Um ataque man-in-the-middle é difícil de identificar e se defender. Os ataques MITM dependem do controle das linhas de comunicação entre pessoas, computadores ou servidores. Os ataques man-in-the-middle nem sempre requerem um computador infectado, o que significa que existem várias vias de ataque.
Então, o que é um ataque man-in-the-middle e como você pode evitar ser vítima de um?
O que é um ataque man-in-the-middle?
Os ataques man-in-the-middle (MITM) já existiam antes dos computadores. Esse tipo de ataque envolve um invasor se inserindo entre duas partes que se comunicam. Os ataques man-in-the-middle são essencialmente ataques de interceptação.
Para entender melhor como funciona um ataque man-in-the-middle, considere os dois exemplos a seguir.
Ataque Man-in-the-Middle offline
Um ataque MITM offline parece básico, mas ainda é usado em todo o mundo.
Por exemplo, alguém intercepta sua postagem, lê, reempacota e a envia para você ou para o destinatário original. Então, o mesmo acontece ao contrário quando a pessoa responde a você, com o intermediário interceptando e lendo sua correspondência em cada direção.
Executado corretamente, você não saberá que está ocorrendo um ataque MITM, pois a interceptação e o roubo de dados são invisíveis para você.
Assumir um canal de comunicação entre dois participantes está no cerne de um ataque man-in-the-middle.
Também abre outras vias de engano para o invasor. Se o invasor controlar os meios de comunicação, ele pode modificar as mensagens em trânsito. Em nosso exemplo, alguém está interceptando e lendo a correspondência. A mesma pessoa pode modificar o conteúdo da sua mensagem para perguntar algo específico ou fazer uma solicitação como parte de seu ataque.
Como o MITM controla sua comunicação, ele pode remover quaisquer referências posteriores à pergunta ou ao pedido, deixando você sem saber.
Ataque man-in-the-middle online
Um ataque man-in-the-middle online funciona da mesma maneira, embora com computadores ou outro hardware digital no lugar do antigo correio tradicional.
Uma variante de ataque MITM gira em torno de você se conectar ao Wi-Fi público gratuito em um café. Uma vez conectado, você tenta se conectar ao site do seu banco.
Para o nosso exemplo, você encontra um erro de certificado informando que o site do banco não possui o certificado de criptografia apropriado. Isso alerta para o fato de que algo está errado com a configuração do site do banco e que um ataque MITM está em andamento.
Relacionado: O que é um certificado de segurança de site?
Os certificados de segurança do site ajudam a tornar a web mais segura e segura para transações online. Veja como funcionam os certificados de segurança.
No entanto, muitas pessoas simplesmente clicam nesta mensagem de erro e acessam o site do banco de qualquer maneira. Você entra no portal do banco, envia algum dinheiro, paga algumas contas e tudo parece bem.
Na realidade, um invasor pode ter configurado um servidor e um site falsos que imitam o seu banco. Quando você se conecta ao falso servidor do banco, ele busca a página da web do banco, modifica-a um pouco e a apresenta a você. Você insere seus detalhes de login normalmente, e esses detalhes são enviados para o servidor intermediário.
O servidor MITM ainda faz seu login no banco e apresenta a página normalmente. Mas o servidor intermediário do invasor capturou suas credenciais de login, prontas para exploração.
Nesse cenário, a mensagem de aviso inicial era o erro do certificado de criptografia avisando que a configuração do site não estava correta. O servidor man-in-the-middle não tem o mesmo certificado de segurança que o seu banco, embora possa ter um certificado de segurança de outro lugar.
Tipos de ataques man-in-the-middle
Existem vários tipos diferentes de ataque MITM:
- Spoofing de Wi-Fi: Um invasor pode criar um ponto de acesso Wi-Fi falso com o mesmo nome de uma opção local de Wi-Fi gratuito. Por exemplo, em um café, o invasor pode imitar o nome do Wi-Fi ou criar uma opção falsa chamada "Wi-Fi de convidado" ou semelhante. Depois de se conectar ao ponto de acesso não autorizado, o invasor pode monitorar sua atividade online.
- HTTPS spoofing: O invasor engana seu navegador fazendo-o acreditar que você está usando um site confiável, redirecionando seu tráfego para um site inseguro. Quando você insere suas credenciais, o invasor as rouba.
- Sequestro de SSL: Quando você tenta se conectar a um site HTTP inseguro, seu navegador pode redirecioná-lo para a opção HTTPS segura. No entanto, os invasores podem sequestrar o procedimento de redirecionamento, colocando um link para seu servidor no meio, roubando seus dados e quaisquer credenciais que você inserir.
- Spoofing de DNS: O Sistema de Nome de Domínio ajuda você a navegar na Internet, transformando os URLs em sua barra de endereços de texto legível por humanos para endereços IP legíveis por computador. Uma falsificação de DNS, então, força seu navegador a visitar um endereço específico sob o controle de um invasor.
- Hijacking de e-mail: Se um invasor obtiver acesso à caixa de correio, ou mesmo a um servidor de e-mail, de uma instituição confiável (como um banco), ele poderia interceptar e-mails de clientes contendo informações confidenciais ou até mesmo começar a enviar e-mails como a própria instituição.
Esses não são os únicos ataques MITM. Existem inúmeras variantes que combinam diferentes aspectos desses ataques.
Relacionado: As razões pelas quais seu site precisa de um certificado SSL
HTTPS impede ataques man-in-the-middle?
O cenário acima ocorre em um site de banco que usa HTTPS, a versão segura do HTTP. Assim, o usuário encontra uma tela avisando que o certificado de criptografia está incorreto. Quase todos os sites agora usam HTTPS, que você pode ver representado como um ícone de cadeado na barra de endereço, ao lado do URL.
Por muito tempo, apenas sites que fornecem informações confidenciais foram aconselhados a usar HTTPS. A norma agora mudou, especialmente desde que o Google anunciou que usaria HTTPS como um sinal de classificação de SEO. Em 2014, quando a mudança foi anunciada pela primeira vez, entre 1 a 2 por cento dos principais um milhão de sites globalmente usavam HTTPS. Em 2018, esse número havia disparado, com mais de 50 por cento do um milhão de principais implementando HTTPS.
Usando uma conexão HTTP padrão em um site não criptografado, você não receberia o aviso do nosso exemplo. O ataque man-in-the-middle ocorreria sem qualquer aviso.
Então, o HTTPS protege contra ataques MITM?
MITM e SSLStrip
Sim, HTTPS protege contra ataques man-in-the-middle. Mas há maneiras de os invasores derrotarem o HTTPS, removendo a segurança adicional oferecida à sua conexão por meio de criptografia.
SSLStrip é um ataque man-in-the-middle que força o navegador a permanecer no modo HTTP em vez de começar a usar HTTPS, quando disponível. Em vez de usar HTTPS, SSLStrip "tira" a segurança, deixando você com o velho e simples HTTP.
Você pode nem perceber que algo está errado. Nos dias anteriores ao Google Chrome e outros navegadores implementarem a grande cruz vermelha em sua barra de endereço para notificá-lo de que você está usando uma conexão insegura, SSLStrip fez muitas vítimas. A introdução do cadeado HTTPS gigante certamente torna mais fácil identificar se você está usando HTTPS ou não.
Outra atualização de segurança também prejudicou a eficácia do SSLStrip: HTTP Strict Transport Security.
HTTP Strict Transport Security (HSTS) foi desenvolvido para proteger contra ataques man-in-the-middle, especialmente ataques de downgrade de protocolo como SSLStrip. HSTS é uma função especial que permite que um servidor da web force todos os usuários a interagir com ele apenas usando HTTPS.
Isso não quer dizer que funcione o tempo todo, já que o HSTS só é configurado com o usuário após a primeira visita. Como tal, há uma janela muito pequena onde um invasor poderia teoricamente usar um ataque MITM como SSLStrip antes que o HSTS esteja em vigor.
Isso não é tudo. O ligeiro desaparecimento do SSLStrip deu lugar a outras ferramentas modernas que combinam muitos tipos de ataque MITM em um único pacote.
Malware MITM
Os usuários também devem enfrentar variantes de malware que usam ataques MITM ou vêm com módulos man-in-the-middle. Por exemplo, alguns tipos de malware que visam usuários do Android, como SpyEye e ZeuS, permitem que um invasor escute a comunicação de entrada e saída do smartphone.
Uma vez instalado em um dispositivo Android, um invasor pode usar o malware para interceptar todos os tipos de comunicação. De particular interesse são os códigos de autenticação de dois fatores. Um invasor pode solicitar o código de autenticação de dois fatores em um site seguro e, em seguida, interceptá-lo antes que o usuário possa reagir ou mesmo entender o que está acontecendo.
Como você pode esperar, os desktops também não estão isentos de ameaças. Existem vários tipos de malware e kits de exploração projetados para ataques man-in-the-middle. E isso sem mencionar aquele tempo Lenovo instalou malware habilitado para SSLStrip em seus laptops antes do envio.
Como se proteger contra um ataque de intermediário?
É difícil se defender de um ataque man-in-the-middle. Um invasor tem tantas opções, o que significa que a proteção contra um ataque MITM é multifacetada.
- Use HTTPS: Certifique-se de que todos os sites que você visita usem HTTPS. Já falamos sobre malware SSLStrip e MITM, mas garantir que o HTTPS esteja em vigor ainda é uma das melhores opções de defesa. Para obter uma camada de proteção extra, considere baixar e instalar o Electronic Frontier Foundation's HTTPS em todo lugar extensão do navegador, um dos as melhores extensões de privacidade para o Google Chrome.
- Não ignore os avisos: Se o seu navegador informar que há algo errado com o site que você está visitando, confia. Um aviso de certificado de segurança pode ser a diferença entre oferecer suas credenciais a um invasor e permanecer seguro.
- Não use Wi-Fi público: Se você puder evitar, não use o Wi-Fi público. Às vezes, o uso de Wi-Fi público simplesmente não pode ser evitado. Se você deve usar uma conexão Wi-Fi pública, você deve baixar e instalar uma VPN para adicionar alguma segurança à sua conexão. Além disso, fique atento aos avisos de segurança do navegador ao usar uma conexão Wi-Fi pública. Se o número de avisos do navegador aumentar repentinamente, isso pode indicar um ataque ou vulnerabilidade MITM.
- Execute e atualize o software antivírus: Certifique-se de que seu software antivírus esteja atualizado. Além disso, considere uma ferramenta de segurança adicional, como Malwarebytes. Antes que você pergunte, sim, Malwarebytes Premium vale o dinheiro.
Ataques man-in-the-middle dependendo do comprometimento de suas comunicações. Se você sabe o que esperar e o que procurar, tem uma chance muito maior de evitar ataques MITM. Por sua vez, seus dados permanecerão seguros e firmemente ao seu alcance.
Crédito da imagem: Andy Rennie no Flickr
Veja por que a criptografia WEP não é boa o suficiente e por que você deve parar de usá-la em seus roteadores sem fio em casa.
- Segurança
- Wi-fi
- Segurança Online
Gavin é o Editor Júnior para Windows e Technology Explained, um contribuidor regular do Really Useful Podcast e foi o Editor do site irmão da MakeUseOf, Blocks Decoded. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.
