Upload
infptavares
View
219
Download
0
Embed Size (px)
Citation preview
8/12/2019 Artigo_man_in_the_middle.pdf
1/16
MITM Man-in-The-Middle (Routers MEO)
Carssimos leitores, este artigo visa esclarecer e desmistificar um dos ataquessobejamente empregado em redes de computadores, o ataque Man-in-The-Middle .Este dos ataques mais alarmante numa rede de computadores, por exemplo, a redeWireless do caf que frequentamos com determinada regularidade.
Habitualmente usamos e abusamos de numerosos serviosonline , como o conhecidoFacebook , o Outlook e o Gmail . So servios de Cloud , onde partilhamos esalvaguardamos bastante informao sobre a nossa vida pessoal e profissional, eacedemos-lhes diariamente em qualquer rede de computadores com acesso direto Internet, sem nos preocuparmos efetivamente, com a segurana oferecida pela redelocal.
Numa rede local, o dispositivo responsvel por administrar toda a comunicao entredispositivos o Switch . Ele tem o papel de fazer a distribuio dos pacotes quecirculam na rede, fazendo assim, o seu reencaminhamento emissor destinatrio.Usualmente numa rede de computadores domstica, usado umRouter , pois estedesempenha um papel preponderante de Switching, e no s, tem a capacidade decomunicar com outras redes externas, isto , permite o envio de trfego para alm darede local (tem o papel de Gateway ).
Numa rede cada computador possu um endereo fsico, apelidado deMAC Address .Este endereo nico para cada interface fsica, e identifica por si s umdevice, nestecaso, um computador ou umsmartphone ).
8/12/2019 Artigo_man_in_the_middle.pdf
2/16
Para perceber o funcionamento interno de uma rede, necessrio atentar a imagemacima. Os passos bsicos para interligar um computador a uma redeWireless sobastante prticos e descomplicados. Desta forma, necessrio unicamente colocar apalavra-passe de acesso da rede no computador, e de imediato, o acesso prpriarede e Internet passa a ser uma realidade.
Subsiste uma abstrao gigantesca do processo por parte do utilizador. Em seguida,so indicados de forma sequencial alguns dos passos efetuados pelo servidor ou servioDHCP do Router Wireless , quando um novo dispositivo se interliga rede.
1. Quando um computador se interliga rede, este envia um pacote do tipobroadcast, com um pedido de configuraoDHCP .
2. O servidorDHCP verifica quais osIPs disponveis para atribuir ao novo dispositivo.
3. Automaticamente atribu um endereo deIP privado ao dispositivo com determinadoMAC Address ( endereo fsico que o identifica).
Posto isto, o Router sabe permanentemente quem o destinatrio dos pacotes quecirculam na rede. claro que os passos citados anteriormente so um resumo muitosumariado de como este processo efetuado. O importante aqui, compreender deuma forma genrica como isto funciona.
O novo dispositivo envia um pacotebroadcast rede, e neste caso o DHCP do Router
atribu automaticamente um endereo de IP ao dispositivo. ORouter possu ento uma
8/12/2019 Artigo_man_in_the_middle.pdf
3/16
ARP Cache , nesta est identificado o endereo fsico (MAC Address ) do dispositivoe de todos os outros j catalogados.
Em cada dispositivo, um computador neste caso concreto, existe tambm uma ARPTable , responsvel por expor quais so os seusMAC Address conhecidos. Esta tabela atualizada de x em x tempo, e o dispositivo aceita e cataloga constantemente novosMAC Address que cheguem at si.Quando um computador deseja enviar uma solicitao para fora da rede, este enviaprimeiramente uma frame encapsulada num pacote para o seu Gateway (Router ),atravs do MAC Address conhecido na sua ARP Table .
Para visualizar esta tabela essencial abrir a linha de comando no Sistema OperativoWindows 7 (o SO usado nesta experiencia), e digitar o comando arp a .
possvel observar o registo referente aoRouter disponibilizado pelo servioMEO, eleest marcado como Dinmico, ou seja, foi atribudo de forma dinmica. Isto querdizer, que o computador recebeu um primeiro pacote a inform-lo que o IP e MACdoRouter eram aqueles, mas ele pode ser alterado. O endereo de IP o 192.168.1.254
com o respetivo endereo fsico sua direita (a4:b1:e9:1d:bb:ac ).Para averiguar que estes endereos so legtimos doRouter , basta introduzir o IP dodispositivo numbrowser comum (foi usado o Opera).
8/12/2019 Artigo_man_in_the_middle.pdf
4/16
Como esperado, a pgina delogin do dispostito foi exibida, portanto, o endereoMAC pertence mesmo ao Router Tecnicolor TG784n v3 .
Quando um computador pretende produzir qualquer comunicao, ele enviaprimeiramente um pacote chamado de ARP Request , solicitando o MAC Address dodestino. Se o destino foi oRouter Gateway (192.168.1.254 ), o computador recebe um ARP Reply com a resposta da sua requisio, catalogando essa informao na ARPTable . Esta tabela temporria, e aceita constantemente novas entradas, mesmo queestas sejam duplicadas (e.g., dois MAC Address iguais).
O clebre ataque MIDM tem como objetivo adulterar este ARP Reply , declarandoque o MAC Address do Gateaway ( a4:b1:e9:1d:bb:ac ) na verdade, o MAC Address da sua mquina (bad guy / atacante).
Quando isto acontece, e um indivduo (User na imagem acima) deseja comunicar comoutro fulano conhecido viaFacebook , ou enviar ume-mail atravs do Gmail (Internet ),a comunicao no consumada atravs do trajeto comum (User -> Router ->Internet ), pois existe algum a escutar a ligao ( MITM). De forma engraada, istopode ser entendido como partir a ligao ao meio, e colocar um computador escutaentre o computador que deseja comunicar e o Router . Porm, todo o trafego gerado
pelo computador da vtima (User ) cruza primeiramente o computador do atacante(MITM), e posteriormente feito o reencaminhamento para o Router e tambm paraa Internet .
Como observvel na imagem, ocertificado digital mantido entre a vtima e o servioao qual acede (Facebook ou Google ) falsificado , a autenticidade e integridade perdida , pois o atacante quebra-o efetuando a escuta do trfego ( uma entidadeilegtima).
O processo simples, a vtima remete os dados, o atacante escuta, e reencaminha-ospara o destino, passando primeiramente peloRouter que o Gateway para o exterior.
8/12/2019 Artigo_man_in_the_middle.pdf
5/16
Parece uma engenhoca elaborada mas simples. Em seguida apresentada umaexperiencia usando uma rede Wireless com um Router - Tecnicolor TG784n v3 ,cedidos atualmente pela MEO.
SumrioTendo percebido como um computador adquire um endereo deIP numa rede Wireless e como os MAC Address so catalogados, apresentado um pequeno guia delaboratrio, que demonstra como um ataque MITM pode ser efetuado numa redecaseira MEO.
tambm apresentada uma listagem das ferramentas usadas e um esboo da estruturada experincia.
Ferramentas usadas na experincia :
Cain and Abel - uma ferramenta para a recuperao de palavras-passe e para testarvulnerabilidades da rede.
Nmap A funo desta ferramenta o mapeamento da rede e auditoria de seguranaou inventrio de rede, por exemplo. Ele faz a verificao dehosts que estejamdisponveis na rede por meio de pacotes deIP em estado bruto.
Wireshark - O Wireshark uma ferramenta que verifica os pacotes transmitidos pelodispositivo de comunicao (placa de rede, placa de faxmodem , etc.) do computador.
Putty O Putty um programa cliente para protocolos de redeSSH , Telnet e Rlogin .
Estas so as ferramentas usadas na experincia. Pode efetuar odownload das mesmasda Internet . (Neste blog no so disponibilizados quaisquerlinks para download .)
A experincia est dvida em algumas partes, nomeadamente:
1. MITM ARP Poisoning : explicado com algum grau de detalhe esta tcnica. Aexperincia foca-se sobretudo nos resultados obtidos atravs do uso da tcnica.
2. Routers MEO : mencionado o porqu da impossibilidade de usar tcnicadiretamente nos Routers atuais (Sticky MAC Address ).
3. Cain and Abel ARP-Poisoning (spoofing): Aqui exibida uma pequena
experincia com a ferramenta Cain and Abel . No final verificado que oatacante no recebe efetivamente o trfego da vtima, muito por culpa doSticky MAC Address .
4. Wireshark Anlise dos pacotes ARP: Usando a ferramenta Wireshark possvel verificar porque o atacante no recebe o trfego oriundo da vtima.
5. Nmap Verificao de servios: Atravs doNmap existe a possibilidade deefetuar um scan s portas do Router e verificar a disponibilidade de servioscomo oTelnet e FTP.
6. Putty Acesso ao Router: A partir desta ferramenta possvel estabeleceruma comunicao remova viaTelnet com oRouter .
7. Alterao da ARP-Cache (ARP Table): Todos os passos para consolidar a
alterao do MAC Address da vtima pelo MAC Address do atacante somencionados aqui.
8/12/2019 Artigo_man_in_the_middle.pdf
6/16
8. Cain And Abel ARP Poisoning Full routing : possvel verificar que aps aalterao dos devidosMAC Address o atacante ( bad guy ) j notificado com otrfego alheio, o da vtima.
9. Wireshark Anlise de trafego: Por fim, possvel verificar viaWireshark queo trfego produzido pela vtima chega placa de rede do atacante, portanto j
possvel sniffar
o trfego alheio. 10. Trusted Certificate : mencionado que qualquer ligaoHTTPS violada, isto, o certificado ilegtimo. perdida a autenticidade e integridade da ligao.
11. Curiosidades sobre comandos do Router: So mencionadas algumascuriosidades acerca doRouter .
1. MITM ARP Poisoning O ataque do tipo ARP-Poisoning (ou ARP-Spoofing ) o meio mais eficiente deexecutar o ataque conhecido por Man-In-The-Middle , que permite que o atacanteintercete informaes confidenciais posicionando-se no meio de uma conexo entredois ou mais dispositivos numa rede.
Este um tipo de ataque no qual uma falsa resposta ARP enviada a uma requisio ARP original. Enviando uma resposta falsa, oRouter pode ser convencido a enviar dadosdestinados ao computador 1 para o computador 2, e o computador por ltimoredireciona os dados para o computador 1. Se o envenenamento ocorre, o computador1 no tem ideia do redirecionamento das informaes. A atualizao dacache docomputador alvo (vtima - computador 1) com uma entrada falsa chamado dePoisoning (envenenamento).
2. Routers MEO Atualmente a MEO um servio usados pela maior parte dos utilizadores em Portugal.Esta experiencia cai neste caso num dosRouters usados por eles, oTecnicolor TG784nv3.
A ferramentaCain and Abel detm um mdulo para ARP-Poisoning . Esta envia pacotes ARP falsificados ao Router , de maneira a receber os dados das vtimas nocomputador de ataque. Porm, e por si s, esta tcnica nos Routers mais atuais, no
funciona, devido aoSticky MAC Address. A ideia a seguinte, o MAC Address de umdispositivo catalogado na ARP Cache do Router na primeira vez que ele se ligar
8/12/2019 Artigo_man_in_the_middle.pdf
7/16
rede. Todos os prximosrequests sero ignorados, at o dispositivo se deslaar ousair da rede. uma poltica de forma a evitar ataques de spoofing . Mas o problemapode ser remediado.
3. Cain and Abel ARP-Poisoning (spoofing) Como j referido, osRouters mais atuais no admitem efetuarspoofing diretamente.Vamos ver em seguida.
Acima apresentada uma imagem doCain and Abel . Os marcadores 1,2,3,4 e 5demonstram os passos a seguir.
1. Iniciar o sniffing , isto , a captura de pacotes da rede.2. Selecionar o separador Sniffer. 3. Em seguida abrir o separador Hosts , de maneira a encontrar os hosts
presentes na rede.4. Clicar no boto Adicionar Lista . 5. E por fim OK .
Posteriormente feito um scan rede, e so apresentados os dispositivos atualmentedisponveis (ligados). A imagem a seguir apresenta o cenrio descrito.
8/12/2019 Artigo_man_in_the_middle.pdf
8/16
possvel observar osIPs das mquinas e o seuMAC Address . Para continuar e ativaro processo de poisoning (spoofing) indispensvel cumprir os passos indicados a seguir.
1. Aceder ao separador ARP . 2. Clicar no boto Adicionar lista . 3. Na tabela de ARP Routing definir o Router (Hostname : MEO).4. Selecionar todos os dispositivos .5. Prosseguir com OK .
Em seguida o processo despoofing iniciar, mas como j citado, no vai funcionar,devido ao Sticky MAC Address. A tabela ARP Cache no atualizada no Router ,portanto no so recebidos pacotes (trfego produzido pela vtima). A imagem emseguida apresenta esse resultado.
O IP Address do dispositivo 192.168.1.86 ( angiak-pc.lan ) com o MAC Address 48:D2:24:06:67:82 envia pacotes na rede, mas o atacantes no os recebe na suamquina. O Status da ligao deveria ser apresentado como Full-routing c asoeste estivesse a receber o trfego. Na prtica, isto representa que o MAC Address dodispositivo referente aoIP 192.168.1.86 no foi atualizado na ARP Cache do Router .
8/12/2019 Artigo_man_in_the_middle.pdf
9/16
4. Wireshark Anlise dos pacotes ARP Uma maneira de comprovar que os pacotes ARP esto sendo enviados aoRouter , e queeste at envia um Reply atravs do uso da ferramenta Wireshark . A imagem abaixoapresenta o envio de um pacote ARP .
possvel observar na frame Ethernet que o destino deste pacote o Router, e afonte o computador do atacante.
Posteriormente ao envio deste pacote imediatamente recebido o Reply , vejamos.
O Reply recebido anexa a seguinte informao: duplicate use of 192.168.1.72detected . Parece que notificado que o atacante tentou duplicar o MAC Address deum dispositivo j registado. portanto essencial fazer a alterao doMAC Address davtima de formamanual no Router .
Ficou provado o que j tinha sido mencionado. O procedimento a efetuarposteriormente, o acesso ao Router (via Telnet ) e alterar o MAC Address da vtimapara o MAC Address do atacante. Futuramente ser comprovado que os pacotes j sorecebidos pelo atacante.
8/12/2019 Artigo_man_in_the_middle.pdf
10/16
5. Nmap Verificao de servios sabido partida que o endereoIP do Router o 192.168.1.254 . Fazendo uso daferramenta Nmap , procura-se saber se este tem o servio Telnet escuta (disponvel).
Parece que estamos com sorte, estes Routers tm efetivamente o servio Telnet disponvel. Reparar tambm que aMEO deixa o servioFTP (porto 21) disponvel. Istoacaba por ser um assunto demasiado delicado. Vamostentar no pensar no cenriode controlar o Router do caf que costuma-mos frequentar atravs da nossa casa!
6. Putty Acesso ao Router Tendo verificado que o acesso viaTelnet ao Router est disponvel, o prximo passo aceder-lhe, e efetuar as configuraes necessrias.
So conhecidas algumas credenciais para aceder ao painel de configurao doRouter ,nomeadamente as seguintes:
Username : Administrator ; Password : 3!play
Username : meo ; Password : meo
.Verificando a segunda, por exemplo, na pgina de acesso ao painel, ologin consolidado com sucesso. A imagem em seguida bastante ilustrativa.
8/12/2019 Artigo_man_in_the_middle.pdf
11/16
Na verdade esta pgina apenas apresenta algumasopes bsicas , no servem .
Acedendo via Telnet foi apurado que este utilizador meo no um super utilizador ,isto , no possu o privilgio mximo no sistema . Aps alguma pesquisa foi possveldescortinar que o utilizador com os privilgios mximos o seguinte:
Username : sumeo (super user meo)
Password : bfd,10ng
.
Fazendo uso doPutty possvel aceder ao SO do Router , como apresenta a imagemem seguida.
8/12/2019 Artigo_man_in_the_middle.pdf
12/16
Por incrvel que parea o acesso foi consolidado. Este o SO doRouter TechnicoloTG784n v3 da MEO.
No sabendo nada sobre os comandos doSO, podemos usar o comando -help paraoferecer alguma ajuda, mas eu sugiro que faamdownload do manual CLI do SO,atravs do link:http://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdf .
Este documento tem toda a informao sobre o Router , os comandos, as suasfuncionalidades, etc. No final da experincia ser discutido um pouco sobre outrasfuncionalidades. Agora, vamos focar-nos no essencial, a alterao da ARP Cache doRouter , onde esto armazenados os MAC Address dos dispositivos da rede.
7. Alterao da ARP Cache (ARP Table) Este o ponto fulcral, a atualizao do MAC Address da vtima, para o MAC Address do atacante, para que este consiga fazer spoofing dos dados.Para tal existem algumas exigncias, nomeadamente uma vtima (o seu IP Address eo respetivo MAC Address ) e o MAC Address do atacante , para que o trafego sejaredirecionado.
Vtima:IP Address : 192.168.1.72
MAC Address : C8:7B:5B:27:DF:CE
Atacante (Bad guy ):
MAC Address : FE-F0-D4-F0-D4-F0
necessrio atualizar oMAC Address da vtimaC8:7B:5B:27:DF:CE, pelo MAC Address do atacante (MITM) FE-F0-D4-F0-D4-F0.
Acedendo novamente aoRouter via Telnet possvel aceder ARP Cache deste usandoos seguintes comandos no terminal.
(sumeo)=>ip
(sumeo)[ip]=>arplist
A imagem em seguida bastante representativa. Nesta apresentadaa ARP Cache doRouter .
http://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdfhttp://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787-SIP_CLI.pdf8/12/2019 Artigo_man_in_the_middle.pdf
13/16
possvel observar na terceira linha com ainterface LocalNetwork e com o IP
Address 192.168.1.72 a vtima.
necessrio alterar o seu MAC Address C8:7B:5B:27:DF:CE para o MAC Address doatacante, nomeadamente o do IP 192.168.1.85 (FE-F0-D4-F0-D4-F0) .
Para realizar a troca existem duas possibilidades.
1. Ligar o Cain and Abel no modo ARP-Poisoning e apagar o MAC Address davtima da ARP Cache . O Cain and Abel encarregar-se- de atualizar a ARPCache , visto que este envia a primeira entrada de um pedido ARP aps o tereliminado.
2. Mantendo o Cain and Abel desligado , eliminar o MAC Address da vtima , evoltar a adicion-lo com o novo MAC Address , o do atacante. Usando esteprocedimento o tipo de entrada na tabela (Type ) seria definida como STATICe no DYNAMIC.
De forma a facilitar o processo foi usada a primeira abordagem. No entanto oscomandos paraadicionar e remover um MAC Address so deixados abaixo.
Para adicionar uma nova entrada:
(sumeo)[ip]=>arpadd intf=LocalNetwork ip=xx hwaddr= xx
.
Para remover uma entrada:
(sumeo)[ip]=> arpdelete intf=LocalNetwork ip=xx hwaddr=xx
.
8/12/2019 Artigo_man_in_the_middle.pdf
14/16
Continuando com o processo e procedendo oCain and Abel ativo, time ideal paraeliminar a entrada da ARP Cache do Router . O comando o seguinte.
arpdelete intf=LocalNetwork ip=192.168.1.72 hwaddr=c8:7b:5b:27:df:ce
Aps a execuo do comando e voltando a atualizar a ARP Cache possvel verificarque tanto o IP atacante como o IP vtimapossuem os mesmos MAC Address . Portanto,
o objetivo foi consumado.
8. Cain And Abel ARP Poisoning Full routingVoltando a verificar oCain and Abel possvel verificar que o atacante j recebe otrfego da vtima. O redirecionamento foi conseguido.
8/12/2019 Artigo_man_in_the_middle.pdf
15/16
De reparar que o Status j est definido como Full-routing . Com esta poderosaferramenta possvel a partir deste ponto, efetuar bastantes pesquisas, mas nestaexperiencia ficamos por aqui.
9. Wireshark Anlise de trfego Voltando a verificar o trfego que chega placa de rede do atacante, possvelverificar que este j recebe o trfego da vtima. Posteriormente este trfego de novoenviado para oRouter , e feito o reencaminhamento para o exterior (se for esse o seudestino).
A ttulo de curiosidade, at possvel observar que a vtima parece ser uma grandeamante do web-site abola.pt , assinalado na imagem com o marcador 1 e 2.
10. Trusted Certificate
Analisando o trfego gerado pela vtima aps largos minutos, foi possvel observar quea esta tambm usava o servio Facebook . Este proveniente de uma ligao HTTPS e no HTTP . Como j mencionado no incio do artigo, ocertificado violado (autenticidade e integridade). A vtima ao navegar neste servio recebe no seubrowser as seguintes notificaes.
Naturalmente o certificado no vlido, existe algum a escutar a ligao que oquebrou. Esta ser uma notificao sempre presente nobrowser , mas o utilizadorpoder nem sequer se aperceber, se for distrado o suficiente.
11. Curiosidades sobre comandos do Router
Como mencionado acima, no final deste artigo seriam discutidas algumas curiosidadesrelativamente ao Router . Com o total acesso a qualquer dispositivo das redesMEO,
8/12/2019 Artigo_man_in_the_middle.pdf
16/16
possvel um utilizador alterar as configuraes, e at brincar um pouco com ofacilitismo.
-Desligar osleds do Router .
possvel personalizar oRouter , ou at fazer dele uma rvore de Natal .
(sumeo):> system qual led value=alloff
O seguinte comando desliga osleds do Router . Mais funcionalidades podem serencontradas no manual j citado, como tambm em links soltos disponveis pelaInternet . O seguinte um exemplo disso.
http://npr.me.uk/telnet.html
Fica um desafio: E porque no configurar oDNS do Router para um servidorDNS instalado no computador do atacante? Desta maneira possvel a criao de pginasclone, por exemplo, do Facebook , e controlar os acessos e os dados pessoais davtima. Fica o desafio.
As redes sem fios so populares mas apresentam desafios de segurana importantes,quer devido a configuraes iniciais muito permissivas, quer devido a vulnerabilidadestecnolgicas.
Convm salientar que o presente artigo visa enriquecer o leitor, e no alimentar aprtica de maus hbitos.
Alguma dvida: [email protected]
http://infptavares.blogspot.pt
http://npr.me.uk/telnet.htmlhttp://npr.me.uk/telnet.htmlmailto:[email protected]:[email protected]:[email protected]://infptavares.blogspot.pt/http://infptavares.blogspot.pt/http://infptavares.blogspot.pt/mailto:[email protected]://npr.me.uk/telnet.html