Você pode estar sendo vigiado

Não olhe para o lado, e nem faça movimentos bruscos, mas neste exato momento você pode estar sendo vigiado! Direito a privacidade vs auditoria da rede empresarial. Esta é uma guerra que talvez nunca tenha fim e isso ocorre porque as mesmas ferramentas que são usadas para o bem da rede também podem ser usadas para o mal, dependendo apenas do caracter da pessoa quem a usa. Assim, vou deixar a cargo do nobre leitor avaliar os riscos de se ler e escrever “bobagens” quando acessar páginas web, usar o MSN ou outros serviços quaisquer achando que ninguém mais está vendo.

Como isso é possível?

Duas coisas que aprendi logo nos primórdios dos meus estudos sobre segurança de informação são que (1) não existe segurança perfeita; (2) se passa por um “único fio” é possível que mais alguém esteja vendo.

Ao longo do tempo trabalhando com esta área eu constatei que ambas as afirmações são verdades absolutas. Assim como não existe a possibilidade de garantir segurança perfeita no mundo real, também não há no mundo virtual.Exemplos disso não faltam por ai. Pode ser que demore um dia, um ano, dez anos… não importa se é uma informação em meio digital, mas cedo ou mais tarde ela será vista por mais alguém.

Assim como ocorre com a sua conta bancária, em regrais gerais, somente duas pessoas podem ter acesso as suas informações: você e um administrador. No caso do banco seria o seu gerente de conta, no caso da informação seria o administrador da sua rede, mas a verdade é que a Internet é bastante segmentada e sua informação acaba passando por sistemas e equipamentos administrados por várias pessoas.

Uma forma prática de provar isso é usando uma ferramenta chamada traceroute* que relata por quais roteadores suas mensagens passam desde a sua solicitação até chegar ao seu destino. Por exemplo, no momento em que escrevo este texto eu estou em casa usando uma conexão adsl da Oi e só por curiosidade tentei dar um traceroute para um dos servidores da Bovespa.

O resultado informou que todas as informações que trafegam da minha máquina até este servidor especifico daquela empresa passam por nada menos que 11 roteadores distintos, onde cada em deles poderiam haver algum espião olhando o que eu estou fazendo e que informações eu estou trocando!

Estes roteadores pertencem as empresas que montam a estrutura de comunicação entre minha casa e aquela instituição, ou seja, meu provedor de acesso, o provedor de acesso da Bovespa, outros provedores intermediários (caso estes dois não possuam uma ligação direta entre eles) etc.

Paranóias à parte, a verdade é que embora possa parecer coisa de filmes de espionagem, isso pode estar acontecendo neste exato momento em que você está na Internet e a solução paleativa para evitar que isso ocorra é a criptografia de tráfego, o que na maioria dos casos não é feita.

*A ferramenta traceroute está disponível via linha de comandos na maioria dos sistemas operacionais, vez por outra com um outro nome como por exemplo tracepath ou tracert.

Ferramentas usadas para isso

Como eu disse antes, se a informação está passando por um único fio alguém mais poderá ve-la. Quando digo aqui “um único fio” não me refiro ao sentido literal da frase, o que quero dizer é que se existe uma saída comum para sua Internet (o que é verdade em 100% dos acessos a Internet) será possível monitorar o que andam fazendo online.

Prova de que isso é verdade é fácil de dar. Verifique onde liga o seu computador para acessar a Internet. Provavelmente ele está ligado diretamente em um modem, certo? Em alguns casos talvez ele até esteja conectado a um roteador, hub ou switch, mas perceba que este monte de parafernália se concentrará a um único ponto e daí para o “mundão” da Internet só sai “um fio” (caso você use uma conexão Wireless ou 3G então é pior ainda poque nem é preciso fio).

Mesmo nas grandes empresas, o acesso a internet se dá desta mesma maneira. Todas as máquinas se concentram através de hubs, switches, roteadores etc e terminam em um único fio que sai para Internet. Isso significa que se alguém prentende bisbilhotar o que está sendo acessado na Internet basta  obter acesso a este “fio”.

Para não deixa-los tão apavorados, lembro que quando digo aqui “basta obter acesso a este fio”, não quero dizer que um indivíduo vá sentar a frente do fio, descascá-lo e olhar o que está se passando por ele. É preciso conhecer as ferramentas existentes para isso, suas finalidades, restrições, onde, como e quando usar etc.

Existem diversas categorias de ferramentas que facilitam esta tarefa. Notoriamente as mais populares são os proxies, mas existe um outra não muito conhecida de quem não é da área e que se chama “sniffer”. Empresas preocupadas com a segurança das suas informações podem usar uma ou ambas as ferramentas para auditar o acesso a Internet e verificar se os seus funcionários estão fazendo o uso correto deste importante meio de comunicação.

Claro que isso esbarra em questões éticas e legais que não vem ao caso no momento, mas verdade é que um administrador de redes tem acesso “ao tal fio” e detém conhecimento sobre estas ferramentas. Se ele for um sujeito mal intencionado poderia usar estas ferramentas para cometer crimes de invasão de privacidade, assédio moral, roubar informações privilegiadas e vendê-las para os concorrentes ou coisas piores.

Um pouco sobre sniffers

Como já comentei o sniffer é uma ferramenta usada para farejar informações na rede. Uma vez que ela esteja instalada em algum computador da rede todos os dados que chegarem até este computador poderão ser coletados, armazenados e vistos pelo seu usuário.

A vantagem do sniffer, relação ao proxy, é que ele não precisa de configurações complexas e pode passar quase desapercebido em uma rede. Se na sua casa, por exemplo, tem dois computadores interligados a partir de um hub, é muito fácil executar um sniffer em uma das máquinas e “farejar” o que estão fazendo na Internet a partir da outra máquina sem que haja necessidade de invadir aquela máquina, mexer em logs de auditoria, saber senhas e nem nada disso.

Felizmente para que esta ferramenta funcione a contento é necessário que ela esteja no meio do caminho da comunicação entre as duas pontas, ou seja, ela deve estar em um dos roteadores por onde as informações trafegam, ou do contrário ele poderá não capturar corretamente as informações. Não sendo assim só seria possível capturar as informações a partir de outra máquina, caso a sua rede seja distribuida a partir de hubs. Redes com switch não tem este tipo de problema.

Sabendo disso podemos descrever três cenários como um sniffer poderia ser empregado em uma rede. (1) Utiliza-se um hub para permitir que os dados em determinado ponto da rede possam ser replicados para uma máquina especifica fazendo a função de sniffer; (2) configura-se um switch para clonar determinada porta e então coloca-se a máquina com sniffer naquela porta com clone (switchs gerenciáveis permitem isso); (3) Se o roteador é um computador onde roda as ferrramentas de segurança empresarial (algo comum em pequenas e médias empresas), pode-se ter ali o sniffer sem necessidade de hardware adicional.

Para não me alongar muito vou deixar apenas duas sugestões de sniffer que costumo usar para resolver problemas de rede: O Wireshark e o Imsniffer

Wireshark

Dentre estas ferramentas a que mais se destaca entre os sniffers está o Wireshark [1], anteriormente conhecido como Ethereal e distribuido gratuitamente, está disponível para Windows, Linux e Mac OS, possuindo poderosos recursos para filtragem, busca, análise de tráfego e muito mais. Tudo ao alcance de alguns clique a partir de sua interface gráfica.

Uma rápida leitura no seu site oficial mostrará que é um projeto altamente prifissional e cuja missão não é simplesmente criar uma ferramenta para bisbilhotar a vida alheia – embora isso também seja possível. Por exemplo, na seção de documentação há alguns vídeos explicando como resolver problema de lentidão em servidores Web, DNS, SAN etc usando os dados capturados por esta ferramenta.

Para os felizes usuários de sistemas Linux esta é uam ferramenta quase que essencial então todas as distribuições devem ter um pacote disponível facilitando assim a sua instalação. Para usuários dos outros sistemas será necessário a tortura de entrar no site do Wireshark, faer o download e instalação do aplicativo.

Imsniffer

Imsniffer [2] é um sniffer especializado para capturar o tráfego do comunicador MSN pela rede. Também grauito, não possui uma interface gráfica devendo ser usado a partir da linha de comandos de uma máquina Linux onde deverá ser executado e a partir de então você verá na tela algumas mensagens de status sobre o que está ocorrendo com cada sessão do MSN aberta na sua rede. As conversas dos usuários estarão devidamente logadas e arquivadas dentro de uma pasta que você definirá para este propósito.

Infelizmente ele não tem recebido muitas atualizações sendo que a sua última versão (a 0.04) foi lançada em setembro de 2005, mas parece funcionar a contendo, embora com um pequeno bug que a faz encerrar o monitoramento de tempos em tempos (Mas isso não é nada que um bom laço “while” não consiga transpor. Apesar disso algumas distribuições Linux (como Debian e Ubuntu) ainda a distribuem em seus repositórios.

Nesta mesma linha existe também o MSN-Proxy e o IMSpector [3], sendo este último o mais robusto deles permitindo inclusive o registro de conversas de outros protocolos de comunicação como o Google talk (sem SSL/TLS), Yahoo messenger, ICQ entre outros, tudo a partir de uma interface web amigável e onde você poderá não só filtrar e pesquisar dentro do banco de dados (as mensagens são armazenadas em uma base Mysql, postgresql ou sqlite) mas também poderá interferir na conversa permitindo bloqueios ou alertar aos participantes que esta conversa está sendo auditada.

Conclusão

Aos usuários finais eu finaliza-lo dizendo que os sistemas apresentados [por hora] não conseguem exibir informações de trego criptografado, como as sessões com Homebanking que usam o protocolo HTTP ou a comunicação via Google Talk que usa o protocolo Jabber/XMPP (somente quando o usuário configura para tal comportamento), porque ambos usam métodos de criptografia TLS/SSL.

Desta forma, se você usa estes protocolos de comunicação segura não se preocupe, do contrário é melhor colocar a barba de molho porque como já disse algumas vezes não existe conexão que não possa ser monitorada. Mesmo estas criptografadas, mais cedo ou mais tarde poderão ser, tudo é uma questão de tempo.

Aos administradores de rede a minha recomendação é a de optar pela proibição total (bloquear o serviço que não devem ser usado) ou pela transparência. Se você pretende monitorar conversas na rede, trate de incluir esta informação em sua política de segurança e notifique seus usuários. Não sendo assim você poderá acabar sendo convocado à presença de um juiz para dar explicações sobre quebra de privacidade.

Referências

[1] Wireshark. disponível em <http://www.wireshark.org/>. Último acesso em 13-03-2011
[2] ImSniffer. disponível em <http://sourceforge.net/projects/im-snif/>. Último acesso em 13-03-2011
[3] IMSpector. disponível em <http://www.imspector.org>. Último acesso em 13-03-2011

5 comentários em “Você pode estar sendo vigiado”

  1. Boa garoto, embora eu te ache um pouco paranóico! 😉

    A ironia é que fechei recentemente uma turma de segurança de redes e advinhe: a maioria dos estudantes não se interessaram pelo assunto! Embora eles estejam bem embasados com conceitos básicos sobre segurança de redes, na prática poucos se importam em adotar os procedimentos necessários para a sua rede. Por isso, considero importante o sistema operacional já vir “blindado” com as ferramentas necessárias, como é o caso do Windows que já possui uma Central de Segurança integrada. E o Ubuntu? Se não instalarmos o UFW manualmente, ficaremos sem proteção!

    Em tempo: faltou comentar sobre os certificados de sites.. &;;-D

  2. @Ednei P. de Melo

    Opa, valeu a visita.

    Quanto a turma, o que tenho a dizer é que isto é normal, em geral eles só terão consciência do perigo mesmo quando a porta for arrombada. Ai sim, tentarão se lembrar do que lhes fora ensinado.

    Sobre a segurança integrada do Windows, 10 em cada 10 usuários costumam desinstalar o firewall que atrapalha o acesso a algum serviço da rede ou acabam confiando a segurança dos dados a um antivírus que não é atualizado com a frequencia devida, ou que mesmo quando atualizado não atende a demanda com velocidade necessária para evitar uma contaminação. Em resumo, prefiro meu Linux sem Firewall a um Windows com antivírus.

    Sobre certificados digitais eu já comentei em outros dois textos (http://blog.welrbraga.eti.br/?p=564 e http://blog.welrbraga.eti.br/?p=450 – o primeiro é ma resenha sobre um artigo em inglês que tinha feito na ocasião da minha pósgraduação e o segundo é apenas uma breve relato sobre o que um certificado e onde obtê-lo).

    A minha ideia inicial era mesmo só escrever sobre sniffers para tráfego de IM, mas como vc sabe eu sempre me empolgo e escrevo demais o resultado foi este ai 😉 de qualquer forma gostei da sua sugestão e já tomei nota para um outro texto sobre ferramentas de segurança onde poderia dar uma pincelada em várias delas incluindo ai os certificados.

  3. estou sendo perseguida por um louco oq eu posso fazer por que nao entendo nadinha sobre net e nem sei oq eu posso fazer em questao de acabar com este inferno….

    1. Monica,

      Este assunto é bastante sério e como tal deve ser tratado por profissionais especializados. A primeira dica que posso te dar é não tentar bancar o heroína e a segunda é guardar o máximo possível de provas (capturas de tela do msn, orkut, arquivos , e-mails, …), tudo que puder acumular para testemunhar a seu favor e contra o criminoso.

      Diante da minha primeira dica recomendo que você contacte a SaferNet Brasil (http://www.safernet.org.br). Esta é uma uma associação civil de direito privado, com atuação nacional, sem fins lucrativos ou econômicos, sem vinculação político partidária, religiosa ou racial e fundada por um grupo de cientistas da computação, professores, pesquisadores e bacharéis em Direito.

      Eles são um dos poucos habilitados a lidar com esta questão aqui no Brasil, então seria leviandade minha sugerir procurar o vizinho ou um amigo esperto no computador. Entre no site da associação (http://www.safernet.org.br) e você verá um botão vermelho bem no topo da página, onde poderá fazer a sua denúncia e a partir de então receber orientações sobre como deverá proceder no seu caso.

      Recomendo ainda a leitura atenta do material lá disponibilizado pois eles poderão acrescenter muito a sua segurança.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.