetro delimitado, de modo que pessoas maliciosas podem ouvir o tráfego estando simplesmente na vizinhança.
Os desfiles (não de moda
)
Existem várias maneiras de se precaver contra os incómodos que poderia provocar a utilização de um sniffer na sua rede:
Utilizar protocolos cifrados para todas as comunicações cujo conteúdo possua um nível de confidencialidade elevado.
Como você pode se proteger?
Como detectar um "sniffer" na rede?
Não é fácil, na verdade pode se tornar uma tarefa muito difícil. "Sniffers" são aplicações passivas, não geram nada que possa ser sentido facilmente pelos usuários e/ou administratores. Em geral, não deixam "rastros".
Uma maneira de detectar um "sniffer" é verificar todo os processo em execução. Isto não é totalmente confiável, mas é um bom ponto de partida. Comandos para listar processos em execução variam de plataforma para plataforma. Se você estiver em uma máquina Unix, o "sniffer" aparecerá em uma lista do comando "ps", a menos que este "ps" seja um "trojan" (programa implementado pelo atacante que aparentemente funciona como o esperado, mas efetuar funções desconhecidas pelo usuário).
Uma outra alternativa é procurar por um "sniffer" conhecido. Existe uma grande chance do atacante estar utilizando uma versão "freeware". Obviamente, existe a possibilidade do atacante ter escrito o seu próprio "sniffer" e neste caso a busca fica mais difícil. Você teria que gastar mais tempo em analisar o que pode ter sido alterado pelo atacante. Por exemplo, comparar backup de dias diferentes ou utilizar alguns programas que possam ajudá-lo nesta atividade, como: TripWire, ATP e Hobgoblin que são programas interessantes para checagem da integridade do sistema e arquivos.
"Sniffers" podem ser "escondidos" (ou melhor, "disfaçados") na listagem do "ps" (o próprio "ps" como a maioria dos programas também pode). Basta trocar o argumento do seu argv[0] (o primeiro argumento) para um nome qualquer e não parecerá ser um programa suspeito que esteja em execução.
Alguns utilitários permitem identificar se o seu sistema encontra-se em modo "promiscuous" e levá-lo a encontrar uma máquina suspeita.
O que se está fazendo?
Muitas organizações que estão atentas a este problema utilizam:
Considerando o último ítem, se a sua organização adota e estimula o uso de software que permitam estabelecer sessões de acessos remotos criptografadas, ajudará em muito a tornar seu ambiente mais seguro. Porém, para uma segurança mais efetiva somente quando implementado em TODOS os computadores que você utiliza em sua empresa, em sua casa e nas organizações fora se sua empresa que eventualmente tenha conta.
Uma das tecnologia de encriptação bastante comum atualmente na comunicação segura entre máquina remota é SSH (Secure Shell). O SSH encontra-se disponível para diferentes plataformas. O seu uso não impede que a senha capturada, mas como esta encontra-se criptografada não servirá para o atacante. SSH negocia conexões utilizando algoritmo RSA. Depois que o serviço é autenticado, todo o tráfego subsequente é encriptado utilizando tecnologia IDEA. Este tipo de criptografia é bastante forte.
prT's diz:
Referências: CERT Advisory CA-94:01, Ongoing Network Monitoring Attacks, Feb. 1994
O que são sniffers:
Programas que permitem monitorar a atividade da rede registrando nomes (username, e senhas) sempre que estes acessam outros computadores da rede.
A análise de rede
Um “analisador rede” (chamado igualmente analisador de tramas ou em inglês sniffer) é um dispositivo que permite “ouvir” o tráfego de uma rede, quer dizer, capturar as informações.
Com efeito, numa rede não comutada, os dados são enviados a todas as máquinas da rede. Contudo, numa utilização normal, as máquinas ignoram os pacotes que lhes não são destinados. Assim, utilizando o interface rede dum modo específico (chamado geralmente modo "promiscuous") é possível ouvir todo o tráfego que passa por um adaptador rede (uma placa rede ethernet, uma placa rede sem fios, etc.).
Utilização do sniffer
Um sniffer é um instrumento formidável que permite estudar o tráfego de uma rede. Serve geralmente para A grande maioria dos protocolos Internet faz transitar as informações de forma transparente, quer dizer de maneira não cifrada. Assim, quando um utilizador da rede consulta o seu serviço de mensagens através do protocolo POP ou IMAP, ou surfa na Internet em sites cujo endereço não começa por HTTPS, todas as informações enviadas ou recebidas podem ser interceptadas. É assim que sniffers específicos foram afinados por piratas para recuperar as senhas que circulam no fluxo rede.os administradores diagnosticarem os problemas na sua rede, bem como para saber que tráfego há. Assim, os detectores de intrusão (IDS, para intrusion detection system) são baseados num sniffeur para a captura das redes, e utilizam uma base de dados de regras para detectar redes suspeitas.
Infelizmente, como todos os instrumentos de administração, o sniffer pode igualmente ser utilizado por uma pessoa maliciosa que tem um acesso físico à rede para recolher informações. Este risco é ainda mais importante nas redes sem fios, porque é difícil confinar as ondas hertzianas num perímetro delimitado, de modo que pessoas maliciosas podem ouvir o tráfego estando simplesmente na vizinhança.
Os desfiles (não de moda
)Existem várias maneiras de se precaver contra os incómodos que poderia provocar a utilização de um sniffer na sua rede:
Utilizar protocolos cifrados para todas as comunicações cujo conteúdo possua um nível de confidencialidade elevado.
- Segmentar a rede a fim de limitar a divulgação das informações. É recomendado nomeadamente preferir a utilização de switchs (comutadores) a hubs (concentradores), porque comutam as comunicações, quer dizer que as informações são enviadas unicamente às máquinas de destino.
- Utilizar um detector de sniffer. Trata-se de um instrumento que sonda a rede à procura de materiais que utilizam o modo "promiscuous".
- Para as redes sem fios é aconselhável reduzir a potência dos materiais, de maneira a cobrir apenas a superfície necessária. Isso não impede eventuais os piratas de ouvir a rede, mas reduz o perímetro geográfico no qual têm a possibilidade de o fazer.
Como você pode se proteger?
Não fique pensando que "sniffers" podem tornar toda a Internet insegura. Não é isso. Você precisa ter consciência de onde o risco está, quando você está em risco e o quê fazer para estar a salvo.
Quando você tem seu cartão de crédito roubado ou desconfia que alguém pode estar utilizando-o indevidamente, você cancela o cartão e solicita outro. Da mesma forma, como senhas podem ser roubadas, é fundamental que você a troque regularmente. Esta precaução limita a quantidade de tempo que uma senha roubada possa ser utilizada por um atacante.
Nunca compartilhe sua senha com outros. Este compartilhamento torna difícil saber onde sua senha está sendo utilizada (e exposta) e é mais difícil detectar uso não autorizado.
Nunca forneça sua senha para alguém alegando que precisa acessar sua conta para corrigir algum problema ou quer investigar uma "quebra" do sistema. Este truque é um dos métodos mais eficazes de hacking, conhecido como "engenharia social".
Quando você tem seu cartão de crédito roubado ou desconfia que alguém pode estar utilizando-o indevidamente, você cancela o cartão e solicita outro. Da mesma forma, como senhas podem ser roubadas, é fundamental que você a troque regularmente. Esta precaução limita a quantidade de tempo que uma senha roubada possa ser utilizada por um atacante.
Nunca compartilhe sua senha com outros. Este compartilhamento torna difícil saber onde sua senha está sendo utilizada (e exposta) e é mais difícil detectar uso não autorizado.
Nunca forneça sua senha para alguém alegando que precisa acessar sua conta para corrigir algum problema ou quer investigar uma "quebra" do sistema. Este truque é um dos métodos mais eficazes de hacking, conhecido como "engenharia social".
Como detectar um "sniffer" na rede?
Não é fácil, na verdade pode se tornar uma tarefa muito difícil. "Sniffers" são aplicações passivas, não geram nada que possa ser sentido facilmente pelos usuários e/ou administratores. Em geral, não deixam "rastros".
Uma maneira de detectar um "sniffer" é verificar todo os processo em execução. Isto não é totalmente confiável, mas é um bom ponto de partida. Comandos para listar processos em execução variam de plataforma para plataforma. Se você estiver em uma máquina Unix, o "sniffer" aparecerá em uma lista do comando "ps", a menos que este "ps" seja um "trojan" (programa implementado pelo atacante que aparentemente funciona como o esperado, mas efetuar funções desconhecidas pelo usuário).
Uma outra alternativa é procurar por um "sniffer" conhecido. Existe uma grande chance do atacante estar utilizando uma versão "freeware". Obviamente, existe a possibilidade do atacante ter escrito o seu próprio "sniffer" e neste caso a busca fica mais difícil. Você teria que gastar mais tempo em analisar o que pode ter sido alterado pelo atacante. Por exemplo, comparar backup de dias diferentes ou utilizar alguns programas que possam ajudá-lo nesta atividade, como: TripWire, ATP e Hobgoblin que são programas interessantes para checagem da integridade do sistema e arquivos.
"Sniffers" podem ser "escondidos" (ou melhor, "disfaçados") na listagem do "ps" (o próprio "ps" como a maioria dos programas também pode). Basta trocar o argumento do seu argv[0] (o primeiro argumento) para um nome qualquer e não parecerá ser um programa suspeito que esteja em execução.
Alguns utilitários permitem identificar se o seu sistema encontra-se em modo "promiscuous" e levá-lo a encontrar uma máquina suspeita.
O que se está fazendo?
Muitas organizações que estão atentas a este problema utilizam:
- Placas de redes que não podem ser colocadas em modo "promiscuous". Assim, os computadores não podem ser "apoderados" e transformados em "sniffers".
- Normalmente, a interface Ethernet passa somente pacotes até o protocolo de nível mais alto que são destinados a máquina local. Esta interface em modo promiscuous permite que todos os pacotes sejam aceitos e passados para a camada mais alta da pilha de protocolos. Isto permite que a seleção do que se deseja.
- Pacotes que criptografam dados que transitam pela rede, evitando assim que senhas trafeguem "às claras"
Considerando o último ítem, se a sua organização adota e estimula o uso de software que permitam estabelecer sessões de acessos remotos criptografadas, ajudará em muito a tornar seu ambiente mais seguro. Porém, para uma segurança mais efetiva somente quando implementado em TODOS os computadores que você utiliza em sua empresa, em sua casa e nas organizações fora se sua empresa que eventualmente tenha conta.
Uma das tecnologia de encriptação bastante comum atualmente na comunicação segura entre máquina remota é SSH (Secure Shell). O SSH encontra-se disponível para diferentes plataformas. O seu uso não impede que a senha capturada, mas como esta encontra-se criptografada não servirá para o atacante. SSH negocia conexões utilizando algoritmo RSA. Depois que o serviço é autenticado, todo o tráfego subsequente é encriptado utilizando tecnologia IDEA. Este tipo de criptografia é bastante forte.
prT's diz:
No futuro, a segurança será cada vez mais essencial aos sistemas e nas infraestruturas de redes. Não adianta ter todos os "aparatos" de segurança que você precisa, mas não utilizá-los. Segurança não é algo que se possa garantir totalmente. Lembre-se, ninguém está 100% seguro.
Referências: CERT Advisory CA-94:01, Ongoing Network Monitoring Attacks, Feb. 1994
Comment