O que é um ataque de sniffing?

Sniffing consiste na monitorização, captura e eventual análise de pacotes (“packets”) de informação que passam por uma rede. Além do já citado exemplo das escutas telefónicas, imagine que o carteiro inspeciona as suas cartas antes de as entregar – e sem danificá-las – de forma a obter informação sem que você sequer chegue a saber.

O sniffing pode ser usado para o mal ou para o bem. Por exemplo, o administrador da sua rede pode usar técnicas de sniffing para analisar a rede e detetar ameaças. Recorrendo ao exemplo do carteiro, e imaginando correio enviado a alguém muito importante ou que tenha recebido ameaças, é importante que a segurança inspecione se se trata de uma carta armadilhada antes que chegue ao destinatário.

Contudo, quem se questiona o que é um sniffer intui que é alguém sem autorização e com más intenções. Hackers e cibercriminosos poderão usar esta técnica para preparar o terreno para lançar ataques man in the middle (MITM) com o objetivo de roubar as suas credenciais bancárias, dados de contas de e-mail ou outros serviços online, ou outras informações pessoais de maneira a executar um roubo de identidade. Quem executa esta técnica não está escondido na Deep web vs Dark web; pelo contrário, utiliza a mesma internet aberta que todos nós.

Eventualmente já terá visto ataques de sniffing em filmes de espionagem, como referimos no exemplo anterior: o telefone do vilão é posto sob escuta de modo a que se possa recolher informação sobre ele. Essa é uma forma simples de sniffing. No ciberespaço, o sniffer usa ferramentas mais sofisticadas, geralmente com base no conceito de analisadores de pacotes. Em informática, designa-se como analisador de pacotes um programa de computador ou hardware que interceta e regista o tráfego que passa por uma rede. A captura de pacotes é o processo de interceção e registo desse tráfego.

Quaisquer dados que partilhe na internet e que não estejam encriptados podem ser intercetados e lidos, caso o sniffer tenha sucesso. Estamos a falar de qualquer tipo de dados:

• Email
• Tráfego web (sites visitados, etc.)
• Palavras-passe FTP
• Palavras-passe Telnet
• Configurações de router
• Sessões de chat
• Tráfego identificado mediante DNS, etc.

Para compreendermos como funciona o sniffing, é importante perceber como é que a informação viaja através da internet. Quaisquer dados enviados online são divididos nos chamados “packets” (pacotes), que partem do seu dispositivo (computador, telemóvel, etc.) e são “montados” quando chegam ao destino. Estes pacotes de informação passam por uma rede imensa de routers e switchs antes de lá chegar. Cada um desses pontos de passagem pode ser usado para packet sniffing.

Imagine uma viagem de automóvel (antes ou fora do espaço Schengen) em que é necessário passar por um posto de fronteira. Os guardas poderão questionar e investigar se vai mercadoria ilícita a bordo. O packet sniffing funciona de forma similar.

Existem dois grandes tipos de ataques sniffing: o passivo e o ativo. Um bom exemplo é a comparação com o pescador e o caçador.

No sniffing passivo, os dados que “viajam” são recolhidos depois de o sniffer ter “lançado a rede” e enquanto aguarda tranquilamente que o peixe morda. Este tipo de sniffing pode ser aplicado a redes ligadas por “hubs”, i.e., aparelhos que recebem tráfego por uma porta (“port”) e o reencaminham para outras portas. Logo, quando o aparelho de sniffing é instalado no hub, o hacker verifica e captura o tráfego que lá passa, como peixe numa rede. Felizmente, os hubs estão a ser gradualmente substituídos por “switchs”. Os sniffers estão a ser obrigados a adotar técnicas de sniffing ativo, isto é, a passar de pescadores a caçadores.

O sniffing ativo procura inundar a tabela de endereços MAC do switch (também chamada de tabela CAM), que redireciona o tráfego legítimo para outras portas. O hacker pode então espiar o tráfego que passa na switch. Um exemplo comparável seria a caça com recurso a cães de caça, que “inundam” a presa com informação (estímulos de fuga a vários predadores em simultâneo) e lhe reduzem o discernimento e a capacidade efetiva de fuga. Os ataques de sniffing incluem spoofing, envenenamento por DNS, ataques DHCP, etc.

Várias plataformas de e-commerce notaram uma subida no número de ataques de sniffing com recurso a Javascript (denominados formjacking por alguma literatura especializada). A Ticketmaster, conhecida plataforma norte-americana especializada em venda de bilhetes online, foi uma das visadas mais conhecidas. Como funciona este tipo de ataque:

1. O hacker injeta um pedaço de código malicioso (script) na página de checkout. O hacker pode criar o código, se for um programador, mas também pode comprá-lo na Dark Web.
2. Um utilizador insere os seus dados de cartão de crédito na página de crédito. O script “lê” estes detalhes e envia-os, automaticamente, para o computador do hacker.
3. O hacker pode então usar esses dados para roubar o dinheiro à vítima. Em alternativa, pode vender estes dados na Dark Web, que podem ser usados por outros hackers ou por quem queira proceder ao branqueamento de capitais.

1. Evite o Wi-Fi público. As redes de Wi-Fi público, mal protegidas, são das plataformas preferidas por hackers para lançar ataques man-the-middle. Potenciais vítimas ligam-se a redes públicas sem compreender os riscos que correm. Se precisar mesmo de usar um Wi-Fi público, use um serviço VPN que encriptará o seu tráfego e o protegerá desses ataques.
2. Use serviços de e-mail e messaging com encriptação. Uma VPN encripta o seu tráfego online, mas não resolve todos os seus problemas – nomeadamente se as suas apps de mensagens não tiverem encriptação de ponta a ponta (“end-to-end”).
3. Visite apenas websites com tecnologia HTTPS. Repare bem nos sites nos quais entra e veja se começam com HTTPS ou HTTP. Alguns browsers fazem este tipo de verificação automaticamente e informam o utilizador de que o site que está a visitar não tem SSL/TLS, ou se os respetivos certificados estão desatualizados.
4. Faça verificações de segurança periódicas à sua rede para identificar intrusões. Os administradores de redes ou a equipa de TI da sua empresa podem aplicar várias técnicas para detetar sniffers antes que eles possam causar danos; por exemplo, analisar a largura de banda para identificar tráfego estranho, anormalmente alto ou não identificado.