Caso Nnex Caicó seria um ataque do tipo Man-in-The-Middle ?

No dia 15 de outubro, 2013, foi deflagrada a operação intitulada Operação Binário, ação que levou a prisão de uma quadrilha especializada acusada de aplicar um golpe de R$ 3,5 milhões na empresa de marketing multinível NNex, com sede em Belo Horizonte, estado  de Minas Gerais.

Ao ler a noticia no site do portal G1, acessível via url: http://g1.globo.com/rn/rio-grande-do-norte/noticia/2013/10/policia-prende-casal-no-rn-suspeito-de-aplicar-golpe-de-r-35-mi-na-nnex.html, na posição de cidadão, pesquisador e profissional, fiquei surpreso em ver um provedor de acesso ao serviço de Internet diretamente relacionado a este caso. Isso vai além de um simples processo fraudulento, podendo estender-se a um caso de quebra de privacidade que todos nós somos vitimas e estamos vulneráveis a este tipo de espionagem.

Sempre que acessamos um site, a partir de nossas estações de trabalho, ou qualquer dispositivo com conexão ao serviço de Internet, é sabido que os pacotes percorrem alguns caminhos conhecidos como roteadores/gateways espalhados geograficamente antes de alcançar  o seu destino. Assim como não é um mistério ou surpresa, que existe a possibilidade deste pacote ser interceptado neste caminho. O impressionante e inesperado, é que este pacote seja capturado pelo nosso prestador de serviço, o nó de rede que deveria ser nosso porto seguro, nosso provedor de serviço. E em segurança da informação isso é conhecido como um ataque man in the middle, um invasor se posiciona entre a comunicação de 2 computadores que tentam comunicar-se, intercepta os pacotes trocados e depois se passa por uma pontas da comunicação. É o mesmo tipo de ataque utilizado pela NSA para captura de informações e quebra de privacidade.

 Mas é claro que existem formas seguras de comunicações WEB, a técnica mais conhecida e utilizada, por mais que nunca tenhamos um sistema 100% seguro, é a utilização de canais de dados encriptados. Este fator dificulta a leitura da mensagem trocada, já que o usuário malicioso tem a obrigação de quebrar estes código para obter uma informação limpa e clara.

A empresa NNex não oferece por padrão uma conexão segura via https para que seus clientes possam transportar suas credenciais a partir de suas estações de trabalho por um túnel seguro até o seu destino final, o sistema de gerenciamento da empresa. Assim como ilustra a Figura 1.

Figura 1 – Navegador Firefox mostra que a conexão é dada via protocolo não seguro.

Ao realizar um pedido de conexão do tipo segura, ou seja, especificando o protocolo, nos deparamos com um erro de conexão segura não confiável. A empresa falha mais uma vez em não ter um sistema seguro e de confiança, este certificado por não ser assinado por uma empresa do seguimento, se torna duvidoso e arriscado. Não temos a certeza que este certificado esta sendo enviado pelo NNex ou por um MITM.

Figura 2 – Por falta de uma empresa especializada para garantir a integridade do certificado entregue ao cliente, uma tela de aviso é apresentada no navegador. Cabe ao usuário confiar ou não.

Para a surpresa, mesmo estabelecendo uma conexão segura com o site, ao clicar em Login, somos direcionado novamente para uma conexão não segura. Como podemos ver na Figura 3.

Figura 3 – Retorno do protocolo seguro para o não seguro.

E mesmo se formos a fundo em localizar o objeto login via código fonte da página, Figura 4, e tentarmos forçar o uso de um protocolo seguro utilizando o caminho acrescido do alvo jsp, não conseguiremos enviar as credenciais de forma segura.

Figura 4 – href=”boxLogin.jsp”, o atributo especifica o link.

Figura 5 – Impossível estabelecer uma conexão segura, mesmo especificando o protocolo.

Podemos concluir que os usuários NNex estão vulneráveis a este tipo de ataque de interceptação de dados. Provavelmente a quadrilha analisava todo o tráfego com destino ao site do NNex e com uso de ferramentas de analise de tráfego, capturavam login e senha de todos os clientes que transitavam neste provedor para fins criminosos.

Vamos aguardar as investigações para melhores detalhes, mas este tipo de ataque fica bem característico para a primeira fase descrita pela investigação.

Advertisements