Lar
Análise 
Wireshark (interceptador de pacotes de rede). As melhores ferramentas de pen tester: sniffers e trabalho com pacotes Para interceptar o tráfego do aplicativo com um servidor, você precisará

Wireshark (interceptador de pacotes de rede). As melhores ferramentas de pen tester: sniffers e trabalho com pacotes Para interceptar o tráfego do aplicativo com um servidor, você precisará


Esta lição descreve tecnologias de hacking de rede baseadas na interceptação de pacotes de rede. Os hackers usam essas tecnologias para ouvir o tráfego de rede a fim de roubar informações valiosas, para organizar a interceptação de dados com a finalidade de um ataque man-in-the-middle, para interceptar conexões TCP, permitindo, por exemplo, falsificação de dados, e para realizar outras ações igualmente interessantes. Infelizmente, a maioria desses ataques são implementados apenas em redes Unix, para as quais os hackers podem usar tanto utilitários especiais e ferramentas do sistema Unix. As redes Windows, aparentemente, foram ignoradas pelos hackers, e somos forçados a limitar nossa descrição de ferramentas de interceptação de dados a programas farejadores projetados para escuta trivial de pacotes de rede. No entanto, pelo menos uma descrição teórica de tais ataques não deve ser negligenciada, especialmente para anti-hackers, uma vez que o conhecimento das tecnologias de hacking utilizadas ajudará a prevenir muitos problemas.

Sniffing de rede

Normalmente usado para detectar redes Ethernet. placas de rede mudou para o modo de escuta. A espionagem em uma rede Ethernet requer a conexão de um computador executando um programa sniffer a um segmento de rede, após o qual todo o tráfego de rede enviado e recebido pelos computadores nesse segmento de rede fica disponível para o hacker. É ainda mais fácil interceptar o tráfego de redes de rádio que utilizam intermediários de rede sem fio - neste caso, você nem precisa procurar um local para conectar o cabo. Ou um invasor pode se conectar a uma linha telefônica que conecta um computador a um servidor de Internet, encontrando um local conveniente para isso (as linhas telefônicas geralmente são instaladas em porões e outros locais raramente visitados, sem qualquer proteção).

Para demonstrar a tecnologia de sniffing, usaremos um programa sniffer muito popular Rede espiã, que pode ser encontrado em muitos sites. Site oficial do programa Rede espiã localizado em http://members.xoom.com/layrentiu2/, onde você pode baixar uma versão demo do programa.

Programa Rede espiã consiste em dois componentes - CaptureNet E PipeNet. Programa CaptureNet permite interceptar pacotes transmitidos pela rede Ethernet no nível da rede, ou seja, na forma de quadros Ethernet. Programa PipeNet permite montar quadros Ethernet em pacotes da camada de aplicação, restaurando, por exemplo, mensagens e-mail, mensagens do protocolo HTTP (troca de informações com o servidor Web) e executam outras funções.

Infelizmente, na versão demo Rede espiã possibilidades PipeNet estão limitados à demonstração de compilação do pacote HTTP, portanto não poderemos demonstrar como funciona Rede espiã na íntegra. No entanto, demonstraremos os recursos de detecção de rede Rede espiã usando nossa rede experimental como exemplo, transferindo um arquivo de texto do host Espada-2000 hospedar Alex-Z usando o Windows Explorer normal. Simultaneamente no computador A1ex-1 vamos lançar o programa CaptureNet, que interceptará os pacotes transmitidos e permitirá que o conteúdo do arquivo transmitido seja lido em quadros Ethernet. Na Fig. 1 mostra o texto da mensagem secreta no arquivo segredo.txt; tentaremos encontrar este texto nos quadros Ethernet capturados.

Arroz. 1. Texto da mensagem secreta na janela do Bloco de Notas

Para capturar quadros Ethernet, siga estas etapas:

No computador Alex-Z execute o programa CaptureNet. Na janela de trabalho exibida do programa, selecione o comando de menu Capturar * Iniciar(Capture * Start) e inicie o processo de captura de quadros de rede.

Usando o Windows Explorer, copie o arquivo security.txt do seu computador Espada-2000 sobre A1ex-3.

Após transferir o arquivo secret.txt, selecione o comando de menu Capturar * Parar(Capture * Stop) e pare o processo de captura.

Os quadros Ethernet capturados serão exibidos no lado direito da janela de trabalho do programa CaptureNet(Figura 2), com cada linha na lista superior representando um quadro Ethernet e abaixo da lista o conteúdo do quadro selecionado.

Arroz. 2. O quadro Ethernet contém texto de mensagem secreta

Depois de examinar a lista de frames interceptados, podemos facilmente encontrar aquele que contém o texto que transmitimos Este é um segredo muito grande (Este é um segredo muito grande).

Ressaltamos que este é o exemplo mais simples, quando todo o tráfego de rede interceptado foi registrado. Programa CaptureNet permite interceptar pacotes enviados por determinados protocolos e para determinadas portas de host, selecionar mensagens com conteúdo específico e acumular os dados interceptados em um arquivo. A técnica para realizar tais ações é simples e pode ser dominada utilizando o sistema de ajuda do programa Rede espiã.

Além da escuta primitiva da rede, os hackers têm acesso a meios mais sofisticados de interceptação de dados. Abaixo está uma breve visão geral de tais métodos, ainda que do ponto de vista teórico. A razão é que, para redes Windows, a implementação prática de ataques de interceptação de dados é extremamente limitada e o conjunto de utilitários confiáveis ​​para ataques de interceptação é bastante pobre.

Métodos para interceptar o tráfego de rede

Ouça a rede usando programas analisadores de rede como o acima CaptureNet, é o primeiro, o mais de uma forma simples interceptação de dados. Exceto Rede espiã Para detecção de rede, muitas ferramentas são utilizadas, inicialmente desenvolvidas com o propósito de analisar a atividade da rede, diagnosticar redes, selecionar tráfego de acordo com critérios especificados e outras tarefas de administração de rede. Um exemplo de tal programa é tcpdump (http://www.tcpdump.org), que permite registrar o tráfego de rede em um log especial para análise posterior.

Para proteção contra escuta de rede, são usados ​​programas especiais, por exemplo, Anti-cheiro (http://www.securitysoftwaretech.com/antisniff), que são capazes de identificar computadores na rede que estão envolvidos em espionagem tráfego de rede. Para resolver seus problemas, os programas antisniffer usam um sinal especial da presença de dispositivos de escuta na rede - a placa de rede do computador sniffer deve estar em um modo de escuta especial. Enquanto estiver no modo de escuta, computadores de rede reage de maneira especial aos datagramas IP enviados ao endereço do host que está sendo testado. Por exemplo, os hosts de escuta normalmente processam todo o tráfego de entrada, não apenas os datagramas enviados ao endereço do host. Existem outros sinais que indicam comportamento suspeito do host que o programa pode reconhecer Anti-cheiro.

Sem dúvida, a espionagem é muito útil do ponto de vista de um invasor, pois permite obter muitos informações úteis- senhas transmitidas pela rede, endereços de computadores em rede, dados confidenciais, cartas, etc. No entanto, a simples espionagem evita que um hacker interfira na comunicação de rede entre dois hosts para modificar e corromper dados. Para resolver esse problema, é necessária uma tecnologia mais complexa.

Solicitações ARP falsas

Para interceptar e assumir o processo de interação de rede entre dois hosts A e B, um invasor pode substituir os endereços IP dos hosts em interação por seu próprio endereço IP, enviando mensagens ARP (Protocolo de resolução de endereço) falsificadas para os hosts A e B. Você pode se familiarizar com o protocolo ARP no Apêndice D, que descreve o procedimento para resolver (converter) o endereço IP do host no endereço da máquina (endereço MAC) codificado na placa de rede do host. Vamos ver como um hacker pode usar ARP para interceptar comunicações de rede entre os hosts A e B.

Para interceptar o tráfego de rede entre os hosts A e B, o hacker impõe seu endereço IP a esses hosts, para que A e B usem esse endereço IP falsificado ao trocar mensagens. Para impor seu endereço IP, o hacker realiza as seguintes operações.

O invasor determina os endereços MAC dos hosts A e B, por exemplo, usando o comando nbtstat do pacote W2RK.

O invasor envia mensagens para os endereços MAC identificados dos hosts A e B, que são respostas ARP falsificadas a solicitações para resolver endereços IP de host para endereços MAC de computador. O Host A é informado que o endereço IP do Host B corresponde ao endereço MAC do computador do invasor; o host B é informado que o endereço IP do host A também corresponde ao endereço MAC do computador do invasor.

Os hosts A e B armazenam os endereços MAC recebidos em seus caches ARP e então os utilizam para enviar mensagens entre si. Como os endereços IP A e B correspondem ao endereço MAC do computador do invasor, os hosts A e B, sem suspeitar, comunicam-se através de um intermediário que pode fazer qualquer coisa com suas mensagens.

Para se proteger contra tais ataques, os administradores de rede devem manter um banco de dados com uma tabela de correspondência entre os endereços MAC e os endereços IP dos computadores da rede. Além disso, usando software especial, por exemplo, o utilitário arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) você pode pesquisar periodicamente a rede e identificar inconsistências.

Em redes UNIX, esse tipo de ataque de solicitação ARP falsificado pode ser implementado usando utilitários de sistema para monitorar e gerenciar o tráfego de rede, por exemplo, arpredireto. Infelizmente, em Redes Windows O 2000/XP não parece implementar esses utilitários confiáveis. Por exemplo, no site NTsecurity ( http://www.ntsecurity.nu) você pode baixar o utilitário GrabitAII, apresentado como um meio de redirecionar o tráfego entre hosts de rede. No entanto, uma verificação básica da funcionalidade do utilitário GrabitAII mostra que o sucesso completo na implementação das suas funções ainda está longe.

Roteamento falso

Para interceptar o tráfego de rede, um invasor pode falsificar o endereço IP real de um roteador de rede com seu próprio endereço IP, fazendo isso, por exemplo, usando mensagens de redirecionamento ICMP falsificadas. O Host A deve, de acordo com RFC-1122, perceber a mensagem de Redirecionamento recebida como uma resposta a um datagrama enviado para outro host, por exemplo, B. O Host A determina suas ações na mensagem de Redirecionamento com base no conteúdo da mensagem de Redirecionamento recebida, e se o redirecionamento de datagrama for especificado em Redirecionar de A para B ao longo de uma nova rota, isso é exatamente o que o host A fará.

Para realizar um falso roteamento, o invasor deve conhecer alguns detalhes sobre a organização da rede local na qual o host A está localizado, em especial, o endereço IP do roteador através do qual o tráfego é enviado do host A para B. Sabendo disso, o invasor irá gerar um datagrama IP no qual IP - o endereço do remetente é definido como o endereço IP do roteador e o destinatário é o host A. Também incluída no datagrama está uma mensagem de redirecionamento ICMP com o campo de endereço do novo roteador definido como o endereço IP do computador do invasor. Tendo recebido tal mensagem, o host A enviará todas as mensagens para o endereço IP do computador do invasor.

Para se proteger contra tal ataque, você deve desabilitar (por exemplo, usando um firewall) o processamento de mensagens de redirecionamento ICMP no host A, e o comando pode revelar o endereço IP do computador do invasor. tracert(no Unix este é o comando tracerout). Esses utilitários são capazes de encontrar uma rota adicional que apareceu na rede local e que não foi fornecida durante a instalação, a menos, é claro, que o administrador da rede esteja vigilante.

Os exemplos de interceptações acima (para os quais as capacidades dos invasores estão longe de ser limitadas) convencem da necessidade de proteger os dados transmitidos pela rede se os dados contiverem informações confidenciais. O único método de proteção contra interceptações de tráfego de rede é o uso de programas que implementam algoritmos criptográficos e protocolos de criptografia e evitam a divulgação e substituição de informações secretas. Para resolver tais problemas, a criptografia fornece ferramentas para criptografar, assinar e verificar a autenticidade das mensagens transmitidas através de protocolos seguros.

A implementação prática de todos os métodos criptográficos para proteger a troca de informações descritos no Capítulo 4 é fornecida por Redes VPN(Rede Privada Virtual - Redes Privadas Virtuais). Uma breve visão geral dos princípios e técnicas de segurança criptográfica pode ser encontrada no Apêndice E, e descrição detalhada proteção criptográfica fornecida pelo aplicativo Segurança de desktop PGP (http://www.pgp.com).

Interceptação de conexão TCP

O ataque de interceptação de tráfego de rede mais sofisticado deve ser considerado captura de conexão TCP (sequestro de TCP), quando um hacker interrompe a sessão de comunicação atual com o host gerando e enviando pacotes TCP ao host atacado. Em seguida, usando a capacidade do protocolo TCP de restaurar uma conexão TCP interrompida, o hacker intercepta a sessão de comunicação interrompida e a continua em vez do cliente desconectado.

Vários utilitários eficazes foram criados para realizar ataques de sequestro de conexões TCP, mas todos eles são implementados para a plataforma Unix e, em sites da Web, esses utilitários são apresentados apenas na forma de código-fonte. Assim, como praticantes convencidos da causa nobre do hacking, os ataques que utilizam o método de interceptação de conexões TCP não são de muita utilidade para nós. (Aqueles que gostam de entender o código do programa de outras pessoas podem consultar o site http://www.cri.cz/~kra/index.html onde você pode baixar código fonte conhecido utilitário de interceptação de conexão TCP Caçar de Pavel Krauz).

Apesar da falta de ferramentas práticas, não podemos ignorar esta tópico interessante, como interceptar conexões TCP, e vejamos alguns aspectos de tais ataques. Algumas informações sobre a estrutura de um pacote TCP e o procedimento para estabelecer conexões TCP são fornecidas no Apêndice D deste livro, mas aqui nos concentraremos na questão: o que exatamente permite que hackers realizem ataques de interceptação de conexões TCP? Consideremos este tópico com mais detalhes, baseando-nos principalmente na discussão em e.

O protocolo TCP (Transmission Control Protocol) é um dos protocolos básicos da camada de transporte OSI que permite estabelecer conexões lógicas através de um canal de comunicação virtual. Através deste canal os pacotes são transmitidos e recebidos com sua sequência registrada, o fluxo dos pacotes é controlado, a retransmissão dos pacotes distorcidos é organizada e ao final da sessão o canal de comunicação é interrompido. O protocolo TCP é o único protocolo central da família TCP/IP que possui um sistema avançado de identificação e conexão de mensagens.

Para identificar um pacote TCP, existem dois identificadores de 32 bits no cabeçalho TCP, que também atuam como contadores de pacotes, chamados de número de sequência e número de confirmação. Também estaremos interessados ​​em mais um campo do pacote TCP, denominado bits de controle. Este campo de 6 bits inclui os seguintes bits de controle (em ordem da esquerda para a direita):

URG – bandeira de urgência;

ACK - sinalizador de confirmação;

PSH - bandeira de transporte;

RST - sinalizador de restabelecimento de conexão;

SYN - sinalizador de sincronização;

FIN - sinalizador de encerramento de conexão.

Vejamos o procedimento para criar uma conexão TCP.

1. Se o host A precisar criar uma conexão TCP com o host B, o host A enviará ao host B a seguinte mensagem:

A -> B: SYN, ISSa

Isso significa que a mensagem enviada pelo host A tem o sinalizador SYN (sincronizar número de sequência) definido e o campo do número de sequência é definido como o valor inicial de 32 bits ISSa (número de sequência inicial).

2. Em resposta à solicitação recebida do host A, o host B responde com uma mensagem na qual o bit SYN é definido e o bit ACK é definido. No campo do número de sequência, o host B define seu valor inicial do contador - ISSb; o campo do número de confirmação conterá então o valor ISSa recebido no primeiro pacote do host A, aumentado em um. Então o host B responde com esta mensagem:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Finalmente, o host A envia uma mensagem ao host B na qual: o bit está definido PERGUNTAR; o campo do número de sequência contém o valor ISSa + 1; O campo do número de confirmação contém o valor ISSb + 1. Após esta conexão TCP entre hosts UM E EMé considerado estabelecido:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Agora o anfitrião UM pode enviar pacotes de dados para o host EM sobre o canal TCP virtual recém-criado:

A -> B: ACK, ISSa+1, ACK(ISSb+1); DADOS

Aqui DADOS significa dados.

A partir do algoritmo para criar uma conexão TCP discutido acima, pode-se ver que os únicos identificadores de assinantes TCP e de uma conexão TCP são dois parâmetros de 32 bits do número de sequência e do número de confirmação - ISSa E ISSb. Portanto, se um hacker conseguir descobrir os valores atuais dos campos ISSa E ISSb, nada impedirá que ele gere um pacote TCP falsificado. Isso significa que um hacker só precisa selecionar os valores atuais dos parâmetros ISSa E ISSb pacote TCP para uma determinada conexão TCP, enviar o pacote de qualquer host da Internet em nome do cliente desta conexão TCP e este pacote será percebido como verdadeiro!

O perigo de tal falsificação de pacotes TCP também é importante porque os protocolos FTP e TELNET de alto nível são implementados com base no protocolo TCP, e a identificação de clientes de pacotes FTP e TELNET é inteiramente baseada no protocolo TCP.

Além disso, como os protocolos FTP e TELNET não verificam os endereços IP dos remetentes das mensagens, após receber um pacote falsificado, os servidores FTP ou TELNET enviarão uma mensagem de resposta para o endereço IP do host hacker especificado no pacote falso. Depois disso, o host hacker passará a trabalhar com o servidor FTP ou TELNET a partir de seu endereço IP, mas com os direitos de um usuário legalmente conectado, que, por sua vez, perderá o contato com o servidor por incompatibilidade de contadores.

Assim, para realizar o ataque descrito acima, uma condição necessária e suficiente é o conhecimento dos dois parâmetros atuais de 32 bits ISSa E ISSb, identificando a conexão TCP. Vamos considerar maneiras possíveis recebê-los. No caso em que o host hacker esteja conectado ao segmento de rede atacado, a tarefa de obter os valores ISSa E ISSbé trivial e pode ser resolvido analisando o tráfego de rede. Portanto, é necessário entender claramente que o protocolo TCP permite, em princípio, proteger uma conexão somente se for impossível para um invasor interceptar mensagens transmitidas por esta conexão, isto é, apenas no caso em que o host hacker está conectado a um segmento de rede diferente do segmento de assinante da conexão TCP.

Portanto, os ataques intersegmentados são de maior interesse para um hacker, quando o invasor e seu alvo estão em segmentos de rede diferentes. Neste caso, a tarefa de obter valores ISSa E ISSb não é trivial. Para resolver este problema, apenas dois métodos foram inventados.

Previsão matemática do valor inicial dos parâmetros de conexão TCP por extrapolação de valores anteriores ISSa E ISSb.

Explorando vulnerabilidades na identificação de assinantes de conexão TCP em servidores rsh Unix.

A primeira tarefa é resolvida através de estudos aprofundados da implementação do protocolo TCP em diversos sistemas operacionais e agora tem um significado puramente teórico. O segundo problema é resolvido usando vulnerabilidades Sistemas Unix identificando hosts confiáveis. (Confiável por este anfitrião UM chamado host de rede EM cujo usuário pode se conectar ao host UM sem autenticação usando host r-service UM). Ao manipular os parâmetros dos pacotes TCP, um hacker pode tentar se passar por um host confiável e interceptar uma conexão TCP com o host atacado.

Tudo isto é muito interessante, mas os resultados práticos deste tipo de investigação ainda não são visíveis. Portanto, aconselhamos a todos que desejam se aprofundar neste tema que consultem o livro, de onde foram retiradas principalmente as informações apresentadas acima.

Conclusão

A interceptação de dados de rede é o método mais eficaz de hackeamento de rede, permitindo que um hacker obtenha quase todas as informações que circulam na rede. O maior desenvolvimento prático foi alcançado por ferramentas de detecção, ou seja, ouvir redes; Porém, não podemos ignorar os métodos de interceptação de dados da rede, que são realizados interferindo no funcionamento normal da rede para redirecionar o tráfego para o host do hacker, especialmente os métodos de interceptação de conexões TCP. Porém, na prática, os últimos métodos mencionados ainda não receberam desenvolvimento suficiente e precisam ser melhorados.

Um anti-hacker deve saber que a única salvação da interceptação de dados é a sua criptografia, ou seja, métodos criptográficos de proteção. Ao enviar uma mensagem pela rede, você deve presumir antecipadamente que sistema de cabos A rede é absolutamente vulnerável e qualquer hacker conectado à rede poderá capturar todas as mensagens secretas transmitidas por ela. Existem duas tecnologias para resolver este problema - criar uma rede VPN e criptografar as próprias mensagens. Todas essas tarefas são muito fáceis de resolver usando um pacote de software Segurança de desktop PGP(sua descrição pode ser encontrada, por exemplo, em).

Muitos usuários não percebem que ao preencher login e senha ao se cadastrar ou autorizar em um recurso fechado da Internet e pressionar ENTER, esses dados podem ser facilmente interceptados. Muitas vezes eles são transmitidos pela rede de forma insegura. Portanto, se o site no qual você está tentando fazer login usa o protocolo HTTP, é muito fácil capturar esse tráfego, analisá-lo usando o Wireshark e, em seguida, usar filtros e programas especiais para localizar e descriptografar a senha.

O melhor local para interceptar senhas é o núcleo da rede, onde o tráfego de todos os usuários vai para recursos fechados (por exemplo, correio) ou na frente do roteador para acesso à Internet, ao se cadastrar em recursos externos. Montamos um espelho e estamos prontos para nos sentirmos como um hacker.

Passo 1. Instale e inicie o Wireshark para capturar tráfego

Às vezes, para isso, basta selecionar apenas a interface através da qual pretendemos capturar o tráfego e clicar no botão Iniciar. No nosso caso, estamos capturando através de uma rede sem fio.

A captura de tráfego já começou.

Etapa 2. Filtrando o tráfego POST capturado

Abrimos o navegador e tentamos fazer login em algum recurso usando nome de usuário e senha. Assim que o processo de autorização for concluído e o site aberto, paramos de capturar tráfego no Wireshark. Em seguida, abra o analisador de protocolo e veja um grande número de pacotes. É aqui que a maioria dos profissionais de TI desiste porque não sabe o que fazer a seguir. Mas conhecemos e nos interessamos por pacotes específicos que contêm dados POST que são gerados em nossa máquina local ao preencher um formulário na tela e enviados para um servidor remoto quando clicamos no botão “Login” ou “Autorização” no navegador.

Entramos em um filtro especial na janela para exibir os pacotes capturados: http.solicitar.método == “PUBLICAR"

E vemos, em vez de milhares de pacotes, apenas um com os dados que procuramos.

Passo 3. Encontre o login e senha do usuário

Clique rapidamente com o botão direito e selecione o item no menu Siga TCP Steam


Depois disso, o texto aparecerá em uma nova janela que restaura o conteúdo da página em código. Vamos encontrar os campos “senha” e “usuário”, que correspondem à senha e nome de usuário. Em alguns casos, ambos os campos serão facilmente legíveis e nem mesmo criptografados, mas se tentarmos capturar tráfego ao acessar recursos muito conhecidos como Mail.ru, Facebook, Vkontakte, etc., a senha será criptografada:

HTTP/1.1 302 encontrado

Servidor: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAI COM NAV NOSSO OTRo STP IND DEM"

Set-Cookie: senha= ; expira = qui, 07 de novembro de 2024 23:52:21 GMT; caminho=/

Localização: logado.php

Comprimento do conteúdo: 0

Conexão: fechar

Tipo de conteúdo: texto/html; conjunto de caracteres=UTF-8

Assim, no nosso caso:

Nome de usuário: networkguru

Senha:

Etapa 4. Determine o tipo de codificação para descriptografar a senha

Por exemplo, acesse o site http://www.onlinehashcrack.com/hash-identification.php#res e digite nossa senha na janela de identificação. Recebi uma lista de protocolos de codificação em ordem de prioridade:

Etapa 5. Descriptografando a senha do usuário

Nesta fase podemos usar o utilitário hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Na saída recebemos uma senha descriptografada: simplepassword

Assim, com a ajuda do Wireshark, podemos não só resolver problemas no funcionamento de aplicações e serviços, mas também nos testar como hackers, interceptando senhas que os usuários inserem em formulários web. Você também pode descobrir senhas para caixas de correio usuários usando filtros simples para exibir:

  • O protocolo POP e o filtro são assim: pop.request.command == "USER" || pop.request.command == "PASS"
  • O protocolo e filtro IMAP serão: imap.request contém "login"
  • O protocolo é SMTP e você precisará inserir o seguinte filtro: smtp.req.command == "AUTH"

e utilitários mais sérios para descriptografar o protocolo de codificação.

Etapa 6: e se o tráfego for criptografado e usar HTTPS?

Existem várias opções para responder a esta pergunta.

Opção 1. Conectar quando a conexão entre o usuário e o servidor for interrompida e capturar o tráfego no momento em que a conexão for estabelecida (SSL Handshake). Quando uma conexão é estabelecida, a chave da sessão pode ser interceptada.

Opção 2: você pode descriptografar o tráfego HTTPS usando o arquivo de log da chave de sessão registrado pelo Firefox ou Chrome. Para fazer isso, o navegador deve estar configurado para gravar essas chaves de criptografia em um arquivo de log (exemplo baseado no Firefox) e você deverá receber esse arquivo de log. Essencialmente, você precisa roubar o arquivo da chave da sessão disco rígido outro usuário (o que é ilegal). Bem, então capture o tráfego e use a chave resultante para descriptografá-lo.

Esclarecimento. Estamos falando do navegador de uma pessoa cuja senha ela está tentando roubar. Se quisermos descriptografar nosso próprio tráfego HTTPS e quisermos praticar, essa estratégia funcionará. Se você estiver tentando descriptografar o tráfego HTTPS de outros usuários sem acesso aos seus computadores, isso não funcionará - isso é criptografia e privacidade.

Após receber as chaves conforme opção 1 ou 2, é necessário cadastrá-las no WireShark:

  1. Vá para o menu Editar - Preferências - Protocolos - SSL.
  2. Defina o sinalizador “Remontar registros SSL abrangendo vários segmentos TCP”.
  3. “Lista de chaves RSA” e clique em Editar.
  4. Insira os dados em todos os campos e escreva o caminho no arquivo com a chave

O WireShark pode descriptografar pacotes criptografados usando o algoritmo RSA. Se os algoritmos DHE/ECDHE, FS, ECC forem usados, o sniffer não nos ajudará.

Opção 3. Obtenha acesso ao servidor web que o usuário está usando e obtenha a chave. Mas esta é uma tarefa ainda mais difícil. Em redes corporativas, para efeito de depuração de aplicações ou filtragem de conteúdo, esta opção é implementada legalmente, mas não para fins de interceptação de senhas de usuários.

BÔNUS

VÍDEO: Wireshark Packet Sniffing Nomes de usuário, Senhas e Páginas da Web

Métodos para interceptar o tráfego de rede

Ouvir a rede usando programas analisadores de rede é a primeira e mais fácil maneira de interceptar dados.

Para proteção contra espionagem de rede, são utilizados programas especiais, por exemplo, AntiSniff, que são capazes de identificar computadores na rede que estão ouvindo o tráfego da rede.

Para resolver seus problemas, os programas antisniffer usam um sinal especial da presença de dispositivos de escuta na rede - a placa de rede do computador sniffer deve estar em um modo de escuta especial. Enquanto estão no modo de escuta, os computadores da rede reagem de maneira especial aos datagramas IP enviados ao host que está sendo testado. Por exemplo, os hosts de escuta normalmente processam todo o tráfego de entrada, não apenas os datagramas enviados ao endereço do host. Existem outros sinais que indicam comportamento suspeito do host que o AntiSniff pode reconhecer.

Sem dúvida, a espionagem é muito útil do ponto de vista de um invasor, pois permite obter muitas informações úteis - senhas transmitidas pela rede, endereços de computadores em rede, dados confidenciais, cartas, etc. No entanto, a simples espionagem evita que um hacker interfira na comunicação de rede entre dois hosts para modificar e corromper dados. Para resolver esse problema, é necessária uma tecnologia mais complexa.

Para interceptar e assumir o processo de interação de rede entre dois hosts A e B, um invasor pode substituir os endereços IP dos hosts em interação por seu próprio endereço IP, enviando mensagens ARP (Protocolo de resolução de endereço) falsificadas para os hosts A e B.

Arroz. 1 Solicitações ARP falsas

Vamos ver como um hacker pode usar ARP para interceptar comunicações de rede entre os hosts A e B.

Para interceptar o tráfego de rede entre os hosts A e B, o hacker impõe seu endereço IP a esses hosts, para que A e B usem esse endereço IP falsificado ao trocar mensagens. Para impor seu endereço IP, o hacker realiza as seguintes operações.

  • O invasor determina os endereços MAC dos hosts A e B, por exemplo, usando o comando nbtstat do pacote W2RK.
  • O invasor envia mensagens para os endereços MAC identificados dos hosts A e B, que são respostas ARP falsificadas a solicitações de resolução dos endereços IP dos hosts para os endereços MAC dos computadores. O Host A é informado que o endereço IP do Host B corresponde ao endereço MAC do computador do invasor; o host B é informado que o endereço IP do host A também corresponde ao endereço MAC do computador do invasor.
  • Os hosts A e B armazenam os endereços MAC recebidos em seus caches ARP e então os utilizam para enviar mensagens entre si. Como os endereços IP A e B correspondem ao endereço MAC do computador do invasor, os hosts A e B, sem suspeitar, comunicam-se através de um intermediário que pode fazer qualquer coisa com suas mensagens.

Para se proteger contra tais ataques, os administradores de rede devem manter um banco de dados com uma tabela de correspondência entre os endereços MAC e os endereços IP dos computadores da rede.

Em redes UNIX, esse tipo de ataque de solicitação ARP falsificado pode ser implementado usando utilitários de sistema para monitorar e gerenciar o tráfego de rede, por exemplo, arpredirect. Infelizmente, esses utilitários confiáveis ​​não parecem ser implementados em redes Windows. Por exemplo, no site da NTsecurity você pode baixar o utilitário GrabitAII, apresentado como uma ferramenta para redirecionar o tráfego entre hosts de rede. No entanto, uma verificação básica da funcionalidade do utilitário GrabitAII mostra que o sucesso completo na implementação de suas funções ainda está longe.

Para interceptar o tráfego de rede, um invasor pode falsificar o endereço IP real de um roteador de rede com seu próprio endereço IP, fazendo isso, por exemplo, usando mensagens de redirecionamento ICMP falsificadas. O Host A deve, de acordo com RFC-1122, perceber a mensagem de Redirecionamento recebida como uma resposta a um datagrama enviado para outro host, por exemplo, B. O Host A determina suas ações na mensagem de Redirecionamento com base no conteúdo da mensagem de Redirecionamento recebida, e se o redirecionamento de datagrama for especificado em Redirecionar de A para B ao longo de uma nova rota, isso é exatamente o que o host A fará.

Arroz. 2 Roteamento falso

Para realizar um falso roteamento, o invasor deve conhecer alguns detalhes sobre a organização da rede local na qual o host A está localizado, em especial, o endereço IP do roteador através do qual o tráfego é enviado do host A para B. Sabendo disso, o invasor irá gerar um datagrama IP no qual IP - o endereço do remetente é definido como o endereço IP do roteador e o destinatário é o host A. Também incluída no datagrama está uma mensagem de redirecionamento ICMP com o campo de endereço do novo roteador definido para o Endereço IP do computador do invasor. Ao receber tal mensagem, o host A enviará todas as mensagens para o endereço IP do computador do invasor.

Para se proteger contra tal ataque, você deve desabilitar (por exemplo, usando um firewall) o processamento de mensagens de redirecionamento ICMP no host A, e o comando tracert (em Unix este é o comando tracerout) pode revelar o endereço IP do computador do invasor . Esses utilitários são capazes de encontrar uma rota adicional que apareceu na rede local e que não foi fornecida durante a instalação, a menos, é claro, que o administrador da rede esteja vigilante.

Os exemplos de interceptações acima (para os quais as capacidades dos invasores estão longe de ser limitadas) convencem da necessidade de proteger os dados transmitidos pela rede se os dados contiverem informações confidenciais. O único método de proteção contra interceptações de tráfego de rede é o uso de programas que implementem algoritmos criptográficos e protocolos de criptografia e evitem a divulgação e substituição de informações secretas. Para resolver esses problemas, a criptografia fornece meios para criptografar, assinar e verificar a autenticidade das mensagens transmitidas por protocolos seguros.

A implementação prática de todos os métodos criptográficos de proteção da troca de informações é fornecida por redes VPN (Virtual Private Networks).

Interceptação de conexão TCP

O ataque de interceptação de tráfego de rede mais sofisticado deve ser considerado captura de conexão TCP (sequestro de TCP), quando um hacker interrompe a sessão de comunicação atual com o host gerando e enviando pacotes TCP ao host atacado. Em seguida, usando a capacidade do protocolo TCP de restaurar uma conexão TCP interrompida, o hacker intercepta a sessão de comunicação interrompida e a continua em vez do cliente desconectado.

Vários utilitários eficazes foram criados para realizar ataques de sequestro de conexões TCP, mas todos eles são implementados para a plataforma Unix e, em sites da Web, esses utilitários são apresentados apenas na forma de código-fonte. Assim, os ataques de sequestro de conexão TCP são de pouca utilidade.

O protocolo TCP (Transmission Control Protocol) é um dos protocolos básicos da camada de transporte OSI que permite estabelecer conexões lógicas através de um canal de comunicação virtual. Através deste canal os pacotes são transmitidos e recebidos com sua sequência registrada, o fluxo dos pacotes é controlado, a retransmissão dos pacotes distorcidos é organizada e ao final da sessão o canal de comunicação é interrompido. O protocolo TCP é o único protocolo central da família TCP/IP que possui um sistema avançado de identificação e conexão de mensagens.

Visão geral dos farejadores de pacotes de software

Todos os farejadores de software podem ser divididos em duas categorias: farejadores que suportam inicialização a partir da linha de comando e farejadores que possuem uma interface gráfica. No entanto, notamos que existem farejadores que combinam essas duas capacidades. Além disso, os sniffers diferem entre si nos protocolos que suportam, na profundidade da análise dos pacotes interceptados, na capacidade de configurar filtros e na possibilidade de compatibilidade com outros programas.

Normalmente, a janela de qualquer sniffer com interface gráfica consiste em três áreas. O primeiro deles exibe os dados resumidos dos pacotes interceptados. Normalmente esta área apresenta um mínimo de campos, nomeadamente: tempo de intercepção de pacotes; Endereços IP do remetente e destinatário do pacote; Endereços MAC do remetente e destinatário do pacote, endereços de porta de origem e destino; tipo de protocolo (camada de rede, transporte ou aplicação); algumas informações resumidas sobre os dados interceptados. Na segunda área é exibido informação estatística sobre o pacote individual selecionado e, finalmente, na terceira área, o pacote é apresentado em formato de caracteres hexadecimais ou ASCII.

Quase todos os farejadores de pacotes permitem analisar pacotes decodificados (é por isso que os farejadores de pacotes também são chamados de analisadores de pacotes ou analisadores de protocolo). O sniffer distribui pacotes interceptados entre camadas e protocolos. Alguns farejadores de pacotes são capazes de reconhecer o protocolo e exibir as informações capturadas. Esse tipo de informação geralmente é exibida na segunda área da janela do sniffer. Por exemplo, qualquer sniffer pode reconhecer o protocolo TCP, e sniffers avançados podem determinar qual aplicativo gerou esse tráfego. A maioria dos analisadores de protocolo reconhece mais de 500 protocolos diferentes e pode descrevê-los e decodificá-los pelo nome. Quanto mais informações um sniffer puder decodificar e exibir na tela, menos terá que ser decodificado manualmente.

Um problema que os farejadores de pacotes podem encontrar é a incapacidade de identificar corretamente um protocolo usando uma porta diferente da porta padrão. Por exemplo, para melhorar a segurança, alguns aplicativos conhecidos podem ser configurados para usar portas diferentes das portas padrão. Então, em vez da tradicional porta 80 reservada para o servidor web, este servidor Você pode reconfigurá-lo à força para a porta 8088 ou qualquer outra. Alguns analisadores de pacotes nesta situação não conseguem determinar corretamente o protocolo e exibir apenas informações sobre o protocolo de nível inferior (TCP ou UDP).

Existem sniffers de software que vêm com módulos analíticos de software anexados como plug-ins ou módulos integrados que permitem criar relatórios com informações analíticas úteis sobre o tráfego interceptado.

Outro recurso característico da maioria dos softwares sniffer de pacotes é a capacidade de configurar filtros antes e depois da captura do tráfego. Os filtros selecionam determinados pacotes do tráfego geral de acordo com um determinado critério, o que permite eliminar informações desnecessárias na análise do tráfego.

Hoje em dia, as redes Wi-Fi públicas também se tornaram muito populares. Eles são encontrados em restaurantes, academias, shoppings, metrôs, hotéis, hospitais e clínicas particulares, apartamentos e condomínios - podem ser encontrados em quase todos os lugares onde se reúne muita gente.

Essas redes têm uma peculiaridade: geralmente são redes Wi-Fi abertas que não exigem senha para conexão. Existe algum regras adicionais segurança para trabalhar com essas redes?

Sim, quando usado aberto Rede Wi-Fi você precisa entender bem que:

  • todos os dados são transmitidos por ondas de rádio, ou seja, ao contrário de um fio, que nem todos podem acessar, as ondas de rádio podem ser interceptadas por qualquer pessoa que esteja ao alcance
  • Em redes abertas, os dados não são criptografados

Com o primeiro ponto, acho que está tudo claro: se alguém com um computador e uma placa Wi-Fi estiver próximo o suficiente, ele poderá capturar e salvar todo o tráfego transmitido entre ponto de acesso sem fio Acesso e todos os seus clientes.

Quanto ao segundo ponto, precisamos esclarecer sobre a criptografia dos dados transmitidos. Por exemplo, se você abrir um site que usa o protocolo HTTPS (ou seja, um protocolo seguro), como um site, os dados transmitidos de e para esse site para você serão criptografados. Se você abrir um site rodando no protocolo HTTP, todos os dados transmitidos: quais páginas você visitou, quais comentários você deixou, quais cookies seu navegador recebeu - esses dados são transmitidos de forma não criptografada. Então, se você estiver conectado Ponto de acesso Wi-Fi Acesso que requer inserção de senha, o tráfego transmitido é criptografado novamente. Ou seja, mesmo que você abra um site usando o protocolo HTTPS, o tráfego transmitido é criptografado duas vezes (a primeira vez quando transmitido do navegador para o servidor web e na direção oposta, a segunda vez quando transmitido do seu dispositivo para o ponto de acesso, bem como na direção oposta). E se você abrir um site usando o protocolo HTTP, o tráfego transmitido será criptografado apenas uma vez (somente durante a transmissão do seu dispositivo para o ponto de acesso e vice-versa).

Mas os pontos de acesso abertos não criptografam o tráfego. Segue-se disso: se você usar um ponto de acesso aberto e abrir um site rodando no protocolo HTTP, seus dados serão transferidos para formulário aberto e qualquer pessoa perto de você pode pegá-los e armazená-los. Se você abrir um site usando o protocolo HTTPS, esses dados serão criptografados, mas você ainda poderá ver quais sites abriu (embora não possa ver quais páginas e o que inseriu, por exemplo, quais comentários deixou).

Então: você precisa se lembrar disso aberto redes sem fio suscetível à interceptação de informações.

Interceptando tráfego em redes Wi-Fi abertas

Para um ataque bem-sucedido você precisa de um computador rodando Linux (por exemplo, com KaliLinux ou com BlackArch), bem como Cartão wi-fi de .

Vamos começar examinando os nomes das interfaces sem fio:

Como você pode ver, tenho várias interfaces wireless, vou usar wlp0s20f0u2.

Mudamos a interface sem fio para o modo monitor:

Sudo ip link set INTERFACE down sudo iw INTERFACE set monitor control sudo ip link set INTERFACE up

Nos comandos anteriores, em vez de INTERFACE você precisa inserir o nome da interface sem fio em seu sistema. Por exemplo, para wlp0s20f0u2 os comandos são assim:

Sudo ip link set wlp0s20f0u2 down sudo iw wlp0s20f0u2 definir controle de monitor sudo ip link set wlp0s20f0u2 up

Abra o arquivo de dados capturado no Wireshark.

Para destacar dados diferentes, precisaremos de filtros Wireshark. Aqui vou mostrar um exemplo de uso de apenas alguns filtros, é recomendável estudar uma grande seleção de filtros úteis do Wireshark.

Para avaliar a qualidade da captura, você pode começar com filtros que geram os resultados da análise do protocolo TCP.

Por exemplo:

TCP.análise.duplicate_ack_num == 1

Este filtro exibe informações sobre frames com um sinalizador ACK que são duplicados. Um grande número desses quadros pode indicar problemas de comunicação entre o Cliente e o Ponto de Acesso.

Filtro para exibição de frames para os quais o segmento anterior não foi capturado:

TCP.análise.ack_lost_segment

Isso é normal no início da captura dos dados – já que as informações não são capturadas logo no início. Mas se este erro ocorrer com frequência no futuro, então você está muito longe do Ponto de Acesso ou dos Clientes e não está capturando parte dos dados que eles transmitem.

Para mostrar frames que são retransmitidos (enviados repetidamente):

TCP.análise.retransmissão

Um grande número desses quadros pode indicar que há uma comunicação deficiente entre o Cliente e o AP e muitas vezes eles precisam reenviar os mesmos dados.

Usando um filtro

Você pode ver o tráfego ARP - com sua ajuda é conveniente analisar quantos dispositivos estão atualmente conectados à rede local, quais endereços IP eles possuem e quais endereços MAC possuem. .

Usando um filtro

você pode ver todas as consultas DNS enviadas.

Graças a essas consultas, você pode descobrir quais sites os usuários visitaram (mesmo que esses sites usem HTTPS!), bem como quais serviços on-line solicitações foram feitas.

Por exemplo, na captura de tela você pode ver os endereços do cinema online Netflix, Facebook e vários serviços do Google.

Para filtrar o filtro de tráfego HTTP:

Aqui você pode descobrir muitas informações interessantes. Por exemplo, você pode ver solicitações de serviços e dados transmitidos, incluindo chaves de API, identificadores de dispositivos, etc.:

Você pode ver os URLs visitados com todos os parâmetros passados:

Os arquivos baixados e abertos na Internet ficam visíveis:

Você pode salvar qualquer arquivo transferido. Para fazer isso, selecione o pacote que o contém com o mouse (1), a seguir, no painel do meio, que contém informações detalhadas, role até o final para encontrar o campo de dados e clique com o botão direito nele para abrir o menu de contexto (2), em menu de contexto selecione Exportar bytes de pacotes selecionados(3) - Exportar bytes do pacote selecionado:

Digite um nome de arquivo, escolha um local e salve-o.

Alguém está atualizando o Windows:

Os cookies instalados pelo usuário ou enviados ao usuário também são visíveis:

Usando um filtro

http.cookie

você pode ver as solicitações HTTP nas quais os cookies foram transmitidos.

E usando um filtro

http.set_cookie

você pode ver solicitações nas quais o servidor instalou cookies no navegador do usuário.

Vizinhos baixam torrents estranhos:

Os dados transferidos usando o método POST também são visíveis:

Para procurar quaisquer imagens transferidas:

Http.content_type contém "imagem"

Para pesquisar tipos específicos de imagens:

Http.content_type contém "gif" http.content_type contém "jpeg" http.content_type contém "png"

Para procurar arquivos de um tipo específico:

Http.content_type contém "texto" http.content_type contém "xml" http.content_type contém "html" http.content_type contém "json" http.content_type contém "javascript" http.content_type contém "x-www-form-urlencode" http. content_type contém "compactado" http.content_type contém "aplicativo"

Pesquise no Wireshark solicitações para obter arquivos de um determinado tipo. Por exemplo, para procurar arquivos ZIP transferidos:

Http.request.uri contém "zip"

Em vez de http.request.uri Para maior precisão, você pode usar filtros http.request.uri.path ou http.request.uri.query, por exemplo, para pesquisar solicitações de download Arquivos JPG(links para fotos):

Http.request.uri.path contém "jpg"

Filtro que mostra apenas os dados transferidos pelo método POST:

Http.request.method == "POST"

Um filtro que mostra apenas os dados transferidos usando o método GET:

Http.request.method == "OBTER"

Pesquise solicitações para um site específico (host):

http.host == " "

Pesquise consultas para um site específico por parte do nome:

Http.host contém "partial.name aqui"

Conclusão

Agora, o número de aplicativos e sites que não usam criptografia está diminuindo rapidamente. Portanto, o perigo dessa interceptação diminui a cada ano. No entanto, está lá.

Mesmo sites que usam HTTPS podem vazar dados involuntariamente. Por exemplo:

Percebe-se que os dados do usuário para o booking.com são transmitidos de forma não criptografada, portanto este link pode ser interceptado.

O aplicativo para iPhone baixa constantemente alguns arquivos (de áudio?) Sem usar uma conexão segura:

O popular (em algumas regiões) qq.com não usa criptografia ou usa seu próprio algoritmo:

A proteção garantida contra tal interceptação é o uso de um serviço VPN confiável. Um serviço VPN confiável pode ser considerado aquele que você mesmo configurou ou a VPN da sua rede corporativa.

Interceptando dados pela redeÉ considerado receber qualquer informação de um dispositivo de computador remoto. Podem consistir nos dados pessoais do utilizador, nas suas mensagens, nas informações sobre a visita aos websites. A captura de dados pode ser realizada por spyware ou por meio de sniffers de rede.

Spyware é especial programas, capaz de registrar todas as informações transmitidas pela rede a partir de um determinado estação de trabalho ou dispositivos.

Um sniffer é um programa ou tecnologia de computador que intercepta e analisa o tráfego que passa por uma rede. O sniffer permite que você se conecte a uma sessão da web e execute diversas operações em nome do proprietário do computador.

Se as informações não forem transmitidas em tempo real, o spyware gera relatórios que facilitam a visualização e análise das informações.

A interceptação de rede pode ser realizada de forma legal ou ilegal. O principal documento que estabelece a legalidade da apreensão de informações é a Convenção sobre Crimes Cibernéticos. Foi criado na Hungria em 2001. Os requisitos legais de diferentes países podem variar ligeiramente, mas a ideia principal é a mesma para todos os países.

Classificação e métodos de interceptação de dados na rede

A interceptação de informações na rede pode ser dividida em dois tipos:

  • autorizado
  • não autorizado

A captura de dados autorizada é realizada para diversos fins, desde a proteção de informações corporativas até a garantia da segurança nacional. Os motivos para a realização de tal operação são determinados pela legislação, serviços especiais, agentes da lei e especialistas organizações administrativas, serviços de segurança de empresas.

Existem padrões internacionais para realizar a interceptação de dados. O Instituto Europeu de Normas de Telecomunicações conseguiu harmonizar uma série de processos técnicos (ETSI ES 201 158 “Segurança de telecomunicações; Interceção legal (LI); Requisitos para funções de rede”) nos quais se baseia a interceção de informação. Como resultado, foi desenvolvida uma arquitetura de sistema que ajuda os especialistas do serviço secreto administradores de rede obter legalmente dados da rede. A estrutura desenvolvida para implementação de interceptação de dados em rede é aplicada a um sistema de chamada de voz com/sem fio, bem como correspondência por correio, transmissão de mensagens de voz sobre IP e troca de informações via SMS.

A interceptação não autorizada de dados na rede é realizada por invasores que desejam se apoderar de dados confidenciais, senhas, segredos corporativos, endereços de computadores na rede, etc. Para atingir seus objetivos, os hackers geralmente usam um analisador de tráfego de rede - um sniffer. Este programa ou um dispositivo de hardware-software dá ao fraudador a capacidade de interceptar e analisar informações dentro da rede à qual ele e o usuário alvo do ataque estão conectados, e até mesmo tráfego criptografado SSL por meio de substituição de certificado. Você pode obter dados de tráfego:

  • Ouvindo a interface de rede
  • Conectando um dispositivo de interceptação a uma quebra de canal
  • Criando uma ramificação de tráfego e duplicando-a para o sniffer
  • Ao realizar um ataque

Existem também tecnologias mais complexas para interceptar informações importantes que permitem invadir as interações da rede e alterar dados. Uma dessas técnicas são as solicitações ARP falsificadas. A essência do método é substituir os endereços IP entre o computador da vítima e o seu próprio endereço IP. Outro método que pode ser usado para interceptar dados em uma rede é o roteamento falso. Envolve substituir o endereço IP de um roteador de rede pelo seu próprio endereço. Se o fraudador souber como está organizada a rede local em que a vítima está localizada, ele poderá facilmente organizar o recebimento das informações da máquina do usuário para o seu endereço IP. O sequestro de uma conexão TCP também é uma forma eficaz de interceptar dados. O invasor interrompe a sessão de comunicação gerando e enviando pacotes TCP para o computador da vítima. Em seguida, a sessão de comunicação é restaurada, interceptada e continuada pelo criminoso e não pelo cliente.

Objeto de influência

Objetos de interceptação de dados pela rede podem ser agências governamentais, empresas industriais, estruturas comerciais, usuários comuns. Dentro de uma organização ou empresa, as informações podem ser capturadas para proteger a infraestrutura da rede. As agências de inteligência e as agências de aplicação da lei podem realizar a intercepção em massa de informações transmitidas por diferentes proprietários, dependendo da tarefa em questão.

Se falamos de cibercriminosos, qualquer usuário ou organização pode se tornar objeto de influência para obter dados transmitidos pela rede. Com o acesso autorizado, a parte informativa das informações obtidas é importante, enquanto o invasor está mais interessado em dados que possam ser utilizados para apreensão de fundos ou informações valiosas para sua posterior venda.

Na maioria das vezes, os usuários que se conectam a uma rede pública, por exemplo, em um café com ponto de acesso Wi-Fi, tornam-se vítimas de interceptação de informações por cibercriminosos. Um invasor se conecta a uma sessão da web usando um sniffer, substitui dados e rouba informações pessoais. Mais detalhes sobre como isso acontece estão descritos no artigo.

Fonte de ameaça

A interceptação autorizada de informações em empresas e organizações é realizada por operadores de infraestrutura de rede uso público. Suas atividades visam proteger dados pessoais, segredos comerciais e outras informações importantes. Legalmente, a transferência de mensagens e arquivos pode ser monitorada por serviços de inteligência, agências de aplicação da lei e diversas agências governamentais para garantir a segurança dos cidadãos e do Estado.

Os criminosos estão envolvidos na interceptação ilegal de dados. Para evitar ser vítima de um cibercriminoso, é preciso seguir algumas recomendações de especialistas. Por exemplo, você não deve realizar operações que exijam autorização e transferência de dados sensíveis em locais onde a conexão seja com redes públicas. É mais seguro escolher redes com criptografia e melhor ainda - usar modems 3G-LTE pessoais. Ao transferir dados pessoais, é recomendável criptografá-los usando o protocolo HTTPS ou um túnel VPN pessoal.

Você pode proteger seu computador contra interceptação de tráfego de rede usando criptografia e anti-sniffers; O acesso dial-up, em vez do acesso à rede sem fio, reduzirá os riscos.

Análise 

Você também pode gostar