Sniffer de redes e os perigos de se conectar em Wifi públicos!

Se você já acessou a internet por uma rede Wi-Fi pública, saiba que os seus dados ficam bastante vulneráveis. Isso porque até mesmo pessoas com pouco conhecimento em informática são capazes de interceptar informações, usando dados de usuários para vendê-los a criminosos na internet, por exemplo.

Foto do site freepik

E se você acessa dados de negócio, as consequências de uma interceptação podem ser muito piores. Neste artigo, vamos apresentar o sniffer de rede e outros meios de os criminosos fazerem interceptação de informações confidenciais. Falaremos também do Wireshark, um programa capaz de identificar entes maliciosos na rede, explicando detalhes do seu funcionamento. Boa leitura!

Quais as principais ameaças de rede?

Em geral, uma rede de Wi-fi pública não é configurada considerando requisitos robustos de segurança. Existem alguns protocolos voltados para esse fim (como o WPA), mas que não são usados nessas redes sem fio. 

Por mais que a rede tenha uma senha de acesso, isso não impede de um indivíduo mal-intencionado acessá-la. A razão disso é que ele pode começar a fazer ações ilícitas, como obter dados de pessoas que estão logadas ali. Não obstante, mesmo se o roteador da rede pública tiver mecanismos de proteção, ele dificilmente será efetivo em tentativas de conectar mais de um dispositivo.

Em outras palavras, em uma rede sem fio pública, o criminoso tem chances de encontrar um endereço IP sem muita dificuldade e se conectar a ele. Isso significa que ele pode, na melhor das hipóteses, acessar as pastas de um usuário sem que a pessoa perceba, tendo acesso a informações tanto pessoais quanto corporativas. 

Para entender melhor o modo de operação dos criminosos, acompanhe as subseções seguintes e conheça algumas das principais ameaças às redes sem fio. 

Rede fantasma

Basicamente, a rede fantasma é uma rede falsa cujo criminoso cria um servidor DNS. Este é um banco de dados com vários endereços IP, que correspondem às mais diversas páginas na internet. Obviamente, quando o usuário acessa a internet por Wi-Fi, ele será redirecionado a um site falso, de modo que todos os seus dados fiquem visíveis ao criminoso.

Uma vez que os registros desse usuário são armazenados no banco de dados do criminoso, este pode, agora, fazer inúmeras ações delituosas. A título de exemplo, é possível que ele consiga fazer transações bancárias e entrar nas redes sociais da vítima, sendo a porta de entrada para prejuízos diversos ao usuário.

Sniffer malicioso de rede

Sniffer, traduzindo para o português, significa farejador. Trata-se de um programa capaz de “farejar” dados em uma rede Wi-Fi pública, podendo interceptá-los e sequestrá-los. O sniffer pode também ser um dispositivo, com potencial de interceptar, por exemplo:

  • arquivos enviados pelo usuário;
  • arquivos baixados;
  • mensagens instantâneas.

Portanto, um sniffer de rede, uma vez instalado, sempre saberá o que o usuário está acessando, baixando ou enviando. No entanto, é preciso deixar a seguinte ressalva: existem tanto os farejadores do bem quanto os do mau. Um sniffer do bem que vamos explorar bastante no texto é o Wireshark, mostrando o seu papel no monitoramento de tráfego na rede.

Xploits

Xploits são usados por indivíduos maliciosos para explorar vulnerabilidades em sistemas. Dito isso, existem casos em que eles são conhecidos, cabendo à fabricante do software lançar o pacote de atualização e neutralizar a ameaça. No entanto, há a possibilidade deles serem desconhecidos, de modo que esses Xploits fazem muitos estragos até que a fabricante desenvolva uma atualização de segurança capaz de neutralizá-los.

Criminosos podem executar o ataque de Xploits da seguinte forma: um código é espalhado em uma rede sem fio pública, visando detectar dispositivos suscetíveis. Os usuários não percebem que tiveram as suas informações interceptadas, ficando expostos a toda sorte de sinistros, como:

  • espionagem virtual, algo ainda mais sério quando o alvo são empresas, em virtude, entre outras coisas, dos segredos comerciais;
  • ransomware, uma forma de sequestrar dados de usuários e empresas para chantageá-los mediante um pagamento pelo resgate deles;
  • vazamento de dados na internet.

    Para a sua segurança, mantenha-se informado!

    Inscreva-se em nossa página e fique por dentro dos principais assuntos que envolvem a cibersegurança.

    O que é o sniffer de rede Wireshark?

    Se uma empresa tem uma rede, ela pode usar programas como o Wireshark para monitorá-la. Além de verificar problemas ligados à segurança, esse sniffer é útil no tratamento de protocolos mal implementados na rede.

    Foto do site pexels

    O Wireshark deve ser visto não somente como um programa de monitoramento. A ideia é fazer dele uma ferramenta robusta de auxílio no gerenciamento de rede, algo que vai muito além de encontrar, por exemplo, um pacote de dados de origem duvidosa.

    O programa fornece análises detalhadas, ajudando a equipe de TI a entender melhor tudo aquilo que trafega na rede da companhia. Vale destacar que o Wireshark não faz a transmissão de bytes para a rede, nem tampouco os recebe, sendo classificado como um programa de rede passiva. 

    Como funciona?

    O Wireshark funciona tanto em Linux, Mac e Windows. O programa possui uma interface gráfica, além de extensões, plugins, ferramentas de linha de comando, guia do usuário e o TShark. Este é responsável por analisar protocolos, funcionando no modo texto. A seguir, falaremos sobre duas partes principais do Wireshark: o Packet Capture Library e o Protocol Analyzer. 

    Packet Capture Library

    De forma geral, o Packet Capture Library, ou módulo de captura de pacotes, faz a cópia de todos os pacotes que passam pela placa de rede pré-especificada para a memória da máquina. Na prática, o programa faz isso com o auxílio de uma biblioteca chamada Libpcap, tendo esta como uma de suas principais características a compatibilidade com várias tecnologias. 

    Além disso, a biblioteca é de código aberto e passiva, pois como falamos, o Wireshark não recebe e nem envia bytes para a rede. Vale destacar que a captura de pacotes ocorre em tempo real, mediante uma lista de interfaces de rede mostrada pelo programa. 

    Depois de escolher a interface de rede a ser analisada, recomenda-se escolher a opção “Capture all in promiscuous mode”. Isso significa que o Wireshark fará a captura de todos os pacotes de dados, inclusive de informações que não tenham como destino a máquina onde o programa estiver rodando. 

    Em algumas situações, pode não ser possível usar a captura em modo promíscuo. Isso ocorrerá caso o computador onde o Wireshark estiver rodando tenha limitações em seu hardware.

    Protocol Analyzer

    O papel do Protocol Analyzer (analisador de protocolos) é interpretar o que tem dentro dos pacotes de dados, além dos seus cabeçalhos. Este procedimento é feito de modo a contemplar todas as camadas de rede, como aplicação, transporte e rede. 

    Falando brevemente sobre estas, a camada de aplicação é a mais superficial. Esta lida com protocolos como o HTTP (que serve para transmitir o conteúdo de páginas web do servidor até o navegador). Já o transporte trabalha com os protocolos TCP e UDP, visando a garantia de que um fluxo de dados chegará de um ponto a outro. 

    Por fim, a camada de rede lida com a parte de endereços IP, sendo responsável pela identificação das máquinas de origem e destino de um fluxo de dados. Nesta arquitetura, chamada de TCP/IP, apenas a título de informação, existem ainda outras duas camadas, que são a de enlace e física. 

    O Wireshark permite analisar os pacotes tanto após a captura quanto durante o procedimento. Além disso, o programa admite a exportação e importação dos dados em vários formatos, sendo que a extensão .Libpcap é bastante usada. A razão disso é que esse formato pode ser lido por vários outros programas.

    O que as empresas devem fazer para não ter dados sequestrados?

    Se os números de uma empresa estão elevados, mas não ocorre o investimento massivo em tecnologia, os riscos de prejuízo são altíssimos. Muitas companhias mundo afora já entenderam isso, e não estão medindo esforços para se aprimorar constantemente nesse sentido. Confira, a seguir, as principais boas práticas que ajudarão a evitar o sequestro de dados na empresa! 

    Uso de antivírus

    Além de vírus e outras ameaças cibernéticas, o antivírus também ajuda a proteger os dispositivos de sniffers maliciosos. Para isso, ele deve estar sempre na versão mais atual, pois caso contrário, a proteção pode não ser efetiva. 

    Senhas fortes

    Quanto mais forte for uma senha, maior o esforço computacional do criminoso em tentar quebrá-la e roubar dados. Independentemente se for logar numa rede social ou no software da empresa, usar combinações pouco triviais é fundamental. Mesclar maiúsculas com minúsculas e usar caracteres especiais, por exemplo, já ajuda bastante nesse sentido.

    Foto do site freepik

    Evitar transações financeiras em redes pouco confiáveis

    Muito provavelmente, o seu banco possui um app, em que é possível fazer grande parte dos serviços financeiros. Por mais que as instituições estejam reforçando a questão da segurança, os usuários não podem ser displicentes.

    Verificar a confiabilidade do Wi-fi público

    Ao chegar em um café ou shopping, por exemplo, deve-se perguntar a alguém que trabalha no local se aquela rede sem fio corresponde ao estabelecimento. Sem essa verificação, e considerando que muitas pessoas frequentam esses lugares, o risco de os dados serem sequestrados aumenta.

    Outra boa prática correlata consiste em digitar uma senha errada de propósito. Se um site não retorna a mensagem de “senha incorreta”, pode ser um indicativo de uma página falsa. 

    Vale ainda destacar a importância de desabilitar o compartilhamento de arquivos e impressoras. Isso porque, quando estes estão habilitados, um número maior de portas do dispositivo fica visível aos possíveis criminosos. Em um computador, as portas são usadas no envio e recebimento de dados, sendo que existem inúmeras delas na máquina.

    Evitar protocolos de rede inseguros

    Falamos aqui sobre o protocolo HTTP, mas é preciso salientar que a sua segurança é um fator bastante crítico. Atualmente, os sites confiáveis possuem o HTTPS, assegurando que as informações coletadas ali não serão interceptadas por terceiros. 

    Portanto, se alguém estiver em uma rede sem fio pública ou não, acessar páginas web com HTTP pode ser bastante perigoso. Por não haver a criptografia, esse protocolo se torna extremamente vulnerável a ataques, principalmente quando o usuário insere login, senha e outras informações pessoais nele. 

    Usar uma VPN

    Uma VPN (Virtual Private Network) é uma rede privada, sendo muito mais segura do que as públicas. Não só a conexão à internet é criptografada, mas também todos os dados trafegados, de modo que o sniffer, mesmo se estiver ali, dificilmente saberá do que se trata. 

    Em virtude das medidas de isolamento social no mundo todo, muitas empresas passaram a usar VPNs. A ideia era fornecer uma conexão segura fora da companhia, visto que muitos colaboradores estavam trabalhando no regime de home office. 

    O usuário, ao entrar em uma VPN, estará se conectando a um servidor, que pode estar localizado em qualquer lugar do mundo. Além disso, esse servidor dará em endereço de IP temporário, de modo que o usuário não usará o seu próprio IP enquanto estiver em uma VPN. Este fato faz a navegação não só ser segura, como também proporciona maior privacidade ao usuário. Em outras palavras, em uma VPN, não existe aquele risco de algum ente externo estar monitorando a rede. 

    O que é o SentinelOne?

    A prudência ao acessar redes confiáveis é uma condição necessária, mas não suficiente para garantir a segurança de dados. É crucial contar com soluções que usam Inteligência Artificial e aprendizado de máquina, de modo a identificar e neutralizar programas maliciosos. O SentinelOne consiste justamente nisso, em uma aplicação voltada para a segurança de endpoint.

    Um endpoint, a título de informação, pode ser qualquer dispositivo conectado à rede, como um PC ou smartphone. O funcionamento do SentinelOne consiste em análise comportamental, sendo mais efetivo do que os softwares antivírus populares do mercado. 

    Uma ameaça do tipo ransomware, por exemplo, é mais fácil de ser identificada no SentinelOne. Quando infecta redes e sistemas, o ransomware pode causar muitos estragos, como bloqueio de funções do sistema operacional e roubo de dados. 

    O sniffer de rede, como vimos no texto, pode ser malicioso ou não. No caso deste, o Wireshark é um programa que analisa pacotes de dados trafegados, visando encontrar ameaças potenciais. Já o SentinelOne atua evitando invasões e ataques, resguardando todos os dados em posse da empresa. 

    Gostou do conteúdo? Então aproveite para compartilhá-lo nas suas redes sociais!

    Baixe Gratuitamente

    Novidade! Temos dois e-books incríveis e gratuitos, para você baixar, se informar e ficar livre de uma ameaça cibernética:

    Ransomware: o guia completo
    7 situações que permitem a invasão da sua empresa por ransomwares

    A Century Data é uma empresa que auxilia seus clientes no caminho da transformação digital promovendo tecnologias que possibilitem a criação de novas linhas de negócios. Oferecemos soluções inovadoras, produtos e serviços especializados, orientados pela demanda de áreas de negócios e de tecnologia.

    Todos os direitos reservados para Century Data Tecnologia da Informação LTDA