Blogue

O que é sniffing de pacotes e como evitá-lo?

Suas atividades na Internet são transmitidas através de muitos roteadores e switches a caminho de seu destino. Esses pacotes são suscetíveis de coleta e análise em cada um desses pontos por meio de um processo chamadodetecção de pacotes. Este artigo explica o que é a detecção de pacotes e alguns conselhos práticos sobre como evitá-la.

Veja também: Melhores farejadores de pacotes & Melhores analisadores de rede

Existem muitas formas de rede e a mais comum de todas é o TCP/IP. Essa sigla significa Transmission Control Protocol over Internet Protocol, que significa simplesmente que a rede envia pacotes TCP para computadores de destino usando endereços IP. A parte crítica desta descrição é a palavrapacotes. Ao contrário do que nossos olhos nos dizem, coisas como páginas da web e e-mails não viajam por toda a Internet. Eles são desmontados na extremidade emissora em pequenos pacotes de dados e remontados na extremidade receptora de volta ao seu formato original. Enquanto esses pacotes de dados viajam pela Internet, eles são suscetíveis a escutas e até mesmo modificações. Esta técnica é coloquialmente chamadadetecção de pacotese é realizado por ISPs, governos, empresas de publicidade e também por bandidos. Neste artigo, examinamos maneiras de se proteger contra a detecção de pacotes.

Conteúdo [ esconder ]

O que é detecção de pacotes?
Quem cheira o pacote?
Por que isso é ruim para mim?
Como se proteger contra a detecção de pacotes

O que é detecção de pacotes?

Para entender como ocorre a detecção de pacotes, é útil entender como funciona o roteamento da Internet. As páginas da Web e os e-mails não são enviados intactos pela Internet como um único documento. Em vez disso, o lado emissor (seu computador) os divide em muitos pequenos pacotes de dados. Esses pacotes são endereçados a um endereço IP na extremidade receptora, que geralmente tem a obrigação de confirmar o recebimento de cada pacote que recebe. Para suportar isso, cada pacote contém o endereço IP de envio e recebimento, bem como muitas outras informações.

Esses pacotes não são passados do remetente para o destinatário de uma só vez. Em vez disso, cada pacote atravessa a Internet a caminho do seu destino, passando por vários dispositivos de controle de tráfego, como roteadores e switches. Cada vez que um pacote passa por um desses dispositivos de controle de tráfego, ele fica suscetível de captura e análise.

Uma observação sobre roteamento e convergência

A função dos roteadores nesse processo é literalmente encaminhar o tráfego para o seu destino. Os roteadores da Internet têm alguma ideia de onde está o endereço IP de destino, ou pelo menos sabem para onde enviar o pacote se não estiverem diretamente conectados ao destino. Essa técnica é chamadaconvergênciaporque pacotes de todo o mundo convergem para seu destino em virtude do roteamento. Considere um grande destino como o Facebook. Tem tráfego vindo de todo o mundo. À medida que esses pacotes se aproximam dos servidores reais do Facebook, o tráfego díspar converge para uma seção muito movimentada da Internet. Os roteadores nesses locais precisam ser muito robustos e seguros.

Uma comparação mais fácil pode ser considerar uma rodovia que tem centenas de rampas de saída para várias cidades. Todo o tráfego destinado à cidade de Quahog sairá da rodovia pela saída Quahog. Essa é uma forma de convergência, pois esses carros são apenas carros individuais que não parecem ter nada em comum até que todos comecem a sair em Quahog. Se um observador quisesse examinar todos os carros que vão para aquela cidade, faria mais sentido sentar-se na saída da rodovia Quahog, já que 100% dos carros que tomam essa saída são os carros de interesse. Faz menos sentido sentar-se em outro lugar na estrada e examinar os carros porque apenas uma parte deles é destinada a Quahog. A NSA Programa de vigilância PRISM usa esta técnica; os farejadores de pacotes da NSA “estacionam” nos roteadores mais próximos de grandes provedores de Internet, como Google e Facebook, para coletar o máximo possível de tráfego destinado a esses sites.

Quem cheira o pacote?

Qualquer pessoa que tenha acesso a um roteador pode realizar a coleta de pacotes e posterior análise. Como os usuários da Internet geralmente não têm ideia de como seu tráfego está sendo roteado, não é realmente possível saber quem pode estar observando esse tráfego. No entanto, a história mostra que os seguintes atores estiveram envolvidos na detecção de pacotes por vários motivos ao longo dos anos.

Uma observação sobre roteadores
A maioria de nós provavelmente pensa no roteador wi-fi em nossas casas quando ouvimos a palavra roteador. Isso está totalmente correto. O roteador de consumo da sua casa faz o mesmo trabalho que os grandes roteadores comerciais da Internet. Seu roteador doméstico é responsável por aceitar o tráfego de vários dispositivos conectados à Internet em sua casa e encaminhá-los para a Internet. Também é responsável por aceitar o tráfego de resposta da Internet e encaminhá-lo de volta ao dispositivo específico que o solicitou. A única diferença real é que os roteadores de Internet fazem isso para milhões de dispositivos, enquanto o seu roteador doméstico não estaria à altura de uma tarefa tão monumental.

Agências governamentais

Estados Unidos

Os documentos de Snowden revelaram um enorme aparelho de vigilância, denominado PRISM, que o Governo dos Estados Unidos tem utilizado em segredo há anos. Em particular, a Agência de Segurança Nacional (NSA) tem recolhido passivamente o tráfego da Internet destinado a grandes sites da Internet como o Facebook, o Google e outros. A NSA possui ferramentas de análise em larga escala, como XKeyscore o que permite pesquisar os pacotes coletados posteriormente.

Reino Unido

O Reino Unido possui um sistema semelhante de vigilância passiva de coleções denominado Tempora. O Reino Unido está numa posição única, pois a maior parte do tráfego da Internet chega ao Reino Unido através de cabos submarinos de fibra ótica. Isto fornece um ponto único de entrada e saída de e para o Reino Unido e os dispositivos de coleta Tempora operam nesses locais.

Mais uma dúzia ou mais países também são conhecidos por realizar vigilância em massa na Internet . Toda vigilância na Internet exigiria alguma forma de coleta e análise de pacotes.

Negócios

A vigilância na Internet não se limita aos governos. A espionagem industrial existe há décadas e não há dúvida de que algumas empresas empregam técnicas para determinar o que seus concorrentes estão fazendo. Os agentes de espionagem empresarial geralmente não podem se dar ao luxo de receber mandados governamentais para exigir acesso a redes e roteadores internos a fim de coletar pacotes. Portanto, a maior parte da espionagem industrial baseada na Internet provavelmente depende de métodos testados e comprovados, como o phishing, para obter acesso a redes internas. Uma vez obtida uma presença na rede alvo, a coleta e a análise de pacotes de dados podem contribuir com uma riqueza de conhecimento.

Anunciantes

As agências de publicidade são notoriamente sem escrúpulos, especialmente as agências de publicidade na Internet. Agências como essa normalmente são pagas de duas maneiras: pelo número de anúncios que exibem (Custo por mil – CPM) ou pelo número de cliques no anúncio que os anúncios obtêm (Pagamento por clique – PPC). Em ambos os casos, quanto mais impressões um anúncio obtiver, maiores serão esses números. Os anunciantes podem usar a detecção de pacotes para vigiar os usuários e avaliar suas preferências de mercado ou – pior ainda – para injetar anúncios nos pacotes recebidos à medida que eles passam.

Descobriu-se que a Comcast estava farejando pacotes em sua rede para determinar o local ideal para injetar anúncios em páginas da web arbitrárias que seus usuários estavam visualizando .

Além das questões éticas de modificação de conteúdo que não pertence à Comcast nem reside em sua rede, não é preciso muita imaginação para especular sobre outras coisas que podem ser injetadas em pacotes no caminho. Sabe-se que os anúncios da Internet contêm malware em muitos casos. Quando um ator como um anunciante pode assumir o controle do tráfego destinado ao seu computador e inserir conteúdo arbitrário, muitos dos quais são conhecidos como malware, isso contorna muitas proteções que você mesmo pode implementar.

Uma excelente demonstração disso está contida em Roubar meu login (não use um nome de usuário/senha real definido para teste). Esta página tenta demonstrar como um invasor pode roubar suas credenciais de login se conseguir injetar uma única linha de código na página de login. Enquanto a Comcast injetava anúncios via javascript, um invasor pode facilmente injetar javascript que rouba silenciosamente suas credenciais.

Caras maus

Os bandidos estão sempre tramando algo ruim. Muitos deles são habilidosos e capazes de usar uma ampla variedade de métodos para roubar informações suas. O phishing continua sendo o método número um pelo qual os bandidos obtêm acesso a informações como logins e dados financeiros. Mas o phishing não busca apenas um tipo de informação. Um cidadão normal pode sofrer phishing em busca de informações de cartão de crédito, que o bandido pode vender com lucro. Por outro lado, um administrador de sistemas em um banco pode sofrer phishing em busca de suas credenciais de login. O bandido pode então se esconder na rede interna do banco, farejar pacotes e coletar dados financeiros de todos os clientes do banco. Muitos ataques insidiosos e profundamente penetrantes começam com um simples e-mail de phishing.

Outro vetor muito comum para bandidos de menor escala é configurar um ponto de acesso sem fio falso em locais públicos, como cafeterias, e coletar pacotes de dados de pessoas inocentes que se conectaram involuntariamente a ele.

O malware pode conter farejadores de pacotes que monitoram a atividade online dos usuários, enviando dados de volta ao centro de comando e controle de um hacker. O malware VPNFilter, que infectou meio milhão de roteadores sem fio em mais de 50 países, incluiu um farejador de pacotes em sua terceira etapa. O VPNFilter intercepta pacotes de dados contendo credenciais de login e os envia aos hackers pela rede Tor.

Por que isso é ruim para mim?

Ter seu tráfego monitorado é ruim por alguns motivos gerais e por centenas de motivos menores.

Informações pessoais

Considere quantos negócios pessoais você conduz online. A maioria de nós faz transações bancárias, marca consultas médicas, escreve e-mails com dados pessoais e mantém bate-papos de longo prazo com amigos e familiares online. Quanto dessas informações você gostaria que se tornasse pública, ou pelo menos que fosse lida por outras pessoas?

É fácil imaginar bandidos roubando os números do seu cartão de crédito, mas e quanto a informações mais sutis? Sua seguradora gostaria de saber que você fez um angiograma recentemente? Seu futuro novo empregador gostaria de saber que você acabou de agendar uma consulta em uma clínica familiar? Seu banco gostaria de saber que você perdeu seu emprego recentemente? A razão pela qual chamamos uma classe de informação de “informação pessoal” é porque ela é pessoal e cabe a nós controlar a distribuição desse conhecimento.

Sim, você tem algo a esconder

Há um grupo de pessoas que defende que não se importa se forem vigiadas pela internet porque “não tenho nada a esconder”. Francamente, isto demonstra um mal-entendido fundamental do problema. A detecção de pacotes é conduzida tanto por bandidos que tentam causar danos quanto por agências de aplicação da lei. Como não há como configurar um pacote de dados para permitir que as autoridades o leiam, mas não os bandidos, não há outra conclusão a não ser que todos nós, de fato, temos algo a esconder.

Informação de negócios

As empresas geralmente se comportam com um véu de sigilo sobre seus empreendimentos futuros. Uma empresa que está em negociação para comprar um concorrente, ou para construir um novo local num local estratégico, poderia subitamente ficar em grande desvantagem se essa informação caísse em mãos erradas. No caso do setor imobiliário, uma empresa geralmente tem um ponto de “vá ou não” quando um grande investimento é feito. Se informações confidenciais vazarem depois desse ponto, é possível que uma empresa perca grandes quantias de dinheiro. Isto pode levar à perda de empregos e, em regiões mais pequenas, a um impacto económico real. Uma das maneiras pelas quais informações como essa são vazadas é por meio de espionagem industrial, que pode incluir a detecção de pacotes de e-mails e mensagens inseguras.

Como se proteger contra a detecção de pacotes

Para entender como se proteger contra a detecção de pacotes, é importante saber como é o seu tráfego em diferentes cenários. Vou me concentrar na web, mas os mesmos princípios se aplicam a qualquer comunicação pela Internet, como e-mail e mensagens. Usar HTTP simples e não criptografado é a pior postura de segurança possível. O uso de HTTPS (sessões criptografadas SSL) oferece mais proteção, mas não tanta proteção quanto uma VPN pode fornecer.

Primeiro, vamos começar com um formulário de login em um site não criptografado usando apenas HTTP. Acho que já é de conhecimento comum que se você estiver inserindo dados em um site que não exibe HTTPS e/ou um cadeado na barra de endereço, isso não é seguro. Apesar disso, um número surpreendente de operadores de websites ainda não implementou HTTPS nas suas páginas de login, o que deixa os seus utilizadores num estado de segurança muito precário.

Criei uma página de login simulada e fiz login com o nome de usuáriofooe a senhabar. Esta captura de tela mostra a captura do Wireshark desse login. Um observador pode ver facilmente meu nome de usuário e senha e usá-los mais tarde para fazer login em minha conta.

Em seguida, visitei o site da Comparitech, que força os usuários a usar HTTPS. Eu digitei comparetech.com no meu navegador para começar. A primeira coisa que aconteceu foi que meu sistema fez uma pesquisa de DNS não criptografado para obter o endereço IP do comparetech.com .

Esta informação informa a qualquer observador que estou prestes a visitar o site da Comparitech.

Meu navegador tentou se conectar a comparetech.com . Podemos ver que o site não permitirá conexões HTTP não criptografadas, por isso envia cabeçalhos de volta ao meu navegador que o instruem a tentar novamente usando HTTPS:

Meu navegador faz isso e a partir daí minha sessão é criptografada. Esse processo é um pouco melhor que o HTTP simples porque meu login subsequente no site, bem como todas as minhas outras atividades no site, agora estão criptografados. Mas, esse processo ainda forneceu ao observador a informação de que visitei o site da Comparitech. Isso é chamadometa dadae é o ponto crucial da forma como a maioria dos programas de vigilância do governo justifica a sua espionagem. Esses programas tentam afirmar que os metadados não são valiosos, mas isso claramente não é verdade. Saber onde as pessoas vão online é de grande valor.

Esta é uma captura de tela do que um observador pode ver das minhas atividades no site usando HTTPS. É principalmente um jargão criptografado.

Finalmente, capturei alguns pacotes enquanto minha VPN estava em execução. Neste caso, tudo está criptografado. A única coisa que um observador pode obter ao observar meu tráfego é um monte de pacotes OpenVPN criptografados destinados a um servidor OpenVPN.

Meu tráfego é criptografado em massa no meu computador antes de ser enviado pela VPN e não é descriptografado até chegar ao servidor VPN. O servidor VPN remove a camada de criptografia adicionada na extremidade de envio e envia o tráfego para seu destino em meu nome.

Observe que também estou roteando meu DNS por meio de minha VPN, de modo que até minhas consultas de DNS sejam criptografadas e invisíveis para um observador.

Com base nesses exemplos de captura de pacotes, as regras para se proteger contra a detecção de pacotes são:

Use uma VPN o tempo todo

As capturas de pacotes acima mostram que as conexões VPN fornecem a proteção mais completa. Seu tráfego é completamente criptografado e, se você garantir que suas consultas DNS também passem pela VPN, seus destinos não poderão ser derivados.

A única parte que pode ver o seu tráfego é o seu provedor de VPN, pois ele precisa remover a criptografia da VPN para ver para onde o tráfego deve ir. Você precisará ter algum nível de confiança em seu provedor de VPN para garantir que ele não faça coisas como registrar seu tráfego .

Você pode aumentar seu nível de anonimato e privacidade usando o Tor em conjunto com uma VPN. Existem duas maneiras principais de fazer isso, como Paul Bischoff explica em nosso Artigo sobre as melhores VPNs para usuários Tor aqui .

Sempre use HTTPS quando disponível

Se você estiver visitando um site usando HTTP, veja se ele aceita uma conexão HTTPS simplesmente amarrandohttps://na barra do navegador antes do endereço do site. Muitos sites possuem certificados SSL, mas o mantenedor do site não está forçando ativamente os visitantes a usá-los. A Electronic Frontier Foundation mantém um complemento de navegador para Chrome, Firefox e Opera chamado HTTPS em qualquer lugar que pode fazer isso por você. Ele tentará se conectar a todos os sites que você visitar usando HTTPS sem qualquer ação adicional de sua parte.

É importante notar que você deve continuar a usar HTTPS mesmo se estiver usando uma VPN. Isso ocorre porque uma carga criptografada HTTPS só pode ser descriptografada pelo servidor web de destino ou pelo seu próprio navegador. Um provedor de VPN terá que descriptografar a criptografia VPN adicionada ao pacote, mas não será capaz de descriptografar o pacote HTTPS, o que significa que seu provedor de VPN só poderá coletar os metadados.

Nunca envie dados de formulário usando HTTP

Se você estiver em uma situação em que simplesmente não consegue usar VPN ou HTTPS, evite enviar dados para um site. Especificamente, isso significa não preencher nenhuma caixa de formulário nem clicar em nenhum botão de formulário em um site. Os formulários enviam dados do seu computador para o servidor web e os locais mais comuns onde vemos isso são em formulários de login, formulários de contato e outras páginas que coletam informações suas.

Sempre que você envia dados para um site usando HTTP não criptografado, esses dados ficam claramente visíveis para um observador. A primeira captura de tela desta seção ilustra como é fácil ver meu nome de usuário e senha em um pacote HTTP; qualquer informação que você enviar por HTTP será igualmente visível.

3D-Online

Informações, Ferramentas, Revisões E Comparações, Para Ajudar Os Leitores A Melhorar Sua Segurança Cibernética E Confidencialidade Na Internet.