Artigo_man_in_the_middle.pdf

8/12/2019 Artigo_man_in_the_middle.pdf

1/16

MITM Man-in-The-Middle (Routers MEO)

Carssimos leitores, este artigo visa esclarecer e desmistificar um dos ataquessobejamente empregado em redes de computadores, o ataque Man-in-The-Middle .Este dos ataques mais alarmante numa rede de computadores, por exemplo, a redeWireless do caf que frequentamos com determinada regularidade.

Habitualmente usamos e abusamos de numerosos serviosonline , como o conhecidoFacebook , o Outlook e o Gmail . So servios de Cloud , onde partilhamos esalvaguardamos bastante informao sobre a nossa vida pessoal e profissional, eacedemos-lhes diariamente em qualquer rede de computadores com acesso direto Internet, sem nos preocuparmos efetivamente, com a segurana oferecida pela redelocal.

Numa rede local, o dispositivo responsvel por administrar toda a comunicao entredispositivos o Switch . Ele tem o papel de fazer a distribuio dos pacotes quecirculam na rede, fazendo assim, o seu reencaminhamento emissor destinatrio.Usualmente numa rede de computadores domstica, usado umRouter , pois estedesempenha um papel preponderante de Switching, e no s, tem a capacidade decomunicar com outras redes externas, isto , permite o envio de trfego para alm darede local (tem o papel de Gateway ).

Numa rede cada computador possu um endereo fsico, apelidado deMAC Address .Este endereo nico para cada interface fsica, e identifica por si s umdevice, nestecaso, um computador ou umsmartphone ).


2/16

Para perceber o funcionamento interno de uma rede, necessrio atentar a imagemacima. Os passos bsicos para interligar um computador a uma redeWireless sobastante prticos e descomplicados. Desta forma, necessrio unicamente colocar apalavra-passe de acesso da rede no computador, e de imediato, o acesso prpriarede e Internet passa a ser uma realidade.

Subsiste uma abstrao gigantesca do processo por parte do utilizador. Em seguida,so indicados de forma sequencial alguns dos passos efetuados pelo servidor ou servioDHCP do Router Wireless , quando um novo dispositivo se interliga rede.

1. Quando um computador se interliga rede, este envia um pacote do tipobroadcast, com um pedido de configuraoDHCP .

2. O servidorDHCP verifica quais osIPs disponveis para atribuir ao novo dispositivo.

3. Automaticamente atribu um endereo deIP privado ao dispositivo com determinadoMAC Address ( endereo fsico que o identifica).

Posto isto, o Router sabe permanentemente quem o destinatrio dos pacotes quecirculam na rede. claro que os passos citados anteriormente so um resumo muitosumariado de como este processo efetuado. O importante aqui, compreender deuma forma genrica como isto funciona.

O novo dispositivo envia um pacotebroadcast rede, e neste caso o DHCP do Router

atribu automaticamente um endereo de IP ao dispositivo. ORouter possu ento uma


3/16

ARP Cache , nesta est identificado o endereo fsico (MAC Address ) do dispositivoe de todos os outros j catalogados.

Em cada dispositivo, um computador neste caso concreto, existe tambm uma ARPTable , responsvel por expor quais so os seusMAC Address conhecidos. Esta tabela atualizada de x em x tempo, e o dispositivo aceita e cataloga constantemente novosMAC Address que cheguem at si.Quando um computador deseja enviar uma solicitao para fora da rede, este enviaprimeiramente uma frame encapsulada num pacote para o seu Gateway (Router ),atravs do MAC Address conhecido na sua ARP Table .

Para visualizar esta tabela essencial abrir a linha de comando no Sistema OperativoWindows 7 (o SO usado nesta experiencia), e digitar o comando arp a .

possvel observar o registo referente aoRouter disponibilizado pelo servioMEO, eleest marcado como Dinmico, ou seja, foi atribudo de forma dinmica. Isto querdizer, que o computador recebeu um primeiro pacote a inform-lo que o IP e MACdoRouter eram aqueles, mas ele pode ser alterado. O endereo de IP o 192.168.1.254

com o respetivo endereo fsico sua direita (a4:b1:e9:1d:bb:ac ).Para averiguar que estes endereos so legtimos doRouter , basta introduzir o IP dodispositivo numbrowser comum (foi usado o Opera).


4/16

Como esperado, a pgina delogin do dispostito foi exibida, portanto, o endereoMAC pertence mesmo ao Router Tecnicolor TG784n v3 .

Quando um computador pretende produzir qualquer comunicao, ele enviaprimeiramente um pacote chamado de ARP Request , solicitando o MAC Address dodestino. Se o destino foi oRouter Gateway (192.168.1.254 ), o computador recebe um ARP Reply com a resposta da sua requisio, catalogando essa informao na ARPTable . Esta tabela temporria, e aceita constantemente novas entradas, mesmo queestas sejam duplicadas (e.g., dois MAC Address iguais).

O clebre ataque MIDM tem como objetivo adulterar este ARP Reply , declarandoque o MAC Address do Gateaway ( a4:b1:e9:1d:bb:ac ) na verdade, o MAC Address da sua mquina (bad guy / atacante).

Quando isto acontece, e um indivduo (User na imagem acima) deseja comunicar comoutro fulano conhecido viaFacebook , ou enviar ume-mail atravs do Gmail (Internet ),a comunicao no consumada atravs do trajeto comum (User -> Router ->Internet ), pois existe algum a escutar a ligao ( MITM). De forma engraada, istopode ser entendido como partir a ligao ao meio, e colocar um computador escutaentre o computador que deseja comunicar e o Router . Porm, todo o trafego gerado

pelo computador da vtima (User ) cruza primeiramente o computador do atacante(MITM), e posteriormente feito o reencaminhamento para o Router e tambm paraa Internet .

Como observvel na imagem, ocertificado digital mantido entre a vtima e o servioao qual acede (Facebook ou Google ) falsificado , a autenticidade e integridade perdida , pois o atacante quebra-o efetuando a escuta do trfego ( uma entidadeilegtima).

O processo simples, a vtima remete os dados, o atacante escuta, e reencaminha-ospara o destino, passando primeiramente peloRouter que o Gateway para o exterior.


5/16

Parece uma engenhoca elaborada mas simples. Em seguida apresentada umaexperiencia usando uma rede Wireless com um Router - Tecnicolor TG784n v3 ,cedidos atualmente pela MEO.

SumrioTendo percebido como um computador adquire um endereo deIP numa rede Wireless e como os MAC Address so catalogados, apresentado um pequeno guia delaboratrio, que demonstra como um ataque MITM pode ser efetuado numa redecaseira MEO.

tambm apresentada uma listagem das ferramentas usadas e um esboo da estruturada experincia.

Ferramentas usadas na experincia :

Cain and Abel - uma ferramenta para a recuperao de palavras-passe e para testarvulnerabilidades da rede.

Nmap A funo desta ferramenta o mapeamento da rede e auditoria de seguranaou inventrio de rede, por exemplo. Ele faz a verificao dehosts que estejamdisponveis na rede por meio de pacotes deIP em estado bruto.

Wireshark - O Wireshark uma ferramenta que verifica os pacotes transmitidos pelodispositivo de comunicao (placa de rede, placa de faxmodem , etc.) do computador.

Putty O Putty um programa cliente para protocolos de redeSSH , Telnet e Rlogin .

Estas so as ferramentas usadas na experincia. Pode efetuar odownload das mesmasda Internet . (Neste blog no so disponibilizados quaisquerlinks para download .)

A experincia est dvida em algumas partes, nomeadamente:

1. MITM ARP Poisoning : explicado com algum grau de detalhe esta tcnica. Aexperincia foca-se sobretudo nos resultados obtidos atravs do uso da tcnica.

2. Routers MEO : mencionado o porqu da impossibilidade de usar tcnicadiretamente nos Routers atuais (Sticky MAC Address ).

3. Cain and Abel ARP-Poisoning (spoofing): Aqui exibida uma pequena

experincia com a ferramenta Cain and Abel . No final verificado que oatacante no recebe efetivamente o trfego da vtima, muito por culpa doSticky MAC Address .

4. Wireshark Anlise dos pacotes ARP: Usando a ferramenta Wireshark possvel verificar porque o atacante no recebe o trfego oriundo da vtima.

5. Nmap Verificao de servios: Atravs doNmap existe a possibilidade deefetuar um scan s portas do Router e verificar a disponibilidade de servioscomo oTelnet e FTP.

6. Putty Acesso ao Router: A partir desta ferramenta possvel estabeleceruma comunicao remova viaTelnet com oRouter .

7. Alterao da ARP-Cache (ARP Table): Todos os passos para consolidar a

alterao do MAC Address da vtima pelo MAC Address do atacante somencionados aqui.


6/16

8. Cain And Abel ARP Poisoning Full routing : possvel verificar que aps aalterao dos devidosMAC Address o atacante ( bad guy ) j notificado com otrfego alheio, o da vtima.

9. Wireshark Anlise de trafego: Por fim, possvel verificar viaWireshark queo trfego produzido pela vtima chega placa de rede do atacante, portanto j

possvel sniffar

o trfego alheio. 10. Trusted Certificate : mencionado que qualquer ligaoHTTPS violada, isto, o certificado ilegtimo. perdida a autenticidade e integridade da ligao.

11. Curiosidades sobre comandos do Router: So mencionadas algumascuriosidades acerca doRouter .

1. MITM ARP Poisoning O ataque do tipo ARP-Poisoning (ou ARP-Spoofing ) o meio mais eficiente deexecutar o ataque conhecido por Man-In-The-Middle , que permite que o atacanteintercete informaes confidenciais posicionando-se no meio de uma conexo entredois ou mais dispositivos numa rede.

Este um tipo de ataque no qual uma falsa resposta ARP enviada a uma requisio ARP original. Enviando uma resposta falsa, oRouter pode ser convencido a enviar dadosdestinados ao computador 1 para o computador 2, e o computador por ltimoredireciona os dados para o computador 1. Se o envenenamento ocorre, o computador1 no tem ideia do redirecionamento das informaes. A atualizao dacache docomputador alvo (vtima - computador 1) com uma entrada falsa chamado dePoisoning (envenenamento).

2. Routers MEO Atualmente a MEO um servio usados pela maior parte dos utilizadores em Portugal.Esta experiencia cai neste caso num dosRouters usados por eles, oTecnicolor TG784nv3.

A ferramentaCain and Abel detm um mdulo para ARP-Poisoning . Esta envia pacotes ARP falsificados ao Router , de maneira a receber os dados das vtimas nocomputador de ataque. Porm, e por si s, esta tcnica nos Routers mais atuais, no

funciona, devido aoSticky MAC Address. A ideia a seguinte, o MAC Address de umdispositivo catalogado na ARP Cache do Router na primeira vez que ele se ligar


7/16

rede. Todos os prximosrequests sero ignorados, at o dispositivo se deslaar ousair da rede. uma poltica de forma a evitar ataques de spoofing . Mas o problemapode ser remediado.

3. Cain and Abel ARP-Poisoning (spoofing) Como j referido, osRouters mais atuais no admitem efetuarspoofing diretamente.Vamos ver em seguida.

Acima apresentada uma imagem doCain and Abel . Os marcadores 1,2,3,4 e 5demonstram os passos a seguir.

1. Iniciar o sniffing , isto , a captura de pacotes da rede.2. Selecionar o separador Sniffer. 3. Em seguida abrir o separador Hosts , de maneira a encontrar os hosts

presentes na rede.4. Clicar no boto Adicionar Lista . 5. E por fim OK .

Posteriormente feito um scan rede, e so apresentados os dispositivos atualmentedisponveis (ligados). A imagem a seguir apresenta o cenrio descrito.


8/16

possvel observar osIPs das mquinas e o seuMAC Address . Para continuar e ativaro processo de poisoning (spoofing) indispensvel cumprir os passos indicados a seguir.

1. Aceder ao separador ARP . 2. Clicar no boto Adicionar lista . 3. Na tabela de ARP Routing definir o Router (Hostname : MEO).4. Selecionar todos os dispositivos .5. Prosseguir com OK .

Em seguida o processo despoofing iniciar, mas como j citado, no vai funcionar,devido ao Sticky MAC Address. A tabela ARP Cache no atualizada no Router ,portanto no so recebidos pacotes (trfego produzido pela vtima). A imagem emseguida apresenta esse resultado.

O IP Address do dispositivo 192.168.1.86 ( angiak-pc.lan ) com o MAC Address 48:D2:24:06:67:82 envia pacotes na rede, mas o atacantes no os recebe na suamquina. O Status da ligao deveria ser apresentado como Full-routing c asoeste estivesse a receber o trfego. Na prtica, isto representa que o MAC Address dodispositivo referente aoIP 192.168.1.86 no foi atualizado na ARP Cache do Router .


9/16

4. Wireshark Anlise dos pacotes ARP Uma maneira de comprovar que os pacotes ARP esto sendo enviados aoRouter , e queeste at envia um Reply atravs do uso da ferramenta Wireshark . A imagem abaixoapresenta o envio de um pacote ARP .

possvel observar na frame Ethernet que o destino deste pacote o Router, e afonte o computador do atacante.

Posteriormente ao envio deste pacote imediatamente recebido o Reply , vejamos.

O Reply recebido anexa a seguinte informao: duplicate use of 192.168.1.72detected . Parece que notificado que o atacante tentou duplicar o MAC Address deum dispositivo j registado. portanto essencial fazer a alterao doMAC Address davtima de formamanual no Router .

Ficou provado o que j tinha sido mencionado. O procedimento a efetuarposteriormente, o acesso ao Router (via Telnet ) e alterar o MAC Address da vtimapara o MAC Address do atacante. Futuramente ser comprovado que os pacotes j sorecebidos pelo atacante.


10/16

5. Nmap Verificao de servios sabido partida que o endereoIP do Router o 192.168.1.254 . Fazendo uso daferramenta Nmap , procura-se saber se este tem o servio Telnet escuta (disponvel).

Parece que estamos com sorte, estes Routers tm efetivamente o servio Telnet disponvel. Reparar tambm que aMEO deixa o servioFTP (porto 21) disponvel. Istoacaba por ser um assunto demasiado delicado. Vamostentar no pensar no cenriode controlar o Router do caf que costuma-mos frequentar atravs da nossa casa!

6. Putty Acesso ao Router Tendo verificado que o acesso viaTelnet ao Router est disponvel, o prximo passo aceder-lhe, e efetuar as configuraes necessrias.

So conhecidas algumas credenciais para aceder ao painel de configurao doRouter ,nomeadamente as seguintes:

Username : Administrator ; Password : 3!play

Username : meo ; Password : meo

.Verificando a segunda, por exemplo, na pgina de acesso ao painel, ologin consolidado com sucesso. A imagem em seguida bastante ilustrativa.


11/16

Na verdade esta pgina apenas apresenta algumasopes bsicas , no servem .

Acedendo via Telnet foi apurado que este utilizador meo no um super utilizador ,isto , no possu o privilgio mximo no sistema . Aps alguma pesquisa foi possveldescortinar que o utilizador com os privilgios mximos o seguinte:

Username : sumeo (super user meo)

Password : bfd,10ng

.

Fazendo uso doPutty possvel aceder ao SO do Router , como apresenta a imagemem seguida.


12/16

Por incrvel que parea o acesso foi consolidado. Este o SO doRouter TechnicoloTG784n v3 da MEO.

No sabendo nada sobre os comandos doSO, podemos usar o comando -help paraoferecer alguma ajuda, mas eu sugiro que faamdownload do manual CLI do SO,atravs do link:http://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdf .

Este documento tem toda a informao sobre o Router , os comandos, as suasfuncionalidades, etc. No final da experincia ser discutido um pouco sobre outrasfuncionalidades. Agora, vamos focar-nos no essencial, a alterao da ARP Cache doRouter , onde esto armazenados os MAC Address dos dispositivos da rede.

7. Alterao da ARP Cache (ARP Table) Este o ponto fulcral, a atualizao do MAC Address da vtima, para o MAC Address do atacante, para que este consiga fazer spoofing dos dados.Para tal existem algumas exigncias, nomeadamente uma vtima (o seu IP Address eo respetivo MAC Address ) e o MAC Address do atacante , para que o trafego sejaredirecionado.

Vtima:IP Address : 192.168.1.72

MAC Address : C8:7B:5B:27:DF:CE

Atacante (Bad guy ):

MAC Address : FE-F0-D4-F0-D4-F0

necessrio atualizar oMAC Address da vtimaC8:7B:5B:27:DF:CE, pelo MAC Address do atacante (MITM) FE-F0-D4-F0-D4-F0.

Acedendo novamente aoRouter via Telnet possvel aceder ARP Cache deste usandoos seguintes comandos no terminal.

(sumeo)=>ip

(sumeo)[ip]=>arplist

A imagem em seguida bastante representativa. Nesta apresentadaa ARP Cache doRouter .
http://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdf


13/16

possvel observar na terceira linha com ainterface LocalNetwork e com o IP

Address 192.168.1.72 a vtima.

necessrio alterar o seu MAC Address C8:7B:5B:27:DF:CE para o MAC Address doatacante, nomeadamente o do IP 192.168.1.85 (FE-F0-D4-F0-D4-F0) .

Para realizar a troca existem duas possibilidades.

1. Ligar o Cain and Abel no modo ARP-Poisoning e apagar o MAC Address davtima da ARP Cache . O Cain and Abel encarregar-se- de atualizar a ARPCache , visto que este envia a primeira entrada de um pedido ARP aps o tereliminado.

2. Mantendo o Cain and Abel desligado , eliminar o MAC Address da vtima , evoltar a adicion-lo com o novo MAC Address , o do atacante. Usando esteprocedimento o tipo de entrada na tabela (Type ) seria definida como STATICe no DYNAMIC.

De forma a facilitar o processo foi usada a primeira abordagem. No entanto oscomandos paraadicionar e remover um MAC Address so deixados abaixo.

Para adicionar uma nova entrada:

(sumeo)[ip]=>arpadd intf=LocalNetwork ip=xx hwaddr= xx

.

Para remover uma entrada:

(sumeo)[ip]=> arpdelete intf=LocalNetwork ip=xx hwaddr=xx

.


14/16

Continuando com o processo e procedendo oCain and Abel ativo, time ideal paraeliminar a entrada da ARP Cache do Router . O comando o seguinte.

arpdelete intf=LocalNetwork ip=192.168.1.72 hwaddr=c8:7b:5b:27:df:ce

Aps a execuo do comando e voltando a atualizar a ARP Cache possvel verificarque tanto o IP atacante como o IP vtimapossuem os mesmos MAC Address . Portanto,

o objetivo foi consumado.

8. Cain And Abel ARP Poisoning Full routingVoltando a verificar oCain and Abel possvel verificar que o atacante j recebe otrfego da vtima. O redirecionamento foi conseguido.


15/16

De reparar que o Status j est definido como Full-routing . Com esta poderosaferramenta possvel a partir deste ponto, efetuar bastantes pesquisas, mas nestaexperiencia ficamos por aqui.

9. Wireshark Anlise de trfego Voltando a verificar o trfego que chega placa de rede do atacante, possvelverificar que este j recebe o trfego da vtima. Posteriormente este trfego de novoenviado para oRouter , e feito o reencaminhamento para o exterior (se for esse o seudestino).

A ttulo de curiosidade, at possvel observar que a vtima parece ser uma grandeamante do web-site abola.pt , assinalado na imagem com o marcador 1 e 2.

10. Trusted Certificate

Analisando o trfego gerado pela vtima aps largos minutos, foi possvel observar quea esta tambm usava o servio Facebook . Este proveniente de uma ligao HTTPS e no HTTP . Como j mencionado no incio do artigo, ocertificado violado (autenticidade e integridade). A vtima ao navegar neste servio recebe no seubrowser as seguintes notificaes.

Naturalmente o certificado no vlido, existe algum a escutar a ligao que oquebrou. Esta ser uma notificao sempre presente nobrowser , mas o utilizadorpoder nem sequer se aperceber, se for distrado o suficiente.

11. Curiosidades sobre comandos do Router

Como mencionado acima, no final deste artigo seriam discutidas algumas curiosidadesrelativamente ao Router . Com o total acesso a qualquer dispositivo das redesMEO,


16/16

possvel um utilizador alterar as configuraes, e at brincar um pouco com ofacilitismo.

-Desligar osleds do Router .

possvel personalizar oRouter , ou at fazer dele uma rvore de Natal .

(sumeo):> system qual led value=alloff

O seguinte comando desliga osleds do Router . Mais funcionalidades podem serencontradas no manual j citado, como tambm em links soltos disponveis pelaInternet . O seguinte um exemplo disso.

http://npr.me.uk/telnet.html

Fica um desafio: E porque no configurar oDNS do Router para um servidorDNS instalado no computador do atacante? Desta maneira possvel a criao de pginasclone, por exemplo, do Facebook , e controlar os acessos e os dados pessoais davtima. Fica o desafio.

As redes sem fios so populares mas apresentam desafios de segurana importantes,quer devido a configuraes iniciais muito permissivas, quer devido a vulnerabilidadestecnolgicas.

Convm salientar que o presente artigo visa enriquecer o leitor, e no alimentar aprtica de maus hbitos.

Alguma dvida: [email protected]

http://infptavares.blogspot.pt
http://npr.me.uk/telnet.htmlhttp://npr.me.uk/telnet.htmlmailto:[email protected]:[email protected]:[email protected]://infptavares.blogspot.pt/http://infptavares.blogspot.pt/http://infptavares.blogspot.pt/mailto:[email protected]://npr.me.uk/telnet.html

Documents

Artigo_man_in_the_middle.pdf