O roubo de identidade é sempre uma ameaça, independentemente do meio. O chamado “IP spoofing” (falsificação de IP) é uma forma comum de usuários maliciosos ganharem rapidamente credibilidade por suas tentativas de hacking.
Dado que cada computador e servidor tem um identificador único (um “protocolo de internet” – ou endereço IP), quase qualquer um que use a internet pode ser vulnerável. A falsificação do IP é uma forma de “falsificar” a aparência de um endereço de origem (tal como um endereço de e-mail) como uma técnica de personificação. Ele pode vir de várias formas, então você tem que estar atento.
Ao longo deste artigo, falaremos sobre IP spoofing (falsificação de IP), o que é, por que você é um alvo, e muito mais. Também falaremos sobre alguns dos ataques de IP spoofing mais comuns que você enfrentará, assim como alguns usos legítimos para falsificar o IP.
O que é IP Spoofing?
Em um sentido geral, o IP Spoofing (falsificação de IP) toma uma parte dos dados que você envia pela internet e faz parecer que é de uma fonte legítima. IP spoofing é um termo muito abrangente para muitos ataques diferentes:
- Falsificação do endereço IP: Esta é uma ofuscação direta do endereço IP do atacante para conduzir ataques de negação de serviço (DoS), e muito mais.
- Falsificação do servidor de nomes de domínio (DNS): Isto modificará o IP de origem do DNS para redirecionar um nome de domínio para um IP diferente.
- Falsificação do protocolo de resolução de endereço (ARP): Uma tentativa de falsificação do ARP é um dos ataques mais complexos. Consiste em ligar o endereço MAC (media access control) de um computador de um IP legítimo usando mensagens ARP falsificadas.
Para obter mais informações técnicas, a falsificação de IP leva os dados e muda algumas informações identificáveis em nível de rede. Isto torna a falsificação quase indetectável.
Por exemplo, pegue um ataque DoS.
Isto usa uma coleção de bots usando endereços IP falsificados para enviar dados para um site e servidor em particular, levando-os para fora do ar. Aqui, a falsificação de IP torna o ataque difícil de detectar até que seja tarde demais, e é igualmente difícil de rastrear após o fato.
Os ataques MITM (Machine-in-the-middle) também utilizam a falsificação de IP porque a abordagem MITM depende da falsificação da confiança entre dois pontos finais. Falaremos mais sobre esses dois ataques com mais detalhes mais tarde.
Como acontece a falsificação de IP
Para entender melhor a falsificação de IP, vamos dar a você algum contexto sobre como a internet envia e usa os dados.
Cada computador usa um endereço IP, e qualquer dado que você envia é quebrado em muitos pedaços (“pacotes”). Cada pacote viaja em uma base individual. Então, quando chegam ao fim da cadeia, eles são remontados e apresentados como um todo. Além disso, cada pacote também tem suas informações identificáveis (um “cabeçalho”) que incluirá o endereço IP tanto da fonte quanto do destino.
Em teoria, isto deve assegurar que os dados cheguem a um destino livre de adulterações. Entretanto, este nem sempre é o caso.
A falsificação de IP usa o cabeçalho IP de origem e muda alguns dos detalhes para fazer parecer que é genuíno. Como tal, isto pode violar até mesmo a mais rigorosa e segura das redes. O resultado é que os engenheiros da web frequentemente tentam encontrar novas maneiras de proteger as informações que viajam através da web.
Por exemplo, o IPv6 é um protocolo mais novo que constrói criptografia e autenticação. Para os usuários finais, o secure shell (SSH) and secure socket layers (SSL) ajudam a mitigar os ataques, mas discutiremos por que isso não pode erradicar o problema mais tarde. Quanto maior o número de passos de criptografia que você implementar, melhor você pode proteger seu computador, pelo menos em teoria.
Também vale a pena notar que a falsificação de IP não é uma prática ilegal, e é por isso que ela prevalece. Há muitos usos legítimos para a falsificação de PI que discutiremos em outra seção. Como tal, enquanto a falsificação de IP em si mesma leva um hacker a entrar pela porta, ela pode não ser a única técnica usada para quebrar a confiança.
Por que o seu IP é um alvo para a falsificação
Todas as considerações morais e éticas à parte, a identidade de usuário de outra pessoa tem imenso valor e utilidade. Afinal, há muitos atores maus que, dada a oportunidade, usariam de bom grado a identidade de outra pessoa para obter algo, sem qualquer repercussão moral.
A falsificação de endereços IP é uma perseguição de alto valor para muitos usuários maliciosos. O ato da falsificação de IP não tem muito valor, mas as oportunidades que você vai ganhar podem ser o jackpot.
Por exemplo, através da falsificação de IP, um usuário pode se fazer passar por um endereço mais confiável para obter informações pessoais (e mais) de um usuário insuspeito.
Isto também pode ter um efeito de arrastamento sobre outros usuários. Um hacker não precisa falsificar o endereço IP de cada alvo – é preciso apenas um para quebrar as defesas. Usando essas credenciais não conquistadas, o mesmo hacker também pode ganhar a confiança de outros membros da rede e conseguir que eles compartilhem informações pessoais.
Como tal, o IP em si não é valioso. Entretanto, dependendo do que for feito com o IP falsificado, o pagamento pode ser enorme, e o potencial de acesso a outros sistemas através do IP falsificado também não é insignificante.
3 Tipos mais comuns de ataques de falsificação de IP
A falsificação de IP se presta bem a certos tipos de ataques. Vejamos agora três deles.
1. Mascarando Botnets
Botnet é uma rede de computadores que um atacante controla a partir de uma única fonte. Cada um desses computadores executa um bot dedicado, que realiza os ataques em nome do mau ator. Você verá que a habilidade de mascarar botnets não seria possível sem a falsificação do IP.
Em circunstâncias normais, os hackers ganham controle através de infecções, tais como malware. O uso de botnets pode ajudar um usuário malicioso a realizar ataques de spam, ataques DDoS, golpes publicitários, ataques de phishing, e muito mais. É uma maneira versátil de conduzir ataques direcionados contra outros usuários.
Parte da razão para isso é a falsificação de IP. Cada bot na rede frequentemente tem um IP falsificado, fazendo com que o ator malicioso seja desafiado a rastrear.
O principal benefício da falsificação de IPs aqui é evitar a aplicação da lei. No entanto, este não é o único.
Por exemplo, o uso de botnets com IPs falsificados também impede o alvo de notificar os proprietários sobre o problema. Para começar, isto pode prolongar o ataque e deixar o hacker “pivotar” o foco para outras marcas. Em teoria, isto poderia resultar em um ataque em uma base infinita para maximizar o pagamento.
2. Ataques de Negação Direta de Serviço (DDoS – Direct Denial of Service)
Se um site sair do ar devido ao excesso e sobrecarga de tráfego malicioso no servidor, este é um ataque DDoS. Ele pode ser devastador para qualquer proprietário de site, e há muitas maneiras de mitigar os efeitos.
Isto cobre vários ataques de falsificação relacionados e técnicas que se combinam para criar o ataque completo.
Falsificação de DNS
Primeiro, um usuário malicioso procurará a falsificação de DNS para se infiltrar em uma rede. Um ator malicioso usará a falsificação para alterar o nome do domínio associado com o DNS para outro endereço IP.
Daqui, você pode realizar qualquer número de ataques adicionais, mas a infecção por malware é uma escolha popular. Como essencialmente desvia o tráfego de fontes legítimas para fontes maliciosas sem detecção, é fácil infectar outro computador. A partir daí, mais máquinas sucumbirão à infecção e criarão o botnet para realizar o ataque DDoS de forma eficiente.
Falsificação de endereço IP
Após a falsificação de DNS, um atacante realizará outra falsificação de endereço IP para ajudar a ofuscar os bots individuais dentro da rede. Isto frequentemente segue um processo de randomização perpétua. Como tal, o endereço IP nunca permanece o mesmo por muito tempo, o que torna praticamente impossível de detectar e rastrear.
Este ataque de nível de rede é impossível de ser detectado por um usuário final (e atrapalha muitos especialistas do lado do servidor também). É uma maneira eficaz de realizar ataques maliciosos sem consequências.
Falsificação de ARP
O falsificação de ARP (ARP spoofing) é outra forma de conduzir ataques DDoS. É muito mais complexo do que o método da força bruta de mascarar botnets e a falsificação de IP, ainda assim ele incorpora ambos para realizar um ataque.
A idéia é mirar uma rede de área local (LAN – Local Area Network) e enviar através de pacotes de dados ARP maliciosos para alterar os endereços IP definidos em uma tabela MAC. É uma maneira fácil para um atacante obter acesso a um grande número de computadores ao mesmo tempo.
O objetivo do falsificação de ARP é canalizar todo o tráfego da rede através de um computador infectado, e depois manipulá-lo a partir daí. Isto é simples de fazer através do computador do atacante e permite que ele escolha entre um ataque DDoS ou um ataque MITM.
3. Ataques MITM
Ataques de Machine-in-the-Middle (MITM) são particularmente complexos, altamente eficazes e totalmente catastróficos para uma rede.
Estes ataques são uma maneira de interceptar os dados do seu computador antes que eles cheguem ao servidor ao qual você se conecta (digamos, com o seu navegador da web). Isto permite que o atacante interaja com você usando sites falsos para roubar suas informações. Em alguns casos, o atacante é um terceiro que intercepta a transmissão entre duas fontes legítimas, o que aumenta a eficácia do ataque.
É claro que os ataques MITM dependem da falsificação de IP, pois é necessário que haja uma quebra de confiança sem que o usuário esteja ciente. Além disso, há um maior valor em realizar um ataque MITM comparado a outros porque um hacker pode continuar coletando dados a longo prazo e vendê-los para outros.
Casos reais de ataques MITM mostram como a falsificação de IP entra em jogo. Se você falsificar um endereço IP e ganhar acesso a contas de comunicação pessoal, isso permite que você rastreie qualquer aspecto dessa comunicação. A partir daí, você pode escolher a informação, encaminhar usuários para sites falsos e muito mais.
No geral, um ataque MITM é uma maneira perigosa e altamente lucrativa de obter informações do usuário, e a falsificação de IP é uma parte central disso.
Por que a falsificação de IP é perigosa para o seu site e para os usuários
Como a falsificação de IP é algo que acontece em um nível baixo de rede, é um perigo para quase todos os usuários na internet.
Phishing e spoofing andam de mãos dadas. E um bom ataque de falsificação não se apresentará como uma tentativa de phishing. Isto significa que os usuários não terão nenhuma indicação para serem cautelosos e poderão entregar informações sensíveis como resultado.
Elementos críticos para os negócios serão um alvo principal, tais como sistemas de segurança e firewalls. Esta é a razão pela qual a segurança do site é a preocupação número um para muitos. Você não apenas precisa implementar funcionalidades suficientes para mitigar um ataque, mas também precisa garantir que os usuários de sua rede estejam vigilantes e usem boas práticas de segurança.
No entanto, um aspecto da falsificação de IP faz com que a contenção seja menos simples: A técnica tem muitos casos de uso legítimo através da web.
Usos legítimos para a falsificação de IP
Como a falsificação de IP tem muitos casos de uso não malicioso, há pouco que você pode fazer para impedir que outros o usem.
Por exemplo, milhares de “hackers éticos” procuram testar sistemas para empresas. Este tipo de hacking ético é uma violação sancionada do sistema, projetada para testar os recursos e a força da segurança.
Isto seguirá o mesmo processo que o hacking malicioso. O usuário realizará o trabalho de reconhecimento do alvo, ganhará e manterá o acesso ao sistema e ofuscará sua penetração.
Você verá com frequência que hackers antiéticos se convertem a tipos éticos e encontram emprego em empresas que eles podem ter considerado um alvo no passado. Você pode até mesmo encontrar exames e certificações oficiais para ajudá-lo a obter as credenciais adequadas.
Algumas empresas também usarão falsificação de IP em exercícios de simulação não relacionados a quebras de sistema. Por exemplo, e-mails em massa são um bom caso de uso para milhares de endereços IP, e todos eles precisarão ser criados através da falsificação (legítimo).
Os testes de registro de usuários usam a falsificação de IP para simular os resultados também. Qualquer situação em que você precise simular muitos usuários é um caso ideal para a falsificação ética de IP.
Por que você não pode evitar a falsificação de IP
Porque a falsificação é tão difícil de se detectar, e porque a natureza do método é esconder uma verdadeira identidade, há pouco que você pode fazer para evitar que isso aconteça. No entanto, você pode minimizar o risco e negar o impacto.
É importante notar que um usuário final (ou seja, a máquina do lado do cliente) não pode parar de falsificar de nenhuma maneira. É o trabalho da equipe do lado do servidor evitar a falsificação de IP da melhor forma possível.
Existem algumas maneiras de adicionar bloqueios de estrada entre um hacker e um alvo potencial. Algumas das maneiras mencionadas até agora incluem:
- Usando um protocolo mais seguro, como o IPv6
- Garantir que a base de usuários implemente uma boa segurança individual ao usar o site e a rede
- Implementando SSL e SSH em seu site
No entanto, há mais que você pode fazer. Por exemplo, você pode usar um firewall de aplicação web dedicado (WAF) como o Sucuri, que ajudará a “construir muros altos” ao redor do seu site.
Você também pode implementar uma infra-estrutura pública crítica (PKI) para ajudar a autenticar usuários e dados associados. Isto depende de uma combinação de chaves públicas e privadas para criptografar e decodificar dados. Por causa da natureza da criptografia, é muito mais desafiador para os hackers violarem a lei.
O monitoramento de rede é uma técnica básica que também pode ajudá-lo a detectar os sinais da falsificação de IP ou ataques relacionados. Isto pode tomar muitas formas, mas quanto melhor você conhecer seu sistema, maior será a chance de detectar ataques maliciosos.
A filtragem de pacotes também pode ajudar a combater as tentativas de falsificação de IP. a filtragem “Ingress” e “egress” analisa os cabeçalhos de entrada e saída das comunicações de entrada e saída. Se algo não passar por esse filtro, isso não afetará os usuários dentro da rede.
Finalmente, a inspeção profunda de pacotes (DPI – Deep Packet Inspection) é uma técnica similar que é tão eficaz. Isto, junto com os outros métodos aqui, pode até mesmo ser combinado para ajudar a apoiar uma rede ou servidor.
Resumo
Seu endereço IP é único para você, como é para cada computador em uso hoje em dia. Esse endereço ajuda a realizar muitas tarefas, tais como autenticação, criptografia e muito mais. Por extensão, isto faz de quase todos os endereços IP um alvo para os aspirantes a hackers ou criminosos.
A falsificação de IP falsifica a legitimidade de um endereço e o utiliza para violar redes seguras para obter mais ganhos.
A correção da falsificação de IP é algo fora do controle do usuário final, e pode ser difícil para os administradores de sistemas também lidar com isso. Em geral, você só pode mitigar o impacto que a spoofing de IP tem em sua rede, ao invés de erradicá-la no total.
Mesmo assim, existem muitos obstáculos que você pode colocar no caminho de um usuário potencialmente malicioso. Os métodos típicos de criptografia ajudam, assim como uma boa estratégia de firewall e monitoramento de rede.
Você é uma vítima da falsificação de IP e, se sim, como você resolveu a situação? Compartilhe seus pensamentos na seção de comentários abaixo!
Deixe um comentário