Em um hotspot wi-fi público não criptografado, o que exatamente um sniffer de pacotes está fazendo para obter o pacote de outro computador?

7

Eu recebo resultados mistos ao ler artigos de segurança da informação, alguns deles afirmando que para fazer algo semelhante você também precisa configurar algum tipo de honeypot com um ponto de acesso em execução e um servidor Web local para interceptar o tráfego. Então outros artigos parecem indicar que você não precisa disso, e você pode simplesmente rodar o Wireshark, e ele irá detectar todos os pacotes sendo enviados na rede. Como isso poderia ser, e o que exatamente um sniffer de pacotes está fazendo para obter esses pacotes? Isso envolve a interceptação de sinais sem fio transmitidos pelo protocolo sem fio e a frequência via NIC no computador que executa um programa como o Wireshark?

    
por John Doe 23.06.2011 / 17:08

2 respostas

3

Se configurado corretamente, um sniffer receberá todos os pacotes que ele pode decodificar e os exibirá na tela. Esta vulnerabilidade é inerente a qualquer sinal WiFi que é suseptibale para qualquer forma de easedropping (por exemplo, ser capaz de capturar comunicações que são descriptografadas, fracamente criptografadas, etc). Provavelmente, é por isso que muitos sites adicionaram HTTPS forçado, o que exige que um usuário desonesto descriptografe a mensagem em cada pacote.

No que diz respeito ao honeypot que você mencionou, ele pode estar discutindo um potencial (e elaborado) ataque man-in-the-middle, em que um usuário acredita que ele recebe os certificados SSL corretos e sua sessão é "segura", mas a máquina inbetween é capaz de ler todas as transmissões em texto simples.

    
por 23.06.2011 / 17:44
3

Os sinais sem fio serão recebidos e lidos pelo software de rede de nível mais baixo em todos os computadores equipados com WiFi nas proximidades. Se o computador de destino não for o computador atual, os pacotes serão descartados - a menos que a interface tenha sido colocada no modo promíscuo . Um sniffer de pacotes, como o Wireshark, pode capturar e exibir os dados do pacote.

Isso é semelhante a outras mídias de rede de transmissão, como o antigo cabo Ethernet coaxial 10BASE5 ou 10BASE2 e redes que usam hubs mais antigos 10BASE-T (ou mesmo 100BASE-TX) switches - que segregam o tráfego aprendendo os endereços MAC por porta).

Pelo que entendi, Se WEP, WPA etc estão em uso pelo hub WiFi (ponto de acesso local), os dados são criptografados e, portanto, outros computadores não podem decodificar os dados do pacote, pois eles não têm as chaves de sessão negociadas entre o outro computador e o hub Wifi. Atualização: Eu acho que estou errado neste último ponto, como Christian Mann sugeriu, WEP, WPA e WPA2 não usam chaves de sessão e então não proteger seus dados de outras pessoas legitimamente usando o mesmo hub WiFi. A chave compartilhada que é usada para autenticar a "conexão" ao hub de WiFi é (eu acho) também usada para criptografar o tráfego. Normalmente, todos usam a mesma chave e, em princípio, podem descriptografar o tráfego de todos os outros.

A criptografia WEP é quebrada com relativa facilidade em um tempo muito curto e, portanto, não oferece proteção contra receptores não autorizados do sinal WiFi.

Parece que nem todo hardware WiFi (ou mais apropriadamente, seus drivers associados) suportam "modo promíscuo" (veja www.tamos.com ) - mas acredito que muitos fazem.

Alguns hardwares Wi-Fi também suportam o Modo Monitor do Wi-Fi, que pode ser usado para capturar o tráfego de outras pessoas, mesmo de um computador que não está "conectado" ao hub de WiFi.

(Terminologia: meu "hub WiFi" = Ponto de acesso sem fio (WAP) - geralmente integrado a um roteador DSL)

    
por 23.06.2011 / 17:37