Escolar Documentos
Profissional Documentos
Cultura Documentos
Candidato: Supervisor:
Duncan Eduardo Lassitone Eng.Aníbal Faiane
Candidato
_____________________________________
Duncan Eduardo Lassitone Chindzakazi
Supervisor
_____________________________________
Eng. Aníbal Faiane
DECLARAÇÃO DE AUTORIA
Eu, Duncan Eduardo Lassitone Chindzakazi, declaro, por minha honra, que o presente
trabalho, é da minha autoria e que nunca foi antes apresentado para avaliação em nenhuma
outra Instituição de Ensino Superior, nacional ou de outro país.
______________________________________
(Duncan Eduardo Lassitone Chindzakazi)
ÍNDICE
AGRADECIMENTOS
Agradeço primeiramente a Deus, pois foi o fundamento para que eu conseguisse entrar na
Universidade Joaquim Chissano, foi a força que sempre precisei nos momentos de desafios e
foi ele que tornou possível a redacção desse trabalho. Não me canso de agradecer pela vida,
pela saúde e por tudo que DEUS concedeu-me para tornar este momento possível. Gostaria
também de agradecer com muito amor a minha família, especialmente aos meus pais, a Dona
Helena José Sincreia e ao Senhor Eduardo Lassitone Chindzakazi, por todo apoio que me
deram durante a minha academia.
Agradeço grandemente meu Supervisor Engenheiro Aníbal Faiane, que para além de
supervisionar o meu trabalho, ainda me recordo do conselho dele para mim no segundo ano do
curso, quando eu disse a ele que pensava em parar o curso por causa de desafios que estava a
passar. Eu na verdade a partir daquele momento, após o conselho dele, comecei a vê-lo mais
como um Docente-Pai para mim e infalivelmente decidi que ele seria meu supervisor a partir
do segundo ano. Agradeço muito a ele por todo apoio durante o curso e pelo esforço abnegado
com vista a transmitir-me os bastantes profícuos conhecimentos para a realização deste
trabalho.
Agradeço também a todos os professores do curso pelos ensinamentos que me foram bastante
úteis para o crescimento académico e social. O mesmo agradecimento estende-se ao corpo
directivo e administrativo da Universidade Joaquim Chissano. Agradeço aos meus colegas do
curso por todas as experiências e conhecimentos trocados, com certeza tudo isso foi muito
importante. Por último, mas não menos importante, agradeço a Catarina Moreira, primo
António, a cunhada Nolly, Tio Matchaya, Tia Lilian Billy, Basílio, Domingos Ussore, Pedro,
Paulo Meque, Alexandre Fumo, Colegas da residência Universitária no geral e todos os que
conviveram comigo durante esta jornada incrível.
IV
DEDICATÓRIA
Honro o fechamento deste ciclo, dedicando este trabalho a minha família. Em especial aos
meus Pais, a Dona Helena Sincreia e o Senhor Eduardo Chindzakazi que sempre me apoiaram
e foram a razão de prosseguir com essa jornada até a recta final. À toda família Matchaya que
adoptou-me como seu filho, aos meus Docentes e Colegas, em especial ao meu Supervisor
Aníbal Faiane pelo apoio excepcional, incentivo e pela confiança que depositou em mim.
V
EPÍGRAFE
O hardware é fácil de proteger, este pode ser trancado numa sala, ou pode-se comprar um
suplente. No entanto, a informação é que representa o verdadeiro problema. Esta pode, ao
mesmo tempo, existir em mais de um lugar, pode ser transportada pelo planeta em segundos e
ser roubada sem o conhecimento do utilizador.
(Bruce Schneier)
VI
ID - Identifier
IP - Internet Protocol
MITM - Man-In-The-Middle
VII
TI - Tecnologia de Informação
LISTA DE FIGURAS
SUMÁRIO EXECUTIVO
INTRODUÇÃO
No ciberespaço, onde a informação trafega, pode estar comprometida por vários ataques
cibernéticos. Um dos ataques que tem sido de difícil detecção e que é o estudo do presente
trabalho, é o ataque cibernético do tipo Man-In-The-Middle. Segundo Moreno (2015), o
ataque cibernético do tipo Man-In-The-Middle é um dos tipos de ataques mais poderosos da
actualidade e tem como objectivo interceptar todo o tráfego de dados em uma comunicação
entre dispositivos nas redes de computadores. Um ataque Man-In-The-Middle (MITM) é um
tipo de ataque cibernético no qual o atacante secretamente intercepta e retransmite mensagens
entre duas partes que acreditam estar a se comunicar directamente uma com a outra. O ataque
Man-In-The-Middle é um tipo de espionagem em que o atacante intercepta e controla toda a
conversa. Os ataques cibernéticos Man-In-The-Middle representam uma série de ameaças à
segurança da informação online, porque dão ao atacante a capacidade de capturar e manipular
informações pessoais, confidenciais, tais como: credenciais de login, detalhes da conta ou
números de cartão de crédito em tempo real. Por este motivo, este tipo de ataque cibernético é
o tema de estudo no presente trabalho.
O presente estudo tem como panorama espacial, a Universidade Joaquim Chissano. A escolha
deste espaço deveu-se ao facto de a Universidade Joaquim Chissano ter implementado o curso
de Engenharia em Tecnologias e Sistemas de Informação recentemente e, tem demonstrado
um interesse enorme com vista a garantir a segurança da informação presente no seu sistema.
No que diz respeito ao panorama temporal, o estudo cobriu o período que vai desde o ano
2018 a 2023.O ano 2018 foi o marco inicial do estudo, porque a segurança do sistema de
informação da rede local, foi algo que interessou ao pesquisador a partir do momento em que
ingressou na Universidade Joaquim Chissano.
Contextualização
1
https://www.keepersecurity.com/pt_BR/threats/man-in-the-middle-attacks-mitm.html
Consultado aos 06 de Maio de 2022
2
https://backupgarantido.com.br/blog/man-in-the-middle-entenda-o-ataque-e-saiba-como-se-
proteger Consultado aos 06 de Maio de 2022
3
Justificativa da Pesquisa
A escolha do presente tema, deveu-se ao facto de, apesar dos ataques cibernéticos do tipo
Man-In-The-Middle serem notáveis actualmente, pouco é abordado a esse respeito, em
especial em Moçambique. A curiosidade na busca pela compreensão de como esses ataques
são realizados, também levou o pesquisador a escolher o tema com vista a explorar essa área
de estudo e por conseguinte, ter o presente trabalho como um referencial para outras
pesquisas.
4
Problematização
Dado ao actual momento em que vivemos, onde quase todos estão conectados a uma rede sem
fio ou cabeada, sendo realizada inúmeras transacções, desde as transacções bancárias, acesso
a redes sociais, compras em sites e entre outras. Diante do cenário apresentado, surgiu a
seguinte questão de partida para esta pesquisa: Até que ponto, o sistema de registo
académico da Universidade Joaquim Chissano, garante a segurança dos dados contra o
ataque cibernético do tipo Man-In-The-Middle?
Objectivos da Pesquisa
Objectivo Geral
5
Objectivos Específicos
Propor mecanismos de soluções para mitigar este tipo de invasão cibernética nas redes
de computadores.
Questões de Pesquisa
Quais são os prováveis mecanismos de soluções para mitigar a invasão do tipo MITM
nas redes de computadores, em especial, o sistema de segurança do registo académico da UJC?
Hipóteses da Pesquisa
Metodologia da Pesquisa
A metodologia, vem do latim “Methodos” que significa organização, e “logos”, que significa
estudo sistemático, pesquisa, investigação; ou seja, metodologia é o estudo da organização,
dos caminhos a serem percorridos, para se realizar uma pesquisa ou um estudo, ou para se
fazer ciência (Narajo & Ramos, 2014:99). Assim, a metodologia na sua real etimologia,
significa o estudo dos caminhos, dos instrumentos utilizados para fazer uma pesquisa
científica (Fonseca, 2002). Desta feita, metodologia é a explicação minuciosa, detalhada,
rigorosa e exacta de toda acção desenvolvida na aplicação do método do trabalho de pesquisa
(ibid).
Classificação da Pesquisa
No que tange aos objectivos da pesquisa, o estudo tem um carácter explicativo. Onde para Gil
(2007:43), este tipo de pesquisa preocupa-se em identificar os factores que determinam ou que
contribuem para a ocorrência dos fenómenos. Ou seja, explica o porquê das coisas através dos
resultados obtidos. A utilização deste método foi pertinente para o trabalho, visto que,
permitiu ao autor identificar as causas que permitem com quem os ataques cibernéticos do
tipo Man-In-The Middle ocorram nas redes de computadores.
Para alcançar os objectivos da presente pesquisa, recorreu-se aos seguintes métodos e técnicas
de pesquisa:
Questionário
Como uma técnica de pesquisa de colecta de dados, o questionário é uma técnica de pesquisa
de dados constituída por uma série ordenada de perguntas, que devem ser respondidas por
escrito e sem a presença do entrevistador Lakatos (1981:228). Esta técnica auxiliou na
presente pesquisa, uma vez que permitiu obter respostas de forma rápida e precisas sobre os
mecanismos de segurança no sistema de registo académico da UJC.
Método Monográfico
Este método permitiu ao pesquisador obter generalizações sobre o tema em estudo, a partir de
um caso de estudo.
Método Estatístico
Os processos estatísticos permitem obter de conjuntos complexos, representações simples e
constatar se essas verificações simplificadas, tem relações entre si. O papel do método
estatístico, é, antes, de tudo, fornecer uma descrição quantitativa da sociedade, considerada
como um todo organizado por meio de probabilidades (Lakatos, 1981:33). Este método,
permitiu ao pesquisador chegar as conclusões por meio da utilização de probabilidades sobre
as inseguranças do sistema de registo académico da UJC.
Estrutura do Trabalho
Em 1999, Bruce Schneiner tornou popular o conceito de que cibersegurança tem que ver com
as pessoas, processos e tecnologias. Duas décadas depois, o foco foi sendo mais para as
tecnologias em relação as outras duas dimensões. Por muito tempo, quando a comunidade de
cibersegurança considerou o aspecto humano, isto foi feito no contexto de que os humanos
são os elos mais frágeis (Barker, 2019:12). De acordo com Aijaf (2021), a abordagem
humanística tenciona explicar que um dos equívocos mais comuns em relação à
cibersegurança é que ela tem haver principalmente com computadores e tecnologia. Esse
equívoco amplamente aceito desempenha um papel significativo no número crescente de
violações de dados e ataques cibernéticos que estão aumentando hoje. Somente em 2020, 43%
dos líderes de negócios do C-Suite relataram erro humano como a principal causa de suas
11
violações de dados. É, portanto, crucial perceber o papel crítico que os humanos têm que
desempenhar na segurança cibernética. Mas como é que os humanos têm um impacto tão
duradouro? O cenário de ameaças cibernéticas há muito evoluiu dos vectores de ataque
tradicionais. Longe vão os dias em que os cibercriminosos lançavam ataques com foco em
vulnerabilidades de rede e software. Provavelmente é porque as organizações agora protegem
suas redes por meio de várias ferramentas, como VPN ou software antimalware, enquanto
negligenciam os aspectos humanísticos da cibersegurança. O autor ainda enfatiza que, não são
apenas os ataques cibernéticos centrados em humanos que estão em ascensão. Erros humanos
são outra causa crescente de violações de dados e problemas de segurança cibernética. Um
estudo da IBM revela como o erro humano é a principal causa de 95% das violações de
segurança da informação. É certo que esses erros humanos são acções não intencionais,
muitas vezes por falta de conhecimento, mas têm um impacto catastrófico na infra-estrutura
de segurança cibernética de uma empresa.
O erro humano na cibersociedade não se limita a uma acção específica; em vez disso, abrange
várias actividades nas quais cada acção tem um efeito bastante terrível na cibersegurança.
Alguns dos exemplos mais prevalecentes de erros humanos em segurança cibernética são:
perder ou falhar senhas, download involuntário de anexos maliciosos, deixar informações
importantes desprotegidas e sem vigilância. Tais erros são, infelizmente, uma ocorrência
comum no mundo dos negócios moderno. Eles são muitas vezes devido à falta de
consciencialização. Na maioria das vezes, os funcionários não conseguem reconhecer se estão
se tornando vítimas de um ataque de engenharia social ou estão prestes a baixar um anexo
malicioso, principalmente porque não sabem como esses golpes são feitos sob medida. Outras
vezes, é mero descuido com o manuseio de dados ou esquecimento que um agente de ameaça
explora. Essa negligência deu aos agentes de ameaças a oportunidade de que precisam para
explorar o lado humanista da segurança cibernética (idem).
ou, no mínimo, ter trabalhos a fazer além de proteger os dados da empresa contra hackers.
Distracção, fadiga e erros humanos antiquados continuam a conceder acesso a dados
confidenciais de agentes mal-intencionados.3
A teoria aplica-se ao estudo em caso, na medida em que visa explicar sobre a relação existente
entre os utilizadores do ciberespaço, isto é, o aspecto humanístico em relação as tecnologias.
Consciencializando a importância de considerar o utilizador final como a ameaça mais
perigosa ao ciberespaço para ocorrência dos ataques cibernéticos do tipo Man-In-The-Middle
que são levados a cabo explorando o factor humano seja por sua negligência ou por falta de
conhecimento. Portanto, para a teoria, os desafios são os pontos de vista de cada internauta
bem como treinar o utilizador final de modo a mitigar os ataques cibernéticos.
3
https://www.fastcompany.com/90747936/the-human-side-of-cybersecurity consultado aos 20 de Novembro de
2022
13
A segurança holística é uma abordagem que procura integrar todos os elementos concebidos
para salvaguardar uma organização, considerando-os como um sistema complexo e
interligado. O objectivo final da segurança holística é a protecção contínua em todas as
superfícies de ataque: a totalidade de toda a exposição física, de software, de rede e humana.
4
https://www.techtarget.com/whatis/definition/holistic-security Consultado aos 16 de maio de 2022
14
O novo Código Penal, Lei n.º 35/2014, promulgada em Dezembro de 2014, que cobre os
crimes informáticos nos seus artigos 317, 318, 323, 324 e 326;
A Lei 3/2017, a Lei das Transacções Electrónicas, promulgada em Janeiro de 2017, que visa
proteger os consumidores e regular o uso de sistemas electrónicos no governo,sector privado e
sociedade civil;
Outrossim, tem-se notado que os diferentes esforços em curso, nalguns casos não se
complementam fazendo que se criem lacunas na garantia da segurança cibernética, no combate
ao crime cibernético e outros males a que estamos sujeitos no ambiente cibernético. É neste
contexto que o Governo vê como uma necessidade primordial a elaboração de uma Estratégia
Nacional de Segurança Cibernética que irá delinear o papel dos diferentes actores, para reduzir
a vulnerabilidade das instituições e utentes da Internet. Esta estratégia irá indicar o papel dos
diferentes sectores incluindo o Governo, a Banca, os prestadores de serviços, entre outros, em
criarem mecanismos para minimizar os efeitos dos crimes cibernéticos no território nacional.
Fonte: https://www.oam.org.mz/estrategia-nacional-de-seguranca-cibernetica-de-
mocambique/draft_national_cyber_security_strategy_mozambique_pt_gt_24052017final/
(2023)
A segurança cibernética é um risco muito grande para ser ignorado ou tratado à margem. Com
as violações de dados custando caro e causando uma mancha duradoura na reputação de uma
organização, a maioria das empresas tem protecção cibernética em seu radar. No entanto, para
atingir esse objectivo, eles se equipam principalmente com ferramentas robustas de segurança
cibernética de última geração que prometem oferecer excelente segurança. Embora este seja
um caminho na direcção certa, mas um caminho que termina com uma queda feia.
Principalmente porque os hackers inteligentes levam seu tempo e conseguem superar essas
ferramentas por meio de várias técnicas enquanto usam a proximidade de uma organização ou
psicologia humana como ferramenta. Empresas com uma visão mais ampla da cibersegurança,
envolvendo a integração de pessoas e processos junto com a tecnologia, são bem-sucedidas
em atenuar e remediar a cibersegurança do que aquelas que não o fazem. Principalmente
porque um ângulo ampliado de segurança cobre a maioria das vulnerabilidades presentes
online.
16
Como essa abordagem leva em consideração todos os factores relevantes sobre a detecção e
prevenção de ataques cibernéticos, ela deve deixar as organizações consideravelmente
seguras.
Portanto, a única maneira de obter um sistema de segurança robusto, é por meio de segurança
multicamadas, adequada práticas seguras, juntamente com educação e consciencialização,
sem mencionar ter um conceito compartilhado para alcançar a segurança.
consciencializar os funcionários de seu papel em manter uma organização segura, pode incutir
um senso de responsabilidade e insegurança dentro deles e melhorar a postura de segurança
cibernética de uma organização. Além disso, cabe à administração de uma organização
promover uma cultura de abertura, para que os funcionários não hesitem em denunciar crimes
cibernéticos. Os ataques cibernéticos continuam a evoluir e crescer. Por isso, a organização
deve estar sempre dedicada em busca de métodos de segurança mais avançados. Uma
abordagem holística à segurança cibernética envolve aprender com colegas e indústrias para
construir uma defesa e resposta contra o crime cibernético (Staff Reporter, 2020).
A crítica que é lançada a essa abordagem, que embora seja muito melhor que as outras
abordagens, é que com a adopção de um método holístico, as empresas se tornam seguras por
design e não por necessidade. As empresas passam de uma abordagem baseada no medo para
a segurança cibernética e, em vez disso, iniciam uma abordagem baseada em risco. As
decisões não são mais tácticas e inteligentes (Mark Fuentes,2018)
Aplicado ao trabalho, a presente abordagem permite explicar a importância de garantir nas
organizações todos os esforços possíveis na área da cibersegurança não se focando apenas no
factor humano assim como o factor tecnologia apenas. Adicionalmente, a abordagem explica
que uma visão holística, visa garantir a segurança dos utilizadores assim como dos
equipamentos no ciberespaço. O desafio para essa abordagem, é o factor financeiro (Mark
Fuentes, 2018).
18
A teoria humanística e a abordagem holística complementam-se, neste trabalho pelo facto de,
por um lado, a teoria humanística oferecer uma base para explicar o factor humano no
ciberespaço como a pior ameaça enquanto utilizador e a abordagem holística explicar que não
basta apenas toda a atenção estar voltada ao factor humano, mas sim, todos os aspectos que
são envolvidos no ciberespaço.
19
1.2.1. Cibersegurança
A cibersegurança é o esforço contínuo para proteger estes sistemas em rede, e todos os dados
contra o seu uso não autorizado ou que sejam danificados. A nível pessoal, é necessário
proteger a sua identidade, os seus dados e os seus dispositivos informáticos. A nível
empresarial, todos têm a responsabilidade de proteger a reputação, os dados e os clientes da
organização. A nível estatal, estão em jogo a segurança nacional, a segurança dos cidadãos e o
seu bem-estar.5 Sob outro enfoque, Cibersegurança refere-se as acções que combinam a
garantia de informações, defesa da rede de computadores incluindo acções de resposta e
protecção de infra-estrutura crítica com recursos capacitadores como a protecção electrónica,
suporte de infra-estrutura crítica e outros para impedir, detectar e, finalmente, responder à
5
https://contenthub.netacad.com/legacy/I2CS/2.0/pp/index.html#1.1.1.1 Consultado aos 20 de Maio de 2022
20
capacidade de negar ou manipular informações e/ou infra-estrutura (Portal IGI Global, 2020 6
citado por Mucochua,2021:18).
A Cibersegurança refere-se à protecção e garantia de utilização de activos de informação
estratégicos, principalmente os ligados às infra-estruturas críticas da informação – redes de
comunicações e de computadores e seus sistemas informatizados que controlam as infra-
estruturas críticas nacionais. Também abrange a interacção com órgãos públicos e privados
envolvidos no funcionamento das infra-estruturas críticas nacionais, especialmente os órgãos
da Administração Pública.
Para o presente trabalho, adopta-se a definição de Cibersegurança avançada pelo portal IGI
Global9 (2020), ou seja, toda a acção que levada a cabo visa garantir a segurança de
informação da rede de computadores incluindo acções de resposta e protecção da infra-
estrutura. Esta definição alberga em si, os principais aspectos alvos de análise na presente
pesquisa que consistem em detectar, impedir e responder aos ataques realizados no
ciberespaço.
Moreira (2012:32) define ataque cibernético como sendo: um ataque lançado geralmente a
partir de um computador recorrendo ao método de intrusão e que tem como finalidade,
adquirir, explorar, perturbar, romper, negar, degradar ou destruir informação constante em
computadores ou em redes de computadores, em sistemas e equipamentos electrónicos ligados
6
IGI Global (2020), Cyberdefense for more secure Cyberspace, [online] disponível em https://www.igi-
global.com/dictionary/ai-based-cyber-defense-for-more-secure-cyberspace/51251, consultado a 03 de Janeiro de
2023
21
7
https://blog.ecoit.com.br/ataques-ciberneticos-o-que-sao-e-como-se-proteger-de-um acedido
aos 05 de Maio de 2022
8
https://www.ibm.com/topics/cybersecurity acedido aos 05 de Maio de 2022
22
Para James Patterson, os ataques Man-In-The-Middle (MITM) são um tipo comum de ataque
de segurança cibernética que permite com que os atacantes escutem a comunicação entre dois
alvos. O ataque ocorre entre dois hosts que se comunicam legitimamente, permitindo que o
atacante "ouça" uma conversa que normalmente não deveria ouvir, daí o nome "Man-In-The-
Middle". Um ataque Man-In-The-Middle torna-se uma acção de acompanhamento muito
sensata para um hacker criminoso, depois que ele executa com sucesso um ataque de
falsificação. Enquanto alguns hackers passivos se contentariam em simplesmente poder
visualizar os dados que ele precisa e evitar manipulação enquanto escuta em um host
vulnerável, alguns podem querer realizar um ataque activo logo após ser capaz de realizar
com sucesso um ataque de falsificação.
Um ataque Man-In-The Middle pode ser executado quando um hacker realiza uma
falsificação de ARP, que é feita enviando mensagens falsas do Protocolo de Resolução de
Endereço, ou ARP, pela rede local infiltrada. Quando retirado com sucesso, as mensagens
ARP falsificadas permitem que o endereço MAC dos hackers seja vinculado com sucesso para
um endereço IP de um utilizador legítimo ou de um servidor inteiro em uma rede de destino.
Por outro lado, Swinhoe (2022), diz que um ataque Man-In-The-Middle (MITM) é um tipo de
ataque cibernético no qual as comunicações entre duas partes são interceptadas, geralmente
para roubar credenciais de login ou informações pessoais, espionar vítimas, sabotar
comunicações ou dados corrompidos. “Os ataques Man-In-The-Middle são ataques em que o
atacante está realmente posicionado entre a vítima e um host legítimo ao qual a vítima está
tentando se conectar”, diz Johannes Ullrich, reitor de pesquisa do SANS Technology Institute.
“Então, eles estão escutando passivamente a conexão ou estão realmente interceptando a
conexão, encerrando-a e configurando uma nova conexão com o destino” Ibid.
23
Para este estudo, tendo por base as definições acima, entende-se por ataque Man-In-The-
Middle, toda invasão cibernética que é realizada no ciberespaço onde são implementadas
24
técnicas e ferramentas para interceptar a informação que trafega entre utilizadores legítimos,
sem o conhecimento dos mesmos com a finalidade pessoal do atacante.
Figura 3 - Man-In-The-Middle
No presente capítulo deseja-se descrever as técnicas e ferramentas que foram adoptadas para a
realização do ataque cibernético Man-In-The-Middle. Para a redacção deste capítulo,
recorreu-se o uso da pesquisa bibliográfica e etnográfica. Assim sendo, o capítulo pretende
abordar os seguintes aspectos: Kali Linux, processo de conexão e desconexão, arp spoofing,
Wireshark, Bettercap, Sequestro de Sessão.
Kali Linux (anteriormente conhecido como BackTrack Linux) é uma distribuição Linux de
código aberto, baseada em Debian, destinada a testes avançados de penetração e auditoria de
segurança. O Kali Linux contém centenas de ferramentas voltadas para várias tarefas de
segurança da informação, como teste de invasão, pesquisa de segurança, Computação Forense
e Engenharia Reversa. Kali Linux é uma solução multiplataforma, acessível e disponível
gratuitamente para profissionais de segurança da informação e amadores.9
O Kali Linux foi lançado em 13 de Março de 2013 como uma reconstrução completa do
BackTrack Linux, aderindo completamente ao padrão de desenvolvimento Debian 10. Assim, o
Kali linux é um arsenal de testes de penetração baseado em linux que auxilia os profissionais
de segurança na realização de avaliações em um ambiente puramente nativo dedicado a
hacking. Kali linux é uma distribuição baseada na distribuição debian GNU/Linux voltada
para o uso de testes de penetração e forense digital (idem).
9
https://www.kali.org/docs/introduction/what-is-kali-linux/ acedido aos 22 de Maio de 2022
10
https://www.kali.org/docs/introduction/what-is-kali-linux/ acedido aos 22 de Maio de 2022
26
Kali linux ou simplesmente kali, é a mais nova distribuição linux da ofensiva de segurança. É
a sucessora da distribuição Back Track Linux. Ao contrário da maioria das distribuições linux,
o kali linux é usado para fins de teste de penetração. teste de penetração é uma forma de
avaliar a segurança de um sistema de computador ou rede simulando um ataque (David De
Smet e Willie L.Pritchett : 2013)
2- Scan passivo: durante o scan passivo, o utilizador escuta em todos os canais por um
beacon frame enviado pelo ponto de acesso. Quando este beacon frame é recebido, o utilizador
27
inicia a conexão. Esta abordagem é muito mais lenta do que a activa porque o utilizador deve
esperar que o ponto de acesso envie o beacon frame e há uma possibilidade de que o utilizador
venha a perder o beacon frame se ele for transmitido em outro canal (idem).
probe request. Finalmente, o estado do utilizador mudará para desassociado e não associado
(idem).
ARP é um protocolo usado pela camada de enlace de dados para mapear o endereço IP para o
endereço MAC. Antes de encapsular o pacote da camada de rede em um quadro da camada de
29
enlace de dados, o host que envia o pacote precisa saber o endereço MAC do destinatário.
Dado o endereço IP de um host, para encontrar seu endereço MAC, o nó de origem transmite
um pacote ARP request que pergunta sobre o endereço MAC do proprietário do endereço IP.
Esta solicitação é recebida por todos os nós dentro da LAN. O nó que possui este endereço IP
responde com seu endereço MAC. Vale ressaltar que o ARP reply é unicast enquanto o ARP
request é broadcast. Quando o host recebe ARP reply, geralmente o mapeamento de endereços
IP/MAC é salvo como entradas em uma tabela chamada de “tabela ARP”. Esta tabela é usada
como um cache onde o nó enviará um ARP request somente se a tabela ARP não contém o
mapeamento IP/MAC.
O ponto fraco do ARP está no facto de ser um protocolo sem estado, ou seja, aceita respostas
ARP sem precisar enviar uma solicitação ARP. O ataque ARP spoofing explora essa
vulnerabilidade enviando mensagens de resposta ARP que contém o endereço IP de um
recurso de rede, como o gateway padrão ou um servidor DNS, para uma máquina vítima. O
atacante substitui o endereço MAC do recurso de rede correspondente pelo endereço MAC de
sua máquina.
A máquina da vítima que recebe as respostas ARP spoofed não pode distingui-las das
legítimas. Além disso, as tabelas ARP geralmente usam apenas o resultado da última resposta
ARP.
O atacante então assume o papel de homem no meio; qualquer tráfego direccionado ao
recurso legítimo é enviado através do sistema de ataque. O invasor lê o pacote procurando
dados confidenciais; pode modificar esses dados, e, em seguida, passa para o destino
designado. Como este ataque ocorre nos níveis mais baixos do protocolo TCP/IP pilha, o
utilizador final não tem conhecimento da ocorrência do ataque11.
2.1.3. Bettercap
Bettercap é uma ferramenta poderosa, flexível e portátil criada para realizar vários tipos de
ataques MITM contra uma rede, manipular tráfego HTTP, HTTPS e TCP em tempo real,
detectar credenciais e muito mais. 12
11
https://en.kali.tools/?p=140 acedido aos 23 de Maio de 2022
12
https://en.kali.tools/?p=140 acedido aos 25 de Maio de 2022
30
Um exemplo de uso de sessões é quando você deve ser autenticado pelo site
com seu nome de utilizador e senha para definir formalmente a sessão. O site mantém
alguma forma de rastreamento de sessão para garantir que o utilizador aceda algum
conteúdo sem ter estabelecido a sessão. Quando a sessão está terminando, as credenciais são
apagadas. Nesse ataque, a vítima não sabe que está sendo monitorada e faz um
acesso a um servidor qualquer que vai gerar o ID da sessão. Nesse momento, o atacante
consegue o ID e se comunica com o servidor com esse ID, se passando pela vítima.
2.1.5. Wireshark
Figura 7 - Wireshark
O Wireshark possui um rico conjunto de recursos que inclui o seguinte: inspecção profunda de
centenas de protocolos, com mais sendo adicionados o tempo todo; Captura ao vivo e faz
análise offline; Navegador de pacotes padrão de três painéis; Multiplataforma: funciona em
Windows, Linux, macOS, Solaris, FreeBSD, NetBSD e muitos outros.13
13
https://www.wireshark.org acedido aos 24 de Maio de 2022
32
Colecta de Informação
Processo de Desconexão
Interceptando
Tráfego
As interfaces de rede (NICs) que operam sob o IEEE 802.11 x têm alguns modos de operação;
A fim de monitorar todos os dados transmitidos, o NIC deve ser definido para o Modo
Monitor. Neste modo, o NIC é capaz de capturar todos os dados independentemente do
endereço MAC do destinatário, tornando este modo ideal para colecta de informações
(Kamplanis, 2025:33).
Como pode ser observado na Figura 11 abaixo, como resultado do comando airodump-ng,
temos vários pontos de acesso. O ponto de acesso alvo, é “MY-UJC”. Além disso, da para ver
que temos a utilizadora Tina Manjate com endereço MAC 90:56:FC:DE:97:5B conectada ao
ponto de acesso alvo.
Instruções do comando:
-0 significa desconexão.
0 é o número de desconexão a enviar, 0 significa enviá-los continuamente, pode enviar 10 se
quiser que o alvo se desligue e volte a ligar.
-a para o endereço MAC do ponto de acesso alvo.
37
Um ponto de acesso falso bem concebido e implementado, é capaz de não deixar margem
para suspeita. O ponto de acesso falso, será configurado para ter exactamente o mesmo ESSID
como o do legítimo, "MY-UJC" neste caso. A figura 14 ilustra o código e o resultado disso.
Com o objectivo de interceptar apenas os dados valiosos do tráfego, neste caso o username e a
password do utilizador, será utilizado o bettercap e o wireshark. O Bettercap como acima
descrito, é uma ferramenta que é utilizada para análise de protocolos de rede e é capaz de
interceptar o tráfego, bem como de conduzir uma escuta activa de vários protocolos. O
Bettercap tem modos de funcionamento; neste presente trabalho, o modo IP será utilizado e
todo o tráfego será interceptado.
Figura 16 - net.probe on
O terceiro passo foi de anotar o endereço IP do host alvo que para esse caso foi o
192.168.43.125 do utilizador Duncan. O quarto passo foi executar o ataque ARP Spoofing ao
host alvo. Isto coloca o Man-In-The-Middle entre o utilizador e o router. Assim, podemos
interceptar os dados e ver todos os URLs e os websites que o host alvo está a visitar, e tudo o
que o utilizador colocar. Em seguida, executa-se o módulo set arp.spoof.fullduplex true para
fazer o spoof tanto do dispositivo alvo como o router e estar no meio da conexão. A seguir,
devemos definir o alvo usando o comando set arp.spoof.targets 192.168.43.125 e activar o
arp.spoof com o comando arp.spoof.on. O comando arp.spoof diz ao router que o Man-In-
44
Com o uso do HTTPS, que é o HTTP seguro, adiciona-se alguns princípios de segurança,
como confidencialidade, integridade e autenticação. Por confidencialidade, entende-se que a
mensagem só é lida pelo destinatário real da mensagem. A integridade representa que a
mensagem não foi alterada e o princípio da autenticação prova que o servidor é realmente
quem diz ser. Nesse artigo, apresenta-se, portanto, os mecanismos utilizados pelo HTTPS para
atingir esses três princípios básicos. A maioria das explicações resume o HTTPS como um
HTTP com o SSL (Secure Sockets Layer) ou, seu sucessor, o TLS (Transport Layer Security).
TLS ou SSL são camadas de segurança que fornecem confidencialidade e integridade. No
entanto, a autenticação dos sites da Web é feita pelos certificados e pela infra-estrutura de
47
Para a construção de um Website com HTTPS, o administrador do site precisa criar um par de
chaves, uma pública e uma privada. Assim, quando um utilizador solicita uma conexão a esse
site, o servidor envia a sua chave pública para o utilizador.Com a chave pública, o utilizador
pode se comunicar com o servidor, garantindo que todas as mensagens enviadas para o
servidor somente serão lidas pelo servidor, pois apenas o servidor possui a chave privada.
Basta, para isso, que o navegador do utilizador encripte todas as requisições e decripte as
respostas recebidas com a chave pública do servidor. Dessa forma, garante-se a
confidencialidade, pois o utilizador tem certeza que apenas o servidor vai receber suas
mensagens e que foi o servidor quem enviou aquela mensagem.
Para garantir a integridade, o TLS/SSL adiciona a cada mensagem, seja ela requisição ou
resposta, um código. Esse código é denominado MAC (Message Authentication Code) e
busca permitir ao destinatário detectar se a mensagem foi alterada. Seu funcionamento é
simples. Calcula-se um resumo (Hash) de cada mensagem e envia-se esse resumo junto com a
mensagem. Assim, quando o destinatário receber a mensagem, deve calcular o mesmo resumo
e verificar se o resumo calculado é igual ao recebido. Se for igual, a mensagem não foi
alterada, mas se for diferente, o destinatário deve descartar a mensagem e pedir uma nova.
14
Criptografia em segurança virtual, é a conversão de dados de um formato legível em formato codificado onde
os dados so podem ser lidos ou processados depois de serem decriptados.
https://www.techtudo.com.br/noticias/2012/07/qual-a-diferenca-entre-http-e-https.ghtm Consultado aos 25 de
Maio de 2022
48
No entanto, apenas com o TLS/SSL não é possível garantir que o servidor é realmente quem
ele diz ser. Isso ocorre, pois, a chave pública é enviada para o navegador pelo próprio servidor
Web. Dessa forma, se o utilizador malicioso falar com o utilizador como se fosse o servidor, o
utilizador envia os dados para o utilizador malicioso pensando que está conversando com o
servidor legítimo. Para evitar esse problema, na Internet, criou-se uma infra-estrutura de
chaves públicas. Assim, após criar o seu par de chaves, o administrador do Website deve
registar esse par de chaves em uma autoridade certificadora da Internet. A autoridade
certificadora funciona como um cartório do mundo real e emite um certificado confirmando
que aquela chave pública é realmente do site. Esse processo, nos certificados mais fortes,
envolve, inclusive, o sócio do site indo pessoalmente até a sede da autoridade certificadora
portando os documentos legais da instituição. Dessa forma, quando um site possui um
certificado, o navegador o exibe com todas as informações da instituição que o emitiu.
O funcionamento é simples, quando o servidor envia a chave pública para o utilizador, ele
também envia o certificado que atesta a validade da chave pública. Assim, o utilizador
consulta a autoridade certificadora para verificar o certificado, que pode inclusive ter sido
revogado. Caso a autoridade certificadora ateste a validade do certificado, o navegador confia
na chave pública recebida e se comunica com o servidor tendo a certeza de que é o servidor
legítimo.
Com base na investigação, na implementação e nos resultados do ataque MITM descritos nos
capítulos anteriores, o utilizador mal-intencionado para conduzir com sucesso um ataque
MITM utiliza métodos enganosos e uma série de ataques aos pontos de acesso legítimos para
ludibriar os seus utilizadores. Actualmente, muitos fabricantes de equipamento de rede
49
implementaram mecanismos para os seus pontos de acesso, que impedem os utilizadores mal-
intencionados de perturbar de forma efectiva o funcionamento dos seus produtos. Dado que os
ataques acima mencionados podem ser evitados, a forma mais eficaz de desconectar os
utilizadores da rede a que estão ligados é atacando-os utilizando o ataque de desautenticação.
Devido à falta de encriptação nos quadros MAC, este tipo de ataque não pode ser prevenido
utilizando equipamentos sem fios não especializado. Isto significa que os utilizadores estão
completamente expostos ao atacante (Charalampos, 2015).
As métricas acima mencionadas serão utilizadas para distinguir os pontos de acesso legítimos
dos falsos. Um ponto de acesso falso pode ter o mesmo BSSID e ESSID com um BSSID
legítimo e portanto, as métricas adicionais podem ser utilizadas para fazer a distinção. O
MITM pode imitar a maioria das métricas, uma vez que são emitidas pelos pontos de acesso
legítimos, mas é impossível conhecer os parâmetros estabelecidos por um sistema de
segurança independente relactivamente quanto a potência máxima e mínima de transmissão
de um ponto de acesso legítimo (idem).
As métricas dos pontos de acessos legítimos formarão uma lista de protecção que será
armazenada numa base de dados sob um sistema de detecção e protecção. Depois, com base
nesta lista, o sistema fará scan regularmente a vizinhança em busca de quaisquer alterações
comparando os resultados com a lista armazenada. Se for detectado um novo ponto de acesso e
50
este estiver ausente da lista de protecção, ele será considerado como uma tentativa de um
ataque MITM. Finalmente, após a detecção do ponto de acesso falso, mecanismos de
prevenção começarão automaticamente a desautenticar o ponto de acesso falso, a fim de
impedir que qualquer utilizador se conecte a ele. Não se conectar as redes desconhecidas ou
públicas, usar criptografia para proteger os dados transmitidos pela internet, manter o
computador actualizado, ter um antivírus instalado são algumas das medidas preventivas para
o ataque Man-In-The-Middle(idem).
51
5. CONCLUSÕES
Não se pode desconsiderar as ameaças que advém da utilização do ciberespaço, tal como os
outros; e concernente ao objectivo de propor os mecanismos de segurança de informação
contra ataques cibernéticos do tipo Man-In-The-Middle , constatou-se no terceiro capítulo,
com recurso à implementação das técnicas aplicadas durante o trabalho, que o sistema de
segurança de informação da Universidade Joaquim Chissano, é caracterizado por
vulnerabilidades que deixam portas de entrada para os utilizadores mal-intencionados, entre
públicos e privados, do espaço cibernético. Por vias disto, a primeira hipótese avançada foi
validada. Não obstante, apesar de conter alguns aspectos de segurança cibernética como é o
caso da autenticação, o sistema de registo académico (ESURA) da Universidade Joaquim
Chissano ainda apresenta vulnerabilidades que, em situação real, são fontes de riscos e/ou
ameaças. Desta feita, no que se refere ao objectivo de evidenciar as principais ameaças,
vulnerabilidades e riscos do sistema de informação, no contexto das crescentes ameaças neste
espaço, constatou-se no terceiro capítulo, com base em evidências encontradas no caso de
estudo, isto é, no campus da Universidade Joaquim Chissano, que a principal vulnerabilidade
está associada a implementação de protocolo HTTP ao invés do protocolo HTTPS para o
sistema de registo académico. Este facto facilita a efectividade das acções de utilizadores mal-
intencionados. Desta feita, tendo por base os parágrafos anteriores alicerçados nos capítulos
deste trabalho, foram alcançados os objectivos traçados, na medida em que, foi possível
caracterizar a segurança da informação da rede da Universidade Joaquim Chissano, em face
aos ataques cibernéticos do tipo Man-In-The-Middle.
Concluí-se que os dados mesmo sendo encriptados, podem ser interceptados pelo utilizador
mal-intencionado, utilizando as ferramentas certas se os protocolos de segurança não forem
implementados na rede.
52
6. RECOMENDAÇÕES
7. REFERÊNCIAS BIBLIGRÁFICAS
a) Livros
Diehl, Astor António e Tatim, Denise Carvalho (2014) Pesquisa em Ciências Sociais
Aplicadas: Métodos e Técnicas, São Paulo: Prentice Hall.
Gil, António (2002), Como Elaborar Projectos de Pesquisa, São Paulo: Atlas Editora.
Hant, Ray. Moffat Mathews. (2006) Evolution of Wireless Lan Security architecture to
IEEE S0211i (WPA2).
Henty, Benjamin E. (2001). A Brief tutorial on the Phy and Mac layers of the IEEE S02.
11b Standard.
Fontes Primárias
c) Questionário
Rafael, técnico informático na Universidade Joaquim Chissano (2022)
55
8. APÊNDICES
População e amostra
A pesquisa teve como população utilizadores da rede da UJC, docentes e estudantes da UJC;
como amostra 13 utilizadores, 2 docentes e 20 estudantes.
• Para a escolha dos utilizadores como amostra, usou-se o método de escolha propositada,
tendo em conta que estes possuem informação relacionada a rede.
• Para a escolha dos docentes como amostra, usou-se o método de escolha aleatória.
• Para a escolha dos estudantes como amostra, usou-se o método de escolha aleatória.
Diagrama da Amostra
40
35
30
25
Quantidades
20
15
10
5
0
Utilizadores Docentes Estudantes Totais
TOTAIS
37%
57%
6%
GUIÃO DE QUESTIONÁRIO
A. SIM
B. NÃO
A. SIM
B. NÃO