Sniffers

Sniffers
Definição
Os sniffers ou farejadores são o tipo de programas mais usados para conseguir senhas em uma rede. Eles ficam residentes na memória como um cavalo de tróia, analisando todo o tráfego que ali passa. Qualquer entrada ou saída de dados é capturada, seja em um servidor FTP, uma página de chat ou um e-mail digitado. Sempre foram mais usados em sistemas Unix, mas ultimamente todos os outros sistemas contam com poderosos sniffers. Desde sniffers comercias como o excelente Íris até sniffers mais simples, como o tcpdump e sniffers de trojans.

Sniffers variam significamente em funcionalidade e projeto. Alguns analisam somente um protocolo, enquanto outros podem analisar centenas.
Como uma regra geral, sniffers mais modernos analisarão pelo menos os seguintes protocolos:

* Ethernet padrão (Ethernet é uma tecnologia de interconexão para redes locais - Local Area Networks (LAN) - baseada no envio de pacotes )
* TCP/IP
* IP
* DECNet (DECnet é o nome coletivo para os produtos de comunicação (software e hardware) que permite a um sistema operacional DIGITAL participar em uma rede.)

Em redes locais os dados trafegam de uma máquina para outra ao longo do cabo em pequenas unidades chamadas frames. Esses frames são divididos em seções que carregam informações específicas. Os sniffers impõem um risco de segurança por causa da forma como os frames são transportados e entregues. Cada estação de trabalho em uma rede local tem seu próprio endereço de hardware. Esse endereço identifica de maneira exclusiva essa máquina em relação a todos os outros na rede. Quando se envia uma mensagem através da rede local, os pacotes são enviados para todas as máquinas disponíveis (broadcast)
Sob circunstâncias normais, todas as máquinas na rede podem "ouvir” esse tráfego, mas somente elas responderão aos dados endereçados especificamente a elas. (Em outras palavras, a estação de trabalho A não irá capturar dados destinados à estação de trabalho B. Em vez disso, a estação de trabalho A simplesmente ignora esses dados.)
Se uma interface de rede da estação de trabalho está em modo promíscuo(é um tipo de configuração de recepção, na qual todos os pacotes que trafegam pela rede ao qual o receptor está conectado são recebidos pelo mesmo, não recebendo apenas os pacotes endereçados ao próprio), entretanto, ela pode capturar todos os pacotes e frames na rede. Uma estação de trabalho configurada dessa forma (e o software sobre ela) é um sniffer.
Os sniffers representam um alto nível de risco, porque:
* Os sniffers podem capturar senhas
* Os sniffers podem capturar informações confidenciais
* Os sniffers podem ser utilizados para abrir brechas na segurança de redes vizinhas ou ganhar acessos de alto nível.
De fato, a existência de um sniffer não autorizado em sua rede pode indicar que seu sistema já está comprometido.
Os sniffers capturarão todos os pacotes na rede, mas na prática, um atacante tem de ser altamente seletivo. Um ataque de sniffer não é tão facil. Ele requer algum conhecimento de rede.
Simplesmente configurar um sniffer e deixá-lo trabalhando levará a problemas porque mesmo uma rede de cinco estações transmite milhares de pacotes por hora. Dentro de um breve tempo, o arquivo de saída de um sniffer pode facilmente encher uma unidade de disco rígido (se você capturar todos os pacotes)
Para superar esse problema, os crackers geralmente farejam somente os primeiros 200-300 bytes de cada pacote. Os nomes de usuário e senha estão contidos dentro dessa parte, o que é realmente tudo que a maioria de crackers querem.
A tecnologia de segurança desenvolveu-se consideravelmente. Alguns sistemas operacionais agora empregam criptografia no nível de pacote e, portanto, mesmo se um ataque de sniffer consiguir obter dados valiosos, esses dados são criptografados. Isso representa obstáculo adicional a ser ultrapassado somente por aqueles com conhecimento mais profundo de segurança, criptografia e rede, ou um motivo de desistência para outros.

Filtrando pacotes na rede
Muitas pessoas pensam que o sniffer pode ser usado em seu computador para capturar pacotes do seu provedor. Não é bem assim. O programa têm de estar instalado no computador central de uma rede em que se quer capturar pacotes. Utilizando o exemplo do provedor, todos os seus usuários realizam o processo de autenticação em um servidor antes de conectarem-se à rede. Assim, primeiro é necessário conseguir invadir o servidor e depois colocar o sniffer. Ele irá monitorar absolutamente tudo, às vezes até informações pessoais dos usuários, como endereço e telefone. Como são muitos os pacotes em uma rede, o farejador é configurado para obter somente o essencial e importante: as senhas.

Capturando senhas
A principal preocupação de um operador é ou pelo menos deveria ser, as senhas. Afinal, por mais seguro que o sistema seja, uma senha adquirida maliciosamente é sempre perigosa. O único interesse dos crackers é capturar logins e senhas. Nem se encontrar um e-mail de sua namorada para o amante o cracker deixará de se concentrar em sua tarefa. Existem algumas opções que ainda possibilitam filtrar os tipos de pacotes recebidos. Vamos supor que eu quero descobrir todas as senhas que comecem com “C”. Após configurar o sniffer e esperar, ele começa a enviar os pacotes recebidos já “selecionados” com o que desejou.

Sniffers em trojans
Alguns trojans como o Back Orifice possuem sniffers como plug-ins (partes extras que podem ser anexadas ao programa). O Buttsniffer, um dos melhores plug-ins para o BO monitora absolutamente tudo no sistema Windows. Além de ter um arquivo executável à parte, podendo funcionar sem depender do Back Orifice. Alguns outros trojans mais novos já possuem o sniffer embutido. A tendência do sniffer e do trojan é de se tornarem uma ferramente apenas, já que ambos têm características parecidas. O trojan de e-mail k2ps é um bom exemplo disso. Ele monitora e envia todo tipo de senha importante por e-mail (na verdade, alguns o consideram um keylogger que é um programa que loga tudo que se escreve no teclado, eu não o considero assim pois ele é seletivo: só envia coisas importantes).

Roteadores
Alguns sniffers conseguem obter dados direto do roteador. Mesmo que seja instalada uma proteção eficaz no sistema operacional, como um anti-sniffer, não adiantaria de nada se o programa estiver pegando os dados diretamente roteados. A correção têm de ser feita atualizando-se o próprio roteador. O ideal seria procurar a página do fabricante e verificar se existe alguma dica ou informação sobre o assunto. Afinal, o seguro morreu de velho.

Anti-Sniffers
Como o próprio nome diz, são programas que detectam tentativas de sniffing. Ficam residentes na memória como um anti-trojans, aguardando o invasor tentar algo. Há vários tipos de anti-sniffers, alguns bem ruinzinhos e outros muito bons. Uma boa opção dos softwares são fingir o envio de dados, para que o cracker engane-se e pense que realmente está conseguindo as senhas. Se você têm sofrido muitas invasões, certificou-se de não ser por falhas ou trojans, monte um honeypot com um anti-sniffer. Com certeza deve pegar alguma abelhinha.



http://penta.ufrgs.br/rmariano/r1.html
http://www.forcehacker.kit.net/snif.html
http://pt.wikipedia.org/wiki/Ethernet
Guia-do-Hacker-Brasileiro