Durante a navegação online, pode ter notado que alguns websites apresentam um pequeno cadeado no lado esquerdo da barra de endereço, indicando que o conteúdo é seguro e que a ligação entre o seu browser e o website está encriptada para evitar um ataque Man-in-the-Middle (MiTM).
O que é um ataque Man-in-the-Middle (MiTM)?
Quando tenta aceder a uma página web, a informação viaja do servidor para o seu computador através de uma super-estrada de cabos, routers, e switches de computador que esticam a Internet pelo mundo inteiro. Tal como os ladrões de auto-estradas de velhos e modernos atacantes sabem que é vulnerável em cada "cruzamento". Estes pontos são onde os seus dados podem ser interceptados, lidos, e até alterados. Um ataque Man-in-the-Middle é um procedimento que permite a um atacante interpor-se entre si e o computador com quem está a comunicar para ler a conversa ou alterá-la. O procedimento era extremamente comum antes da mudança maciça para HTTP-Secure, e ainda é comum hoje em dia, embora um pouco mais complicado de realizar.
Depois de ter visado durante anos os PCs, os omnipresentes ataques Man-in-the-Middle passaram para os telemóveis. Devido à falta de avaliação do impacto destes ataques, os consumidores ligam os seus telefones às redes públicas para se manterem ligados, especialmente quando estão de férias.
A maior ameaça resulta da lenta taxa de detecção. Os utilizadores nem sempre conseguem perceber se a rede em que estão ligados é legítima ou se alguém está a ouvir o tráfego, seja no aeroporto, hotel, ou cafetaria ao fundo da rua. O nosso vício na Internet levou-nos também a utilizar o mesmo dispositivo tanto para negócios como para lazer, expondo-nos automaticamente a riscos. Os utilizadores finais são a maior ameaça para as empresas. Uma vez ligados a uma rede não fiável, as credenciais ou o correio electrónico podem ser divulgados.
Exemplos
Quando duas partes iniciam uma conversa, normalmente estabelecem uma ligação e trocam o que se chama chaves públicas - chaves usadas para encriptar conversas antes de serem enviadas através dos fios. Imaginemos a Alice e o Bob a conversarem na web. Quando Alice chega a Bob, ela envia a sua chave pública. Bob encriptará todas as mensagens para Alice com a sua chave pública. Bob, por sua vez, enviará também a chave pública a Alice. Quando Alice recebe a mensagem encriptada de Bob, descodifica-a com a sua chave privada e lê-a. Agora imagine uma terceira pessoa entre Alice e Bob. O seu nome é Peter. Peter intercepta a chave pública de Alice enquanto ela viaja até Bob e substitui-a pela sua própria chave pública. Ele também intercepta a chave pública de Bob e substitui-a pela sua própria chave, enquanto viaja para Alice. Agora tanto Alice como Bob encriptam informação com a chave pública de Peter e Peter pode decifrá-la com a sua própria chave privada. Após a decifragem, ele lê a mensagem, talvez altera-a, depois codifica-a com a chave pública de Alice interceptada no primeiro passo e encaminha a mensagem para Alice. Ele procura toda a comunicação de e para Bob ou Alice e nenhum dos dois sabe que ele está a escutar.
As redes Wi-Fi desprotegidas ou não protegidas não são o único ponto de entrada que um hacker pode utilizar para lançar um ataque "man-in-the-middle". Cada vez que entrar em linha e usar um serviço proxy para anonimizar o seu endereço IP ou contornar as restrições no seu local de trabalho, lembre-se que o servidor proxy actua normalmente como um Man-in-the-Middle.
As suas visitas à página e actividades online como transferências de ficheiros, transacções financeiras, ou e-mails podem ser capturados por ciber-criminosos através de um servidor proxy hostil. Está a expor todas as suas informações a terceiros.
Os servidores VPN devem salvaguardar a sua infra-estrutura, mantendo a sua ligação encriptada. Servidores VPN comprometidos ou desonestos também podem permitir que terceiros roubem os seus dados mas, pior ainda, podem redireccionar o seu tráfego e utilizar a sua ligação à Internet para esquemas ilegais. Na ausência de uma ligação segura, quando descobrir que instalou um programa malicioso, poderá ser demasiado tarde.
Prevenção de ataques MiTM
Se não for versado em tecnologia, não há muito que possa fazer quanto a isto. Os ataques Man-in-the-Middle são muito difíceis de detectar, por isso é melhor prevenir do que remediar.
Se estiver de férias e o seu telefone se ligar automaticamente a uma rede, poderá ser vítima de um ataque MitM. Se lhe for pedido que instale uma aplicação VPN ou aceite um certificado digital, está a caminho de um ataque de "Man-in-the-middle". A forma mais fácil de identificar ataques man-in-the-middle é verificar se o certificado SSL é emitido para a entidade que está à espera de visitar. Idealmente, deveria ter sido emitido por uma autoridade certificadora legítima e fidedigna. Se o seu browser se opuser à validade ou legitimidade de um certificado, feche imediatamente a página e peça ajuda antes de introduzir quaisquer credenciais. Pode verificar o certificado SSL procurando no canto superior esquerdo do seu browser para se certificar de que diz HTTPS a verde. Isto significa que a sua ligação está encriptada e os seus dados escondidos.
Como não há maneira de detectar adequadamente estes ataques, é melhor jogar pelo seguro desde o início:
- Certifique-se de que as ligações são HTTPS e não HTTP.
- Verifique duas vezes se o certificado SSL não está expirado e se é emitido por um fornecedor fiável.
- Evite VPNs e proxies gratuitos.
- Alterar regularmente as palavras-passe e não as reutilizar.
- Não ligar a redes públicas suspeitas, ser desconfiado mesmo quando se trata de Wi-Fi de hotel, e nunca instalar ou descarregar nada.
- Utilizar uma solução de segurança capaz de digitalizar ligações HTTPS.
- Se não houver alternativa e tiver de se ligar a tal rede, evite fazer pagamentos e iniciar sessão em contas de redes sociais ou contas de correio electrónico.
Agora que lhe demos os arrepios, vejamos o lado positivo do man-in-the-middle. Nem todo o MiTM é mau. Tais técnicas podem ser utilizadas para a sua própria segurança. Uma vez que cada vez mais websites maliciosos e malware estão a mudar para comunicação HTTPS segura para exfiltrar dados e garantir que a sua solução de segurança não pode interceptar tráfego desonestos, algumas soluções de segurança utilizam proxies SSL - módulos que descodificam o tráfego SSL / TLS, inspeccionam-no em busca de badware e depois reencriptam-no e reencaminham-no para o destino. Algumas soluções de controlo parental também tomam esta estrada para garantir que as conversas encriptadas do seu filho não contêm algo com que se possa preocupar.