Farejando a própria casa
Com o expressivo crescimento de ataques, spams, worms e outras pragas provenientes da internet, muitas empresas chegam a investir milhões de dólares em equipamentos e softwares para proteger suas redes contra esses perigos externos. E elas têm razão em ter essas preocupações. Estudos apontam que um micro com Windows, sem as atualizações de segurança e exposto à internet, não sobrevive mais que 5 minutos. Existem divergências quanto a esse tempo, mas assim mesmo, as pesquisas mais conservadoras apontam que que esse tempo não passa de algumas horas (leia mais – em inglês).
O que muitas empresas ainda não levam em consideração, são os perigos existentes dentro da própria casa. Funcionários insatisfeitos, espiões plantados pela concorrência, funcionários curiosos (e “metidos” a hacker), podem comprometer a segurança da informação a partir da rede interna com muito mais facilidade do que um atacante localizado em qualquer lugar da internet. Além dele ter conhecimento da rede interna (servidores, pastas compartilhadas, senhas, etc), tecnicamente é muito mais fácil se comprometer a segurança.
Uma dessas formas de ataques internos é o sniffing. Literalmente poderíamos traduzir como “farejamento” e consiste em interceptar e monitorar o tráfego da rede. Dessa forma, o atacante pode capturar e-mails, conversações de mensagens instantâneas, informações trocadas entre os sistemas corporativos e o banco de dados (informações confidenciais de funcionários, faturamento por exemplo) e até usuários e senhas.
Um parêntese ao leitor técnico: Se você acha que está seguro na sua rede porque o switch conecta os computadores fim-a-fim e não mais em forma de broadcast como os antigos hubs, saiba que isso é bobagem. O sniffing não é mais tão banal como antigamente, mas não existe nenhuma dificuldade em “sniffar” a conexão entre dois computadores com o uso de uma ferramenta de ataque tipo “man-in-the-middle”.
Por quê é mais fácil na rede local?
Tecnicamente, que não é o caso de entrar em detalhes, a maneira como são estabelecidas as conexões entre computadores em uma rede local favorecem a prática do sniffing. Mas além disso, é um dos pontos onde há a concentração do tráfego.
Para que você entenda melhor, vamos imaginar que você está na frente do seu computador, na sua mesa de trabalho e está acessando um homepage da internet. Para que sua solicitação de conexão chegue até o site que você está querendo acessar, ela é “quebrada” em pequenos “pacotes” na saída do seu micro. Esses pacotes trafegam pela sua rede, passam pelos equipamento que conectam a rede à internet (firewall, proxy, roteado e modem) até chegar no seu provedor de acesso. Até aí, seus pacotes percorrem um caminho único. A partir daí eles podem seguir caminhos distintos pela “nuvem” da internet até chegar no servidor do site que você está acessando. A mesma coisa ocorre no caminho inverso.
Assim, os pontos mais fáceis de alguém capturar todos os pacotes estão entre o seu computador e o provedor, pois daí em diante, até chegar no servidor de destino, sua mensagem é literalmente pulverizada pela internet.
Alguém localizado no provedor, pode capturar seu tráfego, sim, mas a medida que se juntam tráfegos provenientes de diversas redes e usuários, começa a ficar impraticável interceptar uma conexão específica. Na espinha dorsal da internet, então nem se fala. Seu pacote não passa de um grão de areia no deserto ao se juntar com o tráfego de diversos provedores.
Se sua conexão à internet é banda larga, a coisa é mais complicada ainda, pois cada vez que você se conecta na internet, você obtêm um endereço IP diferente (Lembra-se do que é o endereço IP? Eu já comentei sobre ele).
Não afirmo que a interceptação seja impossível fora dos limites da sua rede local. Em temos de segurança, nada é impossível, mas é pouco provável.
Então, como evitar?
Para ter 99% de segurança (não existe 100% de segurança), só usando de criptografia para codificar toda a comunicação entre o seu computador e o computador de destino. Quando você acessa o site de um banco, por exemplo, observe que em algumas páginas aparece um cadeado no rodapé do seu navegador e o modo de acesso muda de http para https. Essa sua conexão está criptografada e mesmo que alguém intercepte os pacotes, não vai pode entender a mensagem. “Então é 100% seguro?” Não! Nesse caso específico se um atacante “quebrar” a sua conexão e interceptar a reconexão, ele pode obter a chave para decriptografar da mesma forma que o seu navegador e assim visualizar a sua conversação.
Claro que a medida que implementamos mecanismos de segurança, o ataque fica mais difícil ao ponto de inviabilizar a sua quebra. Qualquer informação criptografada pode ser quebrada, teoricamente, com o emprego de “força bruta” (tentativa e erro) podendo variar de menos de um segundo a séculos de esforço computacional para isso. Naturalmente, um período tão longo faz com que a sua prática torne-se inviável.
Outro aspecto que pode inviabilizar o emprego da criptografia em toda e qualquer conexão, é que ela requer o uso de maior poder computacional quando comparado à uma conexão não criptografada, fazendo com que ela só seja empregada quando necessário.
Uma informação de “bônus”: Se você quiser criptografar suas conversações do MSN, baixe e instale o SimpLite, mas tanto você quanto seu interlocutor têm que ter o programa instalado para que a conversação seja criptografada.
Fora o emprego da criptografia, no caso de empresas, só resta a monitoração do uso da rede. O emprego da técnica de “man-in-the-middle” que falei anteriormente, deixa “rastros” na rede que podem ser detectados se ela estiver sendo constantemente monitorada.
Um detalhe importante que você deve saber, é que já existe jurisprudência no Brasil, no sentido de reconhecer que as empresas têm o direito monitorar o tráfego da sua rede e as caixas postais de e-mail corporativos, por serem consideradas ferramentas de trabalho de propriedade da empresa, disponibilizadas aos seus empregados para o exercício de suas funções. Assim, você não pode alegar invasão de privacidade se a empresa ler o conteúdo de suas mensagens de e-mail, desde que seja o e-mail corporativo.
Além das paredes
Com a popularização das redes sem fio, surgiu uma nova dor de cabeça para os gestores de segurança das empresas. Com elas, o tráfego da rede já não está mais confinada aos cabos instalados dentro dos seus limites físicos. Um sinal de rádio de uma Access Point (ponto de acesso é o aparelho provê o acesso sem fio para os computadores clientes), pode facilmente extrapolar os limites físicos das instalações da empresa e com isso serem interceptados por invasores localizados externamente (fisicamente). Isso também vale para as Access Points instalados na sua casa. Se você tiver uma em casa, cuidado.
Uma Access Point mal configurada, plugada na rede, pode por terra milhões de investimentos em segurança e é a mesma coisa que colocar um ponto de rede na calçada. Munidos de uma antena construída com lata de batatas Pringles, um notebook e um GPS, crackers circulam pelos grandes centros localizando e mapeando Access Points mal configuradas ou simplesmente escancaradas (sem qualquer proteção), praticando o que se chama de War Driving, para posterior invasão.
Esse é um caso em que não podemos abrir mão da criptografia. Os primeiros métodos adotados nesses equipamentos foi a criptografia WEP. Hoje é um método reconhecidamente fraco e que pode ser quebrado facilmente. Se você possui uma Access Point na sua rede, prefira a criptografia WPA. Apesar de ser um pouco mais lento, é mais seguro.
Cuidado com os Hot Spots
Se você costuma viajar com seu notebook e acessar internet através dos Hot Spots, cuidado. Hot Spots são os locais que provêm acesso à internet por meio de conexões sem fio. Alguns são gratuitos, outros não. Seja como for, muitos não implementam criptografia e devem ser usados com cautela. Qualquer computador que estiver compartilhando o mesmo ponto de acesso, pode sniffar sua conexão.
A única forma de se evitar os perigos dos Hot Spots é estabelecer conexão de VPN com um servidor da sua confiança (pode ser da sua empresa ou da sua casa) e a partir de lá você sai para internet. Só para facilitar o entendimento, VPN significa “Virtual Private Network” e estabelece uma conexão segura (criptografado) entre dois computadores usando meios inseguros como a internet, por exemplo. Quando você estabelece uma conexão de VPN, é como se o seu computador fosse transportado fisicamente para dentro da rede local da sua empresa (ou da sua casa) e de lá ganhasse acesso à internet. Como todo tráfego entre seu computador e o servidor de VPN é criptografado, inclusive o que passa pela rede sem fio, um abelhudo conectado na mesma Access Point pode até capturar o seu tráfego, mas não vai conseguir lê-lo.
Uma boa opção para montar o seu próprio servidor de VPN é o Open VPN. É um software gratuito e bastante flexível na sua configuração, mas se você não tem muita experiência em redes, provavelmente vai precisar de um auxílio técnico. Numa outra oportunidade eu publico um tutorial sobre isso.
1 resposta Até agora ↓
Isac G // Abril 5, 2009 às 12:18 am |
Excelente artigo. Nota que para inteceptações de redes Wireless configuradas com criptografia WEP, basta um ‘engraçadinho’ com um notebook e um Linux instalado para capturar a conexão. Hoje em dia ele não precisa nem de GPS, basta uma antena feita de lata de Pringles ou de molho de tomate para ambliar o sinal e pronto! As vezes eu leio artigos na internet ensinando a interceptar conexões e eu fico pasmo de como a nossa segurança fica tão exposta na internet.
Abraço