Como prevenir ataques de espionagem de redes
Um dos maiores desafios dos ataques de espionagem de rede é que eles são difíceis de detectar. Leia sobre as medidas de prevenção para ajudar a manter sua rede protegida de intrusos e farejadores.
Os ataques de espionagem na rede, também conhecidos como ataques de sniffing ou ataques de snooping, ocorrem quando atores maliciosos aproveitam as conexões de rede inseguras para filtrar os dados à medida que estes são transmitidos.
Do mesmo modo que alguém escuta uma conversa entre duas pessoas, a escuta na rede implica ouvir conversas através dos componentes da rede, incluindo servidores, computadores, smartphones ou outros dispositivos conectados.
Como funcionam os ataques de espionagem de rede
Nos ataques de espionagem de rede, os hackers buscam conexões fracas entre clientes e servidores: aquelas que não estão encriptadas, utilizam dispositivos ou softwares que não estão atualizados ou têm malware instalado através de engenharia social. Ao explorar estas conexões débeis, os hackers interceptam pacotes de dados que atravessam a rede. O hacker pode ler qualquer tráfego de rede, web ou correio eletrônico, se não estiver encriptado.
Os hackers instalam, frequentemente, programas sniffers. Esses aplicativos legítimos, tais como Wireshark, Snort, ou tcpdump, são frequentemente utilizados por equipes de segurança para monitorar e analisar o tráfego de rede em busca de problemas e vulnerabilidades. No entanto, esses aplicativos também podem ser utilizados por infratores para detectar as mesmas vulnerabilidades e explorá-las.
Tipos de ataques de espionagem de rede
Os ataques de espionagem de rede podem ser passivos ou ativos. Em um ataque de espionagem passivo, o programa hacker ou rastreador apenas obtém informações sobre o seu alvo: os dados nunca são alterados. As escutas de voz sobre IP (VoIP) são um exemplo de um ataque de escuta passiva. Durante a espionagem de VoIP, um hacker ou rastreador poderá se infiltrar na rede através de um dispositivo VoIP comprometido ou, então, através de parte da infraestrutura VoIP, como um switch, cabo ou internet, e ouvirá as chamadas VoIP não encriptadas.
Nos ataques de espionagem ativos, os hackers invadem a rede e se fazem passar por conexões legítimas. Em ataques ativos, os hackers podem injetar, modificar, ou bloquear pacotes. O ataque de espionagem ativo mais comum é o ataque man-in-the-middle (“homem no meio”). Geralmente, os ataques MitM se infiltram nos sistemas através de malware ou ataques de phishing, incluindo o sistema de nome de domínios (DNS), o protocolo de configuração dinâmica de host (DHCP), IP Spoofing ou MAC Spoofing. Uma vez que os atacantes entram no sistema, através de ataques MitM, não só podem capturar dados, mas também manipulá-los e enviá-los para outros dispositivos e usuários ao simularem ser parte legítima.
Prevenção de ataques de espionagem de rede
Infelizmente, detectar e prevenir ataques passivos de espionagem de rede é extremamente difícil, se não impossível, uma vez que não há interrupções ou mudanças na rede. Os ataques ativos são mais fáceis de detectar, mas muitas vezes os dados já foram interceptados quando se notam as mudanças na rede.
Como na maioria das questões de segurança, uma grama de prevenção vale sempre um quilo de cura. Veja a seguir um resumo das melhores formas de prevenir ataques de espionagem de rede:
- Encriptação. Primeiro, encriptar e-mail, redes e comunicações, bem como dados em repouso, em uso ou em movimento. Dessa forma, mesmo que os dados sejam interceptados, o hacker não poderá decodificá-los sem a chave de encriptação. Para a encriptação sem fios, recomenda-se o acesso protegido Wi-Fi 2 ou WPA3. Toda a comunicação baseada na web deve utilizar HTTPS. No entanto, deve-se considerar que, embora a maioria dos dados possa ser encriptada, os metadados de tráfego de rede, como endpoints e endereços IP, podem ser obtidos através de um rastreador.
- Autenticação. A autenticação dos pacotes de entrada é fundamental para prevenir os pacotes falsificados que são utilizados para cometer ataques de MAC e IP Spoofing. Também recomenda-se utilizar padrões e protocolos que forneçam autenticação. A maioria dos protocolos criptográficos, como TLS, extensões de correio da internet seguras/multifuncionais, OpenPGP e IPsec, incluem alguma forma de autenticação.
- Monitoramento de rede. As equipes de segurança devem monitorar constantemente as redes para detectar atividade anormal, mediante o uso de sistemas de detecção de intrusos ou software de detecção e resposta em endpoint. As equipes de segurança também deveriam utilizar os mesmos programas sniffers que os agentes nefastos utilizam para detectar vulnerabilidades na rede.
- Sensibilização e melhores práticas de segurança. Educar os empregados sobre os riscos de ataques de espionagem e as melhores práticas de proteção contra eles. Como muitos ataques de espionagem envolvem malware, convém aconselhar os empregados a nunca clicar em links ou baixar arquivos com os quais não estão familiarizados. As senhas seguras que são alteradas com frequência podem evitar que os atacantes obtenham acesso através de credenciais comprometidas. Além disso, deve-se advertir os empregados para evitarem as redes Wi-Fi públicas. Essas redes, com senhas facilmente disponíveis, se é que têm alguma, são altamente propensas a ataques de espionagem.
- Segmentação de rede. Segmentar a rede pode colocar certos dados fora do alcance de um hacker. Por exemplo, separar a infraestrutura crítica dos aplicativos financeiros e de recursos humanos, e separar todas elas da rede host. Se um segmento for comprometido, o hacker não poderá acessar os outros segmentos.
- Tecnologias de segurança. Firewalls, VPNs, e antimalware são essenciais para frustrar ataques de escutas. Usando a filtragem de pacotes, deve-se configurar roteadores e firewalls para rejeitar qualquer pacote com endereços falsificados.
