O que é um invasor intermediário?

Um invasor intermediário se coloca entre as vítimas e os serviços que eles estão tentando acessar, geralmente com o objetivo de roubar dados.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir um invasor intermediário
  • Explorar vários tipos de ataques de invasores intermediários
  • Esboçar métodos de proteção contra invasores intermediários

Copiar o link do artigo

O que é um invasor intermediário?

Os invasores intermediários se colocam entre dois dispositivos (geralmente um navegador web e um servidor web) e interceptam ou modificam as comunicações entre os dois. Os invasores podem então coletar informações e se passar por qualquer um dos dois agentes. Além de sites, esses ataques podem ter como alvo comunicações por e-mail, DNS e redes Wi-Fi públicas. Os alvos típicos de invasores intermediários incluem empresas de SaaS, empresas de comércio eletrônico e usuários de aplicativos financeiros.

Você pode pensar em um invasor intermediário como um funcionário dos correios desonesto que fica em uma agência dos correios e intercepta cartas escritas entre duas pessoas. Este funcionário dos correios pode ler mensagens privadas e até editar o conteúdo dessas cartas antes de passá-las aos destinatários pretendidos.

Em um exemplo mais moderno, um invasor intermediário pode ficar entre um usuário e o site que deseja visitar e coletar seu nome de usuário e senha. Isso pode ser feito visando a conexão HTTP entre o usuário e o site; o sequestro dessa conexão permite que um invasor atue como um proxy, coletando e modificando as informações enviadas entre o usuário e o site. Alternativamente, o invasor pode roubar os cookies de um usuário (pequenos pedaços de dados criados por um site e armazenados no computador de um usuário para identificação e outros fins). Esses cookies roubados podem ser usados para sequestrar a sessão de um usuário, permitindo que um invasor se passe por esse usuário no site.

Os invasores intermediários também podem ter como alvo servidores DNS. O processo de pesquisa de DNS é o que permite que os navegadores web encontrem sites traduzindo nomes de domínio em endereços de IP. Em ataques de invasores intermediários de DNS, como falsificação de DNS e sequestro de DNS, um invasor pode comprometer o processo de pesquisa de DNS e enviar usuários para sites errados, geralmente sites que distribuem malware e/ou coletam informações sensíveis.

O que é sequestro de e-mail?

Outro ataque comum é o sequestro de e-mail, que os invasores intermediários usam para se infiltrar nos servidores de e-mail, colocando-se entre um servidor de e-mail e a web. Uma vez que o servidor esteja comprometido, os invasores podem monitorar as comunicações por e-mail para vários propósitos. Um desses golpes envolve esperar por um cenário em que uma pessoa precise transferir dinheiro para outra (por exemplo, um cliente pagando uma empresa). Os invasores podem usar um endereço de e-mail falsificado para solicitar que o dinheiro seja transferido para a conta de um invasor. O e-mail parecerá legítimo e inócuo para o destinatário (“Desculpe, há um erro de digitação no meu último e-mail! O número da minha conta é, na verdade: XXX-XXXX”), tornando esse ataque muito eficaz e financeiramente devastador. Em 2015, uma rede de crimes cibernéticos na Bélgica usou o sequestro de e-mail para roubar mais de 6 milhões de euros de várias empresas europeias.

Por que é arriscado usar redes WiFi públicas?

Os ataque de invasores intermediários são frequentemente perpetrados em redes WiFi. Os invasores podem criar redes WiFi maliciosas que parecem inofensivas ou são clones de redes WiFi legítimas. Depois que um usuário se conecta à rede WiFi comprometida, um invasor intermediário pode monitorar a atividade on-line desse usuário. Invasores sofisticados podem até redirecionar o navegador do usuário para cópias falsas de sites legítimos.

Quais são as formas de proteção contra os invasores intermediários?

Como os invasores intermediários usam vários métodos, não há uma solução completa para esses ataques. Uma das formas mais fundamentais de proteção contra ataques direcionados ao tráfego HTTP é adotar SSL/TLS, que cria conexões seguras entre usuários e serviços web. Infelizmente, essa não é uma solução infalível, pois invasores intermediários mais sofisticados podem contornar a proteção SSL/TLS. Para uma proteção ainda maior contra esses tipos de ataques, alguns serviços web implementam o HTTP Strict Transport Security (HSTS), que força conexões SSL/TLS seguras com qualquer navegador ou aplicativo, bloqueando quaisquer conexões HTTP não seguras e também impedindo o roubo de cookies. Saiba mais sobre HSTS no blog da Cloudflare ou verifique seu site em relação ao uso de HTTPS.

Os certificados de autenticação também podem ser usados para proteção contra esses ataques. Uma organização pode implementar a autenticação baseada em certificado em todos os seus dispositivos, para que apenas usuários com certificados configurados corretamente possam acessar seu sistema.

Para evitar o sequestro de e-mail, podem ser usadas extensões de e-mail Secure/Multipurpose Internet Mail Extensions (S/MIME). Este protocolo criptografa e-mails e permite que os usuários assinem digitalmente os e-mails com um Certificado Digital exclusivo, informando ao destinatário que a mensagem é legítima.

Os usuários individuais também podem se proteger de invasores intermediários, evitando enviar informações sensíveis em qualquer rede WiFi pública, a menos que estejam protegidos por uma Rede Privada Virtual (VPN).