What is a Man in the Middle (MitM) Attack?

Um ataque man-in-the-middle (MitM) é uma das principais ameaças cibernéticas cujo nome deve-se ao fato de um invasor se inserir entre duas partes em comunicação. Se todas as comunicações passarem pelo invasor a caminho de seu destino, isso criará a possibilidade de o invasor descartar, ler ou modificar mensagens antes que elas cheguem ao destinatário pretendido.

Leia o relatório de segurança Verificação de segurança gratuita

What is a Man in the Middle (MitM) Attack?

Como funciona o ataque Man in the Middle (MitM)

Para realizar um ataque MitM, o atacante precisa atingir dois objetivos. Primeiro, eles precisam se inserir na comunicação de uma forma que lhes permita interceptar o tráfego a caminho do seu destino. Algumas das maneiras pelas quais um invasor pode fazer isso incluem:

  • Wi-Fi malicioso: Todo o tráfego W-Fi flui através de um ponto de acesso sem fio (AP), portanto, um invasor que controla um AP sem fio e pode enganar os usuários para que se conectem a ele pode interceptar todo o seu tráfego.
  • Falsificação de ARP: O protocolo de resolução de endereço (ARP) é usado para mapear endereços IP para endereços MAC. Ao usar mensagens ARP falsas, um invasor mapeia o endereço IP do alvo para seu endereço MAC, fazendo com que o tráfego do alvo seja enviado para ele.
  • Falsificação de DNS: O Sistema de Nomes de Domínio (DNS) mapeia nomes de domínio para endereços IP. Envenenar um cache DNS com registros DNS falsos pode fazer com que o tráfego do domínio de destino seja roteado para o endereço IP do invasor.
  • Sequestro de BGP: O Border gateway Protocol (BGP) é usado para identificar o sistema autônomo (AS) com a melhor rota para um determinado endereço IP. O sequestro de BGP envolve anunciar uma rota falsa para fazer com que determinado tráfego flua através dos sistemas do invasor.

Uma vez no meio de uma comunicação, o invasor precisa ser capaz de ler as mensagens; no entanto, uma porcentagem significativa do tráfego da Internet é criptografada usando SSL/TLS. Se o tráfego for criptografado, a leitura e a modificação das mensagens exigirão a capacidade de falsificar ou interromper a conexão SSL/TLS.

Isso pode ser feito de algumas maneiras diferentes. Se um invasor conseguir enganar o usuário para que aceite um certificado digital falso para um site, o invasor poderá descriptografar o tráfego do cliente e lê-lo ou modificá-lo antes de enviá-lo ao servidor. Alternativamente, um invasor pode quebrar a segurança da sessão SSL/TLS usando ataques de remoção ou downgrade de SSL.

Exemplos de ataques man-in-the-middle

Os ataques MitM podem ser realizados de diversas maneiras, que dependem do protocolo que está sendo atacado e do objetivo do invasor. Por exemplo, realizar um ataque MitM é mais fácil quando o fluxo de comunicação não é criptografado e quando o invasor está naturalmente localizado na rota que o tráfego alvo seguirá.

Cenário 1: IoT/aplicativo móvel vulnerável

O usuário médio foi instruído sobre como determinar se sua sessão de navegação na web está criptografada com base no https e no ícone de cadeado na barra de URL. No entanto, verificar se os fluxos de dados estão criptografados é mais difícil com aplicativos móveis e Internet das coisas (dispositivo de IoT. Não é incomum que estes tenham segurança fraca e usem protocolos não criptografados, como Telnet ou HTTP, para se comunicarem.

Se for esse o caso, um invasor pode facilmente ler e potencialmente modificar os dados que fluem entre o aplicativo móvel ou dispositivo IoT e o servidor. Ao usar um ponto de acesso sem fio ou alguma forma de falsificação, o invasor pode interferir no fluxo de comunicação para que todo o tráfego flua através dele. Como esses protocolos não possuem verificações integradas de integridade ou autenticidade dos dados, o invasor pode alterar o conteúdo do tráfego à vontade.

Cenário 2: Certificados Digitais Falsos

SSL/TLS foi projetado para proteger contra ataques MitM, fornecendo confidencialidade, integridade e autenticação ao tráfego de rede. No entanto, depende do usuário aceitar apenas certificados digitais válidos para um domínio específico. Se o invasor conseguir enganar o usuário para que ele visite um site de phishing, convencê-lo a aceitar um certificado falso ou comprometer o certificado digital que uma empresa usa para inspeção SSL, essas proteções serão quebradas.

Nesse cenário, o invasor mantém duas sessões separadas criptografadas com SSL/TLS. Em um deles, ele se conecta ao cliente enquanto se disfarça de servidor e usa seu certificado SSL falso. No outro, ele se apresenta como um cliente conectando-se ao servidor legítimo. Como o invasor controla ambas as sessões, ele pode descriptografar os dados de uma sessão, inspecioná-los e modificá-los e criptografá-los novamente para a outra sessão.

Prevenção de ataques man-in-the-middle

Os ataques MitM dependem da capacidade do invasor de interceptar e ler o tráfego. Algumas práticas recomendadas de segurança na Internet para evitar isso incluem:

  • Cuidado com o Wi-Fi público: todo o tráfego em Wi-Fi público passa pelo AP, que pode estar sob o controle de um invasor. Conecte-se apenas a redes Wi-Fi conhecidas e confiáveis.
  • Use uma VPN: a rede privada virtual (VPNs) criptografa o tráfego entre um usuário ou site remoto e o endpoint da VPN. Isso evita que um invasor MitM leia ou modifique o tráfego interceptado.

Validar Certificados Digitais: Um site legítimo deve sempre ter um certificado digital que apareça como válido em um navegador. Confiar em um certificado suspeito pode permitir um ataque MitM.

Proteja-se contra MITM com Check Point

As VPNs de acesso remoto da Check Point podem ajudar a proteger funcionários remotos contra ataques MitM e outros ataques cibernéticos. Para saber mais sobre as ameaças cibernéticas que sua organização enfrenta, confira o Relatório de Cibersegurança 2023. Em seguida, faça o Check-up de segurança gratuito para saber como sua organização pode melhorar sua postura de segurança.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK