O que é um ataque Man in the Middle (MitM)? (E como evitá-los)

Imagine descobrir que alguém estava espionando todas as suas comunicações – seus telefonemas, mensagens de texto, e-mails, até mesmo suas conversas pessoais. E além disso, a pessoa estava posando como você ou a outra pessoa – ou mesmo ambos. Isso é o que acontece em um ataque MITM. O invasor não apenas observa o que está acontecendo, mas pode agir como uma ou ambas as partes – sem o conhecimento da outra – para manipular a comunicação. Neste artigo, explicaremos o que é um ataque MITM, como eles funcionam e o que você pode fazer para evitar que um ataque infecte seu site WordPress.

O que é um ataque MITM?

Os ataques MITM são mais comuns do que você imagina. Esse tipo de ataque de segurança cibernética escuta a comunicação que ocorre entre dois alvos, como seu navegador e um site que você está visitando. E mais do que isso, um ataque MITM pode sequestrar a conversa para que um ou ambos os alvos obtenham informações erradas. O invasor pode se disfarçar como um ou ambos os alvos para que nenhum dos dois perceba que está se comunicando com o invasor. A informação pode então ser alterada antes de ser entregue.

Como funciona um ataque MITM?

Existem vários tipos de ataques MITM comuns. Em todos eles, porém, há duas etapas principais: interceptar a comunicação e depois descriptografar a informação.

Um ataque desonesto ao ponto de acesso , por exemplo, pode acontecer quando um dispositivo equipado com placa wireless tenta se conectar a um ponto de acesso. O invasor pode configurar um ponto de acesso sem fio e enganar o dispositivo para se conectar a ele. Então, todo o tráfego de rede pode ser visto e manipulado pelo invasor.

Outro exemplo é o ataque de falsificação ARP . ARP significa Address Resolution Protocol e é basicamente usado para que um host possa determinar se outro host com o qual está falando tem um endereço IP conhecido. Com a falsificação de ARP, o invasor se apresenta como um host e responde às solicitações de verificação de IP. O invasor pode então espionar o tráfego entre os dois hosts e extrair informações que dão acesso às contas.

Existem várias técnicas usadas em ataques MITM:

• Sniffing: Ferramentas de captura de pacotes são usadas para inspecionar pacotes, dando ao invasor acesso a informações que eles não deveriam ter permissão para ver.
• Injeção de pacotes: pacotes maliciosos podem ser injetados em fluxos de comunicação, misturando-se para que não sejam perceptíveis. Normalmente, cheirar é um precursor para isso.
• Sequestro de sessão: quando um usuário faz login em um aplicativo da Web, um token de sessão temporário é gerado para que o nome de usuário e a senha não sejam necessários toda vez que o usuário for para uma página diferente. Com o sequestro de sessão, o invasor identifica esse token de sessão e atua como usuário.
• SSL Stripping: Os pacotes são interceptados e alterados para que o host tenha que enviar solicitações não criptografadas ao servidor, o que significa que as informações confidenciais não são mais criptografadas.

Detectar esses tipos de ataques é complicado. Você já deve estar procurando uma interceptação; caso contrário, um ataque MITM pode passar despercebido. Felizmente, você pode tomar medidas para detectar um ataque antes que ele ocorra, em vez de esperar para tentar pegá-lo em ação.

Como prevenir um ataque MITM

Aqui estão as melhores práticas que você deve seguir para evitar um ataque MITM:

Alterar as credenciais de login do roteador

Você nunca deve manter as credenciais de login padrão do seu roteador. Se um invasor conseguir encontrá-los, o que é mais fácil se você ainda estiver usando os padrões, ele poderá alterar seus servidores para os deles. Eles também podem colocar software malicioso no seu roteador.

Aplicar HTTPS

O HTTPS é necessário para se comunicar com segurança, e isso significa que o invasor não poderá usar os dados que está sniffing. Os sites não devem oferecer alternativas HTTP; eles devem usar apenas HTTPS. Além disso, os usuários podem obter um plug-in do navegador que sempre aplicará o HTTPS.

Configurar criptografia forte

Os pontos de acesso sem fio precisam de criptografia forte se você quiser impedir que usuários indesejados próximos entrem em sua rede. Quando sua criptografia é fraca, um invasor pode usar um ataque de força bruta para entrar em sua rede e lançar um ataque MITM.

Usar uma VPN

As redes privadas virtuais (VPNs) criam um ambiente online seguro, o que é importante se você tiver informações confidenciais armazenadas. As VPNs usam criptografia baseada em chave para criar um espaço para comunicação segura. Mesmo que o invasor consiga entrar em uma rede compartilhada, ele não conseguirá entender o tráfego da VPN.

O que os usuários do WordPress precisam saber

Quando um usuário faz login no WordPress, o nome de usuário e a senha são enviados em uma solicitação HTTP – que não é criptografada. É por isso que é tão importante usar HTTPS para evitar que um invasor espione a comunicação. Felizmente, é fácil configurar isso usando um plug-in – existem vários no diretório de plug-ins do WordPress que configurarão seu site para ser executado em HTTPS.

Quando se trata de WordPress, a maior preocupação é que um ataque MITM leve a um hack do WordPress. O HTTPS é importante porque impede que os invasores vejam seu nome de usuário e senha em texto simples. O HTTPS também ajudará a proteger seu site WordPress contra outras ameaças comuns, que incluem falsificação de ARP e roubo de cookies de autenticação.

Além de usar HTTPS, as melhores práticas de proteção do WordPress funcionarão para manter seu site seguro. Esses incluem:

• Registro de atividade
• Firewall
• Limitando tentativas de login com falha
• Senhas fortes
• Autenticação de dois fatores

Também é útil conhecer os tipos de sites que mais são vítimas de ataques MITM. Os sites onde o login é necessário são os mais propensos a ataques MITM porque o objetivo do invasor geralmente é roubar credenciais, números de contas, números de cartão de crédito e similares. Se você tem um site WordPress onde os usuários precisam fazer login – como para um site de associação ou para acessar um carrinho de compras salvo – você deve estar especialmente atento aos ataques MIMT.

Perguntas frequentes sobre o ataque MITM

O que causa um ataque Man in the Middle?

Um ataque MITM pode ocorrer quando duas partes estão tendo uma interação não segura. Podem ser duas pessoas conversando por meio de um sistema de mensagens online ou uma transferência de dados entre dois hosts.

Quais são os sinais de um ataque Man in the Middle?

Existem alguns sinais reveladores de que você está, ou poderia estar, nas proximidades de um ataque Man in the Middle – ou até mesmo uma vítima:

• Redes Wi-Fi abertas e públicas.
• Nomes de rede WiFi suspeitos.
• Redes WiFi gêmeas do mal que visam enganar o usuário. Por exemplo, StarbucksJoin e StarbucksWiFi. Se você ver os dois, um pode ser falso.

O que é um homem passivo no meio do ataque?

Um ataque MITM passivo ocorre quando o invasor está espionando a comunicação entre duas partes, mas não está realizando nenhuma ação para manipular os dados.

Empacotando

Saber que você foi vítima de um ataque MITM, seja verificando seu e-mail em um café ou sendo o proprietário de um site que foi invadido, é assustador. Pensar em alguém espionando você ou sua atividade online é simplesmente assustador. E quando se trata de informações confidenciais – suas ou de seus clientes, assinantes, etc. – pode ser um sério prejuízo para sua vida pessoal e profissional também. Configurar o HTTPS no seu site WordPress é o próximo passo necessário. A partir daí, trabalhe para fortalecer seu site o máximo possível. Você nunca pode estar muito seguro.

Enquanto você está nisso, confira nosso artigo sobre como realizar uma auditoria de segurança do WordPress.