O spoofing de ARP ou envenenamento do ARP é uma forma de ataque de spoofing usada pelos hackers para interceptar dados. Um hacker comete um ataque de spoofing de ARP enganando um dispositivo para enviar mensagens ao hacker em vez do destinatário pretendido. Dessa forma, o hacker obtém acesso às comunicações do seu dispositivo, incluindo dados confidenciais, como senhas e dados de cartão de crédito. Felizmente, há diversas maneiras de se proteger contra esses ataques.
Protocolo ARP e o spoofing de ARP
O spoofing de ARP ocorre em uma rede local (LAN) usando o protocolo ARP. O ARP é um protocolo de comunicação que conecta um endereço dinâmico de protocolo da internet (IP) ao endereço físico da máquina. Este último é chamado de endereço MAC (controle de acesso à mídia). O protocolo ARP direciona a comunicação na LAN.
Cada dispositivo de rede tem um endereço IP e um endereço MAC. Para enviar e receber mensagens, os hosts da rede devem conhecer os endereços dos demais nós da rede. Ao fazer isso, de modo geral, o host conecta o endereço IP dinâmico a um endereço MAC físico.
Por exemplo, o host A em uma rede de computadores deseja conectar seu endereço IP ao endereço MAC do host B. Portanto, ele envia uma solicitação ARP para todos os outros hosts da LAN. Após essa solicitação, ele recebe uma resposta ARP do host B, contendo o endereço MAC do host B. O host solicitante então armazena esse endereço em seu cache de ARP, que é semelhante a uma lista de contatos. Esse cache é chamado, às vezes, de tabela de ARP, pois os endereços são armazenados em forma de tabela.
O spoofing de ARP consiste em um invasor com acesso à LAN fingir ser o host B. O invasor envia mensagens ao host A com o objetivo de enganá-lo para salvar o endereço do invasor como se fosse o endereço do host B. No fim das contas, o host A acabará enviando ao invasor as comunicações destinadas ao host B. Uma vez que o invasor se torne esse intermediário, sempre que o host A tentar se comunicar com o host B, a comunicação passará primeiro pelo invasor. O host B, normalmente, é o gateway padrão ou o roteador da rede.
Objetivo do ataque de spoofing de ARP
Um ataque de spoofing de ARP pode ter vários objetivos. O invasor pode usar spoofing de ARP para espionagem, ataques man-in-the-middle ou para outros ciber ataques, como ataques de negação de serviço.
O que são ataques de espionagem e de negação de serviço?
A espionagem acontece quando o invasor não modifica as comunicações entre os hosts A e B, mas apenas lê essas comunicações e as encaminha ao host pretendido. No ataque do tipo man-in-the-middle, o invasor modifica as informações antes de encaminhá-las ao host pretendido.
No entanto, esses atos de espionagem e modificação de mensagens geralmente fazem parte de um ciber ataque mais elaborado, envolvendo movimentação lateral na rede invadida. Um deles é o ataque de negação de serviço, no qual o invasor impede que comunicações sejam enviadas entre dois ou mais hosts. Os invasores também podem enviar arquivos maliciosos entre hosts.
Quem usa o spoofing de ARP?
Hackers praticam spoofing de ARP desde a década de 1980. Os ataques de hackers podem ser planejados ou oportunistas. Os ataques planejados incluem ações de negação de serviço, enquanto o roubo de informações de uma rede WI-FI pública seria um exemplo de ação oportunista. Embora esses ataques sejam evitáveis, eles ainda são usados com frequência porque são fáceis de levar a cabo, tanto do ponto de vista financeiro quanto técnico.
No entanto, o spoofing de ARP também pode ser realizado para fins valiosos. Os desenvolvedores também usam spoofing de ARP para depurar o tráfego de rede inserindo propositalmente um intermediário entre dois hosts. Hackers éticos também simulam ataques de envenenamento de cache do ARP para garantir que as redes estejam protegidas contra esse tipo de ataque.
Efeitos do spoofing de ARP
O spoofing de ARP tem efeitos semelhantes a outras formas de spoofing, como o spoofing de e-mail. Os efeitos perceptíveis do spoofing de ARP podem variar de nenhum até a perda total da conexão com a rede, caso o invasor implemente um ataque generalizado de negação de serviço. A visibilidade sobre os efeitos do ataque depende dos objetivos do hacker. Se ele estiver apenas querendo espionar ou modificar informações entre hosts, pode facilmente passar despercebido. Se estiver querendo instigar outros ataques, como geralmente é o caso nos episódios de spoofing de ARP, ele também vai querer passar despercebido. Entretanto, esses ataques ficarão óbvios quando seus objetivos finais forem alcançados. Por exemplo, o sistema pode ficar sobrecarregado por comunicações de malware ou sua máquina pode ser infectada com um ransomware.
Por que o spoofing de ARP é perigoso
O spoofing de ARP pode ser perigoso por vários motivos. Mais grave ainda: ele concede aos hackers acesso não autorizado a informações privadas. Um hacker pode então usar esse acesso para diversos propósitos maliciosos, como acessar senhas, detalhes de identificação ou dados de cartão de crédito. Esses ataques também podem ser usados para introduzir software malicioso, como ransomware.
Como saber se alguém está realizando spoofing de ARP na sua rede
Para saber se você está sendo vítima de spoofing, verifique seu programa de automação de tarefas e gerenciamento de configurações. Aqui, você poderá encontrar seu cache do ARP. Se houver dois endereços IP associados ao mesmo endereço MAC, você pode estar sendo vítima de um ataque. O hacker geralmente usa um software de spoofing que envia mensagens informando que o endereço dele é o gateway padrão.
No entanto, também é possível que esse software engane a vítima, fazendo-a substituir o endereço MAC do gateway padrão pelo seu próprio. Nesse caso, você precisaria analisar o tráfego do ARP para verificar se há algo incomum. A forma incomum de tráfego geralmente são mensagens não solicitadas alegando possuir o endereço IP ou MAC do roteador. Portanto, mensagens não solicitadas podem ser um sinal de um ataque de spoofing de ARP.
Como o invasor tenta permanecer oculto
Invasores que praticam spoofing de ARP geralmente querem passar despercebidos. Dessa forma, eles podem coletar informações ou se infiltrar ainda mais na rede em que estão para lançar ataques mais significativos. Se os hosts da rede percebessem que as solicitações do ARP recebidas eram falsas, o spoofing seria atenuado.
As vítimas normalmente não detectam quando o cache do ARP está envenenado e continuam a receber suas comunicações normalmente. Entretanto, o invasor intercepta essas comunicações enviadas pelo protocolo ARP, que podem conter nomes de usuário e senhas das vítimas.
Como proteger seus sistemas contra o spoofing de ARP
Felizmente, você pode implementar uma série de procedimentos e ferramentas como parte do seu plano de resposta a incidentes a fim de evitar o spoofing de ARP. Esses métodos incluem certificação de solicitações ARP, filtro de pacotes, software antispoofing de ARP e criptografia.
Ferramentas para validar solicitações ARP
As entradas estáticas do ARP representam a maneira mais simples de validar os endereços IP e MAC. Uma entrada estática do ARP é inserida ou aceita manualmente, eliminando a possibilidade de um dispositivo modificar automaticamente o cache do ARP seguindo o protocolo ARP. Isso pode ser feito apenas para algumas entradas (por exemplo, os endereços do gateway padrão), enquanto outras permanecem dinâmicas. A maioria dos endereços provavelmente terá que permanecer dinâmica, pois a manutenção do cache em muitas redes seria muito difícil de outra forma.
Também existe software para validar solicitações ARP e, assim, ajudar a proteger você contra o spoofing de ARP. Este software certifica os endereços IP e MAC e bloqueia ativamente respostas não certificadas. Existe outro software que notifica o host quando uma entrada da tabela de ARP é modificada. Existem inúmeras opções de software, com algumas operando no nível do kernel, enquanto outras podem fazer parte do protocolo de configuração do host dinâmico da rede ou do switch de rede.
Ferramentas para prevenir spoofing de ARP
Uma maneira bastante simples de se proteger contra o spoofing de ARP é usar firewalls de filtro de pacotes. Firewalls de filtro de pacotes sinalizam pacotes de dados de endereço encontrados duas vezes na rede, pois essa duplicação sugere a presença de alguém se disfarçando de outro host.
A criptografia, no entanto, é provavelmente a maneira mais importante para se proteger contra um ataque ao ARP. Devido ao uso generalizado de protocolos de comunicação criptografados hoje em dia, a invasão de ARP se tornou muito mais difícil. Por exemplo, a maior parte do tráfego do website é criptografada usando HTTPS, o que impede que o hacker leia as mensagens após interceptá-las. Portanto, a maneira mais importante de mitigar esse ataque é evitar o envio de dados não criptografados.
O software também pode ajudar a garantir sua proteção. Muitos programas de software de proteção da cibersegurança notificam os usuários se eles estão em um website, por exemplo, onde os dados não estão criptografados.
Outra ferramenta de criptografia que vale a pena destacar é a VPN (rede privada virtual). Ao se conectar a uma VPN, todos os seus dados trafegarão por um túnel criptografado.
Por fim, embora não seja bem uma "ferramenta", você pode simular o spoofing de ARP em sua própria rede para procurar possíveis falhas em seu sistema de cibersegurança. Na verdade, a maioria das ferramentas usadas para iniciar esses ataques estão amplamente disponíveis e são fáceis de usar, o que torna o hacking ético uma estratégia viável para se proteger contra esse tipo de ataque.
Bart é Gerente Sênior de Marketing de Produtos de inteligência de ameaças na CrowdStrike e tem mais de 20 anos de experiência em monitoramento, detecção e inteligência de ameaças. Depois de iniciar sua carreira como analista de operações de segurança de rede em uma organização financeira belga, Bart mudou-se para a Costa Leste dos EUA para atuar em diversas empresas de cibersegurança, incluindo 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi e FireEye-Mandiant, ocupando cargos de gestão e marketing de produtos.
