Perigos da Reutilização de Senhas e Credenciais Vulneráveis
Estudos têm mostrado que mais de 50% dos usuários tem o péssimo hábito de reutilizar a mesma senha, então as chances são de que mais de uma conta pode estar vulnerável se as suas credenciais do Instapaper forem roubadas. Para quem não conhece, Instapaper permite aos utilizadores guardar e armazenar artigos para leitura, particularmente quando eles estiverem off-line ou simplesmente não tiverem acesso à Internet. O aplicativo funciona por salvar a maioria das páginas da Web como apenas texto e formatação de seu layout para tablets ou telas de telefone. Aqueles que querem usar o aplicativo são obrigados a inscrever-se e criar uma conta para rever as notas, dar "likes" em artigos ou aceder a outras opções. Além do mais, a vulnerabilidade não está na forma como o aplicativo recupera conteúdo, mas na forma como ele implementa, ou neste caso, não implementa a validação de certificado. Apesar de toda a comunicação ser feita via HTTPS, o aplicativo não executa validação de certificado. Se alguém executar um ataque do tipo "Man-in-the-Middle", eles poderiam usar um certificado auto-assinado e começar a "comunicação" com o aplicativo.
O aplicativo define um SSLSocketFactory, e usa um TrustManager sem ter qualquer aplicação para validação de certificação. A classe SSLSocketFactory é responsável por validar o servidor HTTPS contra uma lista de certificados, e também para validar a autenticidade do servidor HTTPS usando uma chave privada. A implementação desta classe é particularmente importante, pois permite a autenticação do servidor e garante que a comunicação entre o usuário e o servidor é criptografada e dessa forma, não pode ser exibida em texto simples por ferramentas de snnifing de tráfego. As verificações relacionadas a cadeia de certificados específicos podem ser validadas, assim como a checagem sobre a existência de haver confiabilidade para a autenticação do cliente/servidor voltada para o tipo de autenticação especificado. Em outras palavras, se não houver nenhuma implementação para TrustManager, qualquer um pode passar por este servidor do Instapaper e começar a recolher as credenciais de autenticação, através da disseminação de um ataque do tipo "Man-in-the-Middle".
Ataques do Tipo "Man-in-the-Middle"
Quem atua ou se interessa pela área de segurança da informação de um modo geral, certamente sabe o que é ou pelo menos já ouviu falar sobre os ataques do tipo "Man-in-the-Middle". Mas, para quem ainda tem dúvidas sobre seu funcionamento e está ingressando mais recentemente no mundo da segurança, o referido ataque é um tipo de investida nefasta bastante popular, e como o próprio nome sugere, nesta modalidade o cybercriminoso coloca suas armadilhas entre a vítima e sites relevantes, como sites de bancos e contas de e-mail. Estes ataques são extremamente eficientes e difíceis de serem detectados, especialmente quando se trata de usuários inexperientes ou desavisados.
Neste contexto de ameaças, o intuito maior dos atacantes, independente de seus negócios, é roubar informação do usuário. Seja através de ataques discretos e individuais ou em grande escala, que podem ocorrer por meio de sites populares e bancos, comprometendo as informações financeiras. Quase sempre, os invasores começam tentando inserir algum vírus na máquina do usuário para depois percorrer um curto caminho até a pessoa e obter a informação que lhes interessa. Vale ressaltar que o conceito existente por trás do ataque do tipo "MITM" é bastante simples e não se restringe ao universo cibernético. O invasor se posiciona entre duas partes que tentam comunicar-se, intercepta mensagens enviadas e depois se passa por uma das partes envolvidas. O envio de contas e faturas falsas poderia ser um exemplo desta prática no mundo offline: o criminoso as envia ao e-mail das vítimas e rouba os cheques enviados como forma de pagamento. No mundo cibernético, os ataques são mais complexos. Apesar de basear-se na mesma intenção, o invasor deve permanecer com um comportamento de neutralidade entre a vítima e uma instituição legítima, para que o golpe seja bem sucedido.
Derivações do Ataque do Tipo "Man-in-the-Middle"
Na forma mais comum de ataque "MITM", o golpista utiliza um router WiFi como mecanismo para interceptar conversas de suas vítimas, o que pode se dar tanto através de um router corrompido quanto através de falhas na instalação de um equipamento. A partir de uma situação comum, o atacante configura seu notebook ou outro dispositivo wireless para atuar como ponto de WiFi, e o nomeia com um título comum em redes públicas. Então, quando um usuário se conecta ao "router" e tenta navegar em sites como de "Internet Banking" ou sites de comércio eletrônico, o invasor rouba suas credenciais. Lembrando que já houve situação de um cracker ter tirado proveito de falhas na implementação de um sistema criptográfico de uma rede Wi-Fi real, e a utilizar para capturar informações. Dessa forma, é possível afirmar que esta é uma situação mais incomum; todavia, também a mais lucrativa. Se o atacante for persistente e acessar o equipamento comprometido por dias e horas a fio, terá a possibilidade de espiar as sessões de seus usuários silenciosamente, deixando as vítimas a vontade para usar informações sensíveis durante o processo de navegação.
Ataques do Tipo "Man-in-the-Browser"
Existe ainda uma versão do ataque MITM que é chamada de "man-in-the-browser". Nesta derivação de investida, o atacante utiliza um dos inúmeros métodos para implementar um código nefasto no browser do computador de suas vítimas. O malware, silenciosamente, grava informações enviadas a vários sites. Esta modalidade de ataque tem se popularizado ao longo dos anos, porque ela possibilita atacar a um grande volume de usuários por vez e mantém o cybercriminoso a uma distância segura (para ele) em relação às suas vítimas. No que diz respeito a se defender em relação aos ataques do tipo "MITM", existem diferentes maneiras de fazer isto, mas a maioria desses mecanismos devem ser instalados nos routers/servidores e não são 100% seguros. Existe também a técnica de aplicação de um sistema de criptografia mais elaborado entre o cliente e o servidor. Neste caso, o servidor pode identificar-se apresentando um certificado digital para que o cliente possa estabalecer uma conexão criptográfica e enviar informações confidenciais através do mesmo. Mas esta possibilidade de defesa precisa que ambos os servidores tenham tal criptografia habilitada. Além disso, os usuários podem proteger-se de ataques "MITM" evitando conectar-se a redes Wi-Fi livres ou instalando plug ins como HTTPS Everywhere or ForceTLS em seu navegador, pois os referidos programas selecionarão apenas conexões seguras, sempre que estas estiverem disponíveis.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=18547