Você está na página 1de 16

MITM Man-in-The-Middle (Routers MEO)

Carssimos leitores, este artigo visa esclarecer e desmistificar um dos ataques sobejamente empregado em redes de computadores, o ataque Man-in-The-Middle. Este dos ataques mais alarmante numa rede de computadores, por exemplo, a rede Wireless do caf que frequentamos com determinada regularidade. Habitualmente usamos e abusamos de numerosos servios online, como o conhecido Facebook, o Outlook e o Gmail. So servios de Cloud, onde partilhamos e salvaguardamos bastante informao sobre a nossa vida pessoal e profissional, e acedemos-lhes diariamente em qualquer rede de computadores com acesso direto Internet, sem nos preocuparmos efetivamente, com a segurana oferecida pela rede local. Numa rede local, o dispositivo responsvel por administrar toda a comunicao entre dispositivos o Switch. Ele tem o papel de fazer a distribuio dos pacotes que circulam na rede, fazendo assim, o seu reencaminhamento emissor destinatrio. Usualmente numa rede de computadores domstica, usado um Router, pois este desempenha um papel preponderante de Switching, e no s, tem a capacidade de comunicar com outras redes externas, isto , permite o envio de trfego para alm da rede local (tem o papel de Gateway). Numa rede cada computador possu um endereo fsico, apelidado de MAC Address. Este endereo nico para cada interface fsica, e identifica por si s um device, neste caso, um computador ou um smartphone).

Para perceber o funcionamento interno de uma rede, necessrio atentar a imagem acima. Os passos bsicos para interligar um computador a uma rede Wireless so bastante prticos e descomplicados. Desta forma, necessrio unicamente colocar a palavra-passe de acesso da rede no computador, e de imediato, o acesso prpria rede e Internet passa a ser uma realidade. Subsiste uma abstrao gigantesca do processo por parte do utilizador. Em seguida, so indicados de forma sequencial alguns dos passos efetuados pelo servidor ou servio DHCP do Router Wireless, quando um novo dispositivo se interliga rede. 1. Quando um computador se interliga rede, este envia um pacote do tipo broadcast, com um pedido de configurao DHCP. 2. O servidor DHCP verifica quais os IPs disponveis para atribuir ao novo dispositivo. 3. Automaticamente atribu um endereo de IP privado ao dispositivo com determinado MAC Address (endereo fsico que o identifica). Posto isto, o Router sabe permanentemente quem o destinatrio dos pacotes que circulam na rede. claro que os passos citados anteriormente so um resumo muito sumariado de como este processo efetuado. O importante aqui, compreender de uma forma genrica como isto funciona.

O novo dispositivo envia um pacote broadcast rede, e neste caso o DHCP do Router atribu automaticamente um endereo de IP ao dispositivo. O Router possu ento uma

ARP Cache, nesta est identificado o endereo fsico (MAC Address) do dispositivo e de todos os outros j catalogados. Em cada dispositivo, um computador neste caso concreto, existe tambm uma ARP Table, responsvel por expor quais so os seus MAC Address conhecidos. Esta tabela atualizada de x em x tempo, e o dispositivo aceita e cataloga constantemente novos MAC Address que cheguem at si. Quando um computador deseja enviar uma solicitao para fora da rede, este envia primeiramente uma frame encapsulada num pacote para o seu Gateway (Router), atravs do MAC Address conhecido na sua ARP Table. Para visualizar esta tabela essencial abrir a linha de comando no Sistema Operativo Windows 7 (o SO usado nesta experiencia), e digitar o comando arp a.

possvel observar o registo referente ao Router disponibilizado pelo servio MEO, ele est marcado como Dinmico, ou seja, foi atribudo de forma dinmica. Isto quer dizer, que o computador recebeu um primeiro pacote a inform-lo que o IP e MAC do Router eram aqueles, mas ele pode ser alterado. O endereo de IP o 192.168.1.254 com o respetivo endereo fsico sua direita (a4:b1:e9:1d:bb:ac). Para averiguar que estes endereos so legtimos do Router, basta introduzir o IP do dispositivo num browser comum (foi usado o Opera).

Como esperado, a pgina de login do dispostito foi exibida, portanto, o endereo MAC pertence mesmo ao Router Tecnicolor TG784n v3. Quando um computador pretende produzir qualquer comunicao, ele envia primeiramente um pacote chamado de ARP Request, solicitando o MAC Address do destino. Se o destino foi o Router Gateway (192.168.1.254), o computador recebe um ARP Reply com a resposta da sua requisio, catalogando essa informao na ARP Table. Esta tabela temporria, e aceita constantemente novas entradas, mesmo que estas sejam duplicadas (e.g., dois MAC Address iguais). O clebre ataque MIDM tem como objetivo adulterar este ARP Reply, declarando que o MAC Address do Gateaway (a4:b1:e9:1d:bb:ac) na verdade, o MAC Address da sua mquina (bad guy / atacante).

Quando isto acontece, e um indivduo (User na imagem acima) deseja comunicar com outro fulano conhecido via Facebook, ou enviar um e-mail atravs do Gmail (Internet), a comunicao no consumada atravs do trajeto comum (User -> Router -> Internet), pois existe algum a escutar a ligao (MITM). De forma engraada, isto pode ser entendido como partir a ligao ao meio, e colocar um computador escuta entre o computador que deseja comunicar e o Router. Porm, todo o trafego gerado pelo computador da vtima (User) cruza primeiramente o computador do atacante (MITM), e posteriormente feito o reencaminhamento para o Router e tambm para a Internet. Como observvel na imagem, o certificado digital mantido entre a vtima e o servio ao qual acede (Facebook ou Google) falsificado, a autenticidade e integridade perdida, pois o atacante quebra-o efetuando a escuta do trfego ( uma entidade ilegtima). O processo simples, a vtima remete os dados, o atacante escuta, e reencaminha-os para o destino, passando primeiramente pelo Router que o Gateway para o exterior.

Parece uma engenhoca elaborada mas simples. Em seguida apresentada uma experiencia usando uma rede Wireless com um Router - Tecnicolor TG784n v3, cedidos atualmente pela MEO.

Sumrio
Tendo percebido como um computador adquire um endereo de IP numa rede Wireless e como os MAC Address so catalogados, apresentado um pequeno guia de laboratrio, que demonstra como um ataque MITM pode ser efetuado numa rede caseira MEO. tambm apresentada uma listagem das ferramentas usadas e um esboo da estrutura da experincia. Ferramentas usadas na experincia: Cain and Abel - uma ferramenta para a recuperao de palavras-passe e para testar vulnerabilidades da rede. Nmap A funo desta ferramenta o mapeamento da rede e auditoria de segurana ou inventrio de rede, por exemplo. Ele faz a verificao de hosts que estejam disponveis na rede por meio de pacotes de IP em estado bruto. Wireshark - O Wireshark uma ferramenta que verifica os pacotes transmitidos pelo dispositivo de comunicao (placa de rede, placa de fax modem, etc.) do computador. Putty O Putty um programa cliente para protocolos de rede SSH, Telnet e Rlogin.

Estas so as ferramentas usadas na experincia. Pode efetuar o download das mesmas da Internet. (Neste blog no so disponibilizados quaisquer links para download.) A experincia est dvida em algumas partes, nomeadamente: 1. MITM ARP Poisoning: explicado com algum grau de detalhe esta tcnica. A experincia foca-se sobretudo nos resultados obtidos atravs do uso da tcnica. 2. Routers MEO: mencionado o porqu da impossibilidade de usar tcnica diretamente nos Routers atuais (Sticky MAC Address). 3. Cain and Abel ARP-Poisoning (spoofing): Aqui exibida uma pequena experincia com a ferramenta Cain and Abel. No final verificado que o atacante no recebe efetivamente o trfego da vtima, muito por culpa do Sticky MAC Address. 4. Wireshark Anlise dos pacotes ARP: Usando a ferramenta Wireshark possvel verificar porque o atacante no recebe o trfego oriundo da vtima. 5. Nmap Verificao de servios: Atravs do Nmap existe a possibilidade de efetuar um scan s portas do Router e verificar a disponibilidade de servios como o Telnet e FTP. 6. Putty Acesso ao Router: A partir desta ferramenta possvel estabelecer uma comunicao remova via Telnet com o Router. 7. Alterao da ARP-Cache (ARP Table): Todos os passos para consolidar a alterao do MAC Address da vtima pelo MAC Address do atacante so mencionados aqui.

8. Cain And Abel ARP Poisoning Full routing: possvel verificar que aps a alterao dos devidos MAC Address o atacante (bad guy) j notificado com o trfego alheio, o da vtima. 9. Wireshark Anlise de trafego: Por fim, possvel verificar via Wireshark que o trfego produzido pela vtima chega placa de rede do atacante, portanto j possvel sniffar o trfego alheio. 10. Trusted Certificate: mencionado que qualquer ligao HTTPS violada, isto , o certificado ilegtimo. perdida a autenticidade e integridade da ligao. 11. Curiosidades sobre comandos do Router: So mencionadas algumas curiosidades acerca do Router.

1. MITM ARP Poisoning


O ataque do tipo ARP-Poisoning (ou ARP-Spoofing) o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercete informaes confidenciais posicionando-se no meio de uma conexo entre dois ou mais dispositivos numa rede. Este um tipo de ataque no qual uma falsa resposta ARP enviada a uma requisio ARP original. Enviando uma resposta falsa, o Router pode ser convencido a enviar dados destinados ao computador 1 para o computador 2, e o computador por ltimo redireciona os dados para o computador 1. Se o envenenamento ocorre, o computador 1 no tem ideia do redirecionamento das informaes. A atualizao da cache do computador alvo (vtima - computador 1) com uma entrada falsa chamado de Poisoning (envenenamento).

2. Routers MEO
Atualmente a MEO um servio usados pela maior parte dos utilizadores em Portugal. Esta experiencia cai neste caso num dos Routers usados por eles, o Tecnicolor TG784n v3.

A ferramenta Cain and Abel detm um mdulo para ARP-Poisoning. Esta envia pacotes ARP falsificados ao Router, de maneira a receber os dados das vtimas no computador de ataque. Porm, e por si s, esta tcnica nos Routers mais atuais, no funciona, devido ao Sticky MAC Address. A ideia a seguinte, o MAC Address de um dispositivo catalogado na ARP Cache do Router na primeira vez que ele se ligar

rede. Todos os prximos requests sero ignorados, at o dispositivo se deslaar ou sair da rede. uma poltica de forma a evitar ataques de spoofing. Mas o problema pode ser remediado.

3. Cain and Abel ARP-Poisoning (spoofing)


Como j referido, os Routers mais atuais no admitem efetuar spoofing diretamente. Vamos ver em seguida.

Acima apresentada uma imagem do Cain and Abel. Os marcadores 1,2,3,4 e 5 demonstram os passos a seguir. 1. Iniciar o sniffing, isto , a captura de pacotes da rede. 2. Selecionar o separador Sniffer. 3. Em seguida abrir o separador Hosts, de maneira a encontrar os hosts presentes na rede. 4. Clicar no boto Adicionar Lista. 5. E por fim OK.

Posteriormente feito um scan rede, e so apresentados os dispositivos atualmente disponveis (ligados). A imagem a seguir apresenta o cenrio descrito.

possvel observar os IPs das mquinas e o seu MAC Address. Para continuar e ativar o processo de poisoning (spoofing) indispensvel cumprir os passos indicados a seguir.

1. 2. 3. 4. 5.

Aceder ao separador ARP. Clicar no boto Adicionar lista. Na tabela de ARP Routing definir o Router (Hostname: MEO). Selecionar todos os dispositivos. Prosseguir com OK.

Em seguida o processo de spoofing iniciar, mas como j citado, no vai funcionar, devido ao Sticky MAC Address. A tabela ARP Cache no atualizada no Router, portanto no so recebidos pacotes (trfego produzido pela vtima). A imagem em seguida apresenta esse resultado.

O IP Address do dispositivo 192.168.1.86 (angiak-pc.lan) com o MAC Address 48:D2:24:06:67:82 envia pacotes na rede, mas o atacantes no os recebe na sua mquina. O Status da ligao deveria ser apresentado como Full-routing caso este estivesse a receber o trfego. Na prtica, isto representa que o MAC Address do dispositivo referente ao IP 192.168.1.86 no foi atualizado na ARP Cache do Router.

4. Wireshark Anlise dos pacotes ARP


Uma maneira de comprovar que os pacotes ARP esto sendo enviados ao Router, e que este at envia um Reply atravs do uso da ferramenta Wireshark. A imagem abaixo apresenta o envio de um pacote ARP.

possvel observar na frame Ethernet que o destino deste pacote o Router, e a fonte o computador do atacante. Posteriormente ao envio deste pacote imediatamente recebido o Reply, vejamos.

O Reply recebido anexa a seguinte informao: duplicate use of 192.168.1.72 detected. Parece que notificado que o atacante tentou duplicar o MAC Address de um dispositivo j registado. portanto essencial fazer a alterao do MAC Address da vtima de forma manual no Router. Ficou provado o que j tinha sido mencionado. O procedimento a efetuar posteriormente, o acesso ao Router (via Telnet) e alterar o MAC Address da vtima para o MAC Address do atacante. Futuramente ser comprovado que os pacotes j so recebidos pelo atacante.

5. Nmap Verificao de servios


sabido partida que o endereo IP do Router o 192.168.1.254 . Fazendo uso da ferramenta Nmap, procura-se saber se este tem o servio Telnet escuta (disponvel).

Parece que estamos com sorte, estes Routers tm efetivamente o servio Telnet disponvel. Reparar tambm que a MEO deixa o servio FTP (porto 21) disponvel. Isto acaba por ser um assunto demasiado delicado. Vamos tentar no pensar no cenrio de controlar o Router do caf que costuma-mos frequentar atravs da nossa casa!

6. Putty Acesso ao Router


Tendo verificado que o acesso via Telnet ao Router est disponvel, o prximo passo aceder-lhe, e efetuar as configuraes necessrias. So conhecidas algumas credenciais para aceder ao painel de configurao do Router, nomeadamente as seguintes: Username: Administrator ; Password: 3!play Username: meo ; Password: meo . Verificando a segunda, por exemplo, na pgina de acesso ao painel, o login consolidado com sucesso. A imagem em seguida bastante ilustrativa.

Na verdade esta pgina apenas apresenta algumas opes bsicas, no servem. Acedendo via Telnet foi apurado que este utilizador meo no um super utilizador, isto , no possu o privilgio mximo no sistema. Aps alguma pesquisa foi possvel descortinar que o utilizador com os privilgios mximos o seguinte: Username: sumeo (super user meo) Password: bfd,10ng . Fazendo uso do Putty possvel aceder ao SO do Router, como apresenta a imagem em seguida.

Por incrvel que parea o acesso foi consolidado. Este o SO do Router Technicolo TG784n v3 da MEO. No sabendo nada sobre os comandos do SO, podemos usar o comando -help para oferecer alguma ajuda, mas eu sugiro que faam download do manual CLI do SO, atravs do link:http://www.technicolorgateways.nl/Producten/Archief/Advanced/TG787/TG787SIP_CLI.pdf . Este documento tem toda a informao sobre o Router, os comandos, as suas funcionalidades, etc. No final da experincia ser discutido um pouco sobre outras funcionalidades. Agora, vamos focar-nos no essencial, a alterao da ARP Cache do Router, onde esto armazenados os MAC Address dos dispositivos da rede.

7. Alterao da ARP Cache (ARP Table)


Este o ponto fulcral, a atualizao do MAC Address da vtima, para o MAC Address do atacante, para que este consiga fazer spoofing dos dados. Para tal existem algumas exigncias, nomeadamente uma vtima (o seu IP Address e o respetivo MAC Address) e o MAC Address do atacante, para que o trafego seja redirecionado.

Vtima:
IP Address: 192.168.1.72 MAC Address: C8:7B:5B:27:DF:CE

Atacante (Bad guy):


MAC Address: FE-F0-D4-F0-D4-F0

necessrio atualizar o MAC Address da vtima C8:7B:5B:27:DF:CE, pelo MAC Address do atacante (MITM) FE-F0-D4-F0-D4-F0. Acedendo novamente ao Router via Telnet possvel aceder ARP Cache deste usando os seguintes comandos no terminal. (sumeo)=>ip (sumeo)[ip]=>arplist A imagem em seguida bastante representativa. Nesta apresentada a ARP Cache do Router.

possvel observar na terceira linha com a interface LocalNetwork e com o IP Address 192.168.1.72 a vtima. necessrio alterar o seu MAC Address C8:7B:5B:27:DF:CE para o MAC Address do atacante, nomeadamente o do IP 192.168.1.85 (FE-F0-D4-F0-D4-F0). Para realizar a troca existem duas possibilidades. 1. Ligar o Cain and Abel no modo ARP-Poisoning e apagar o MAC Address da vtima da ARP Cache. O Cain and Abel encarregar-se- de atualizar a ARP Cache, visto que este envia a primeira entrada de um pedido ARP aps o ter eliminado. 2. Mantendo o Cain and Abel desligado, eliminar o MAC Address da vtima, e voltar a adicion-lo com o novo MAC Address, o do atacante. Usando este procedimento o tipo de entrada na tabela (Type) seria definida como STATIC e no DYNAMIC. De forma a facilitar o processo foi usada a primeira abordagem. No entanto os comandos para adicionar e remover um MAC Address so deixados abaixo. Para adicionar uma nova entrada: (sumeo)[ip]=>arpadd intf=LocalNetwork ip=xx hwaddr= xx . Para remover uma entrada: (sumeo)[ip]=> arpdelete intf=LocalNetwork ip=xx hwaddr=xx .

Continuando com o processo e procedendo o Cain and Abel ativo, time ideal para eliminar a entrada da ARP Cache do Router. O comando o seguinte. arpdelete intf=LocalNetwork ip=192.168.1.72 hwaddr=c8:7b:5b:27:df:ce

Aps a execuo do comando e voltando a atualizar a ARP Cache possvel verificar que tanto o IP atacante como o IP vtima possuem os mesmos MAC Address. Portanto, o objetivo foi consumado.

8. Cain And Abel ARP Poisoning Full routing


Voltando a verificar o Cain and Abel possvel verificar que o atacante j recebe o trfego da vtima. O redirecionamento foi conseguido.

De reparar que o Status j est definido como Full-routing. Com esta poderosa ferramenta possvel a partir deste ponto, efetuar bastantes pesquisas, mas nesta experiencia ficamos por aqui.

9. Wireshark Anlise de trfego


Voltando a verificar o trfego que chega placa de rede do atacante, possvel verificar que este j recebe o trfego da vtima. Posteriormente este trfego de novo enviado para o Router, e feito o reencaminhamento para o exterior (se for esse o seu destino).

A ttulo de curiosidade, at possvel observar que a vtima parece ser uma grande amante do web-site abola.pt, assinalado na imagem com o marcador 1 e 2.

10. Trusted Certificate


Analisando o trfego gerado pela vtima aps largos minutos, foi possvel observar que a esta tambm usava o servio Facebook. Este proveniente de uma ligao HTTPS e no HTTP. Como j mencionado no incio do artigo, o certificado violado (autenticidade e integridade). A vtima ao navegar neste servio recebe no seu browser as seguintes notificaes.

Naturalmente o certificado no vlido, existe algum a escutar a ligao que o quebrou. Esta ser uma notificao sempre presente no browser, mas o utilizador poder nem sequer se aperceber, se for distrado o suficiente.

11. Curiosidades sobre comandos do Router


Como mencionado acima, no final deste artigo seriam discutidas algumas curiosidades relativamente ao Router. Com o total acesso a qualquer dispositivo das redes MEO,

possvel um utilizador alterar as configuraes, e at brincar um pouco com o facilitismo. -Desligar os leds do Router. possvel personalizar o Router, ou at fazer dele uma rvore de Natal. (sumeo):> system qual led value=alloff O seguinte comando desliga os leds do Router. Mais funcionalidades podem ser encontradas no manual j citado, como tambm em links soltos disponveis pela Internet. O seguinte um exemplo disso. http://npr.me.uk/telnet.html Fica um desafio: E porque no configurar o DNS do Router para um servidor DNS instalado no computador do atacante? Desta maneira possvel a criao de pginas clone, por exemplo, do Facebook, e controlar os acessos e os dados pessoais da vtima. Fica o desafio. As redes sem fios so populares mas apresentam desafios de segurana importantes, quer devido a configuraes iniciais muito permissivas, quer devido a vulnerabilidades tecnolgicas. Convm salientar que o presente artigo visa enriquecer o leitor, e no alimentar a prtica de maus hbitos. Alguma dvida: infptavares@gmail.com http://infptavares.blogspot.pt