Sniffers ou farejadores so softwares muito teis.

To grande a utilidade deles, que at os sistemas de IDS (como o Snort) so feitos com base em sniffers. Um sniffer um programa que consegue capturar todo o trfego que passa em um segmento de uma rede. Para tornar mais fcil o entendimento, observe a imagem abaixo:

Quando ligamos computador no HUB, e enviamos informao de um computador para o outro, na realidade esses dados vo para todas as portas do HUB, e conseqentemente para todas as mquinas. Acontece que s a mquina na qual a informao foi destinada enviar para o sistema operacional. Se um sniffer estivesse rodando nos outros computadores, mesmo sem esses sistemas enviarem a informao que trafega ali para o sistema operacional, o farejador interceder na camada de rede, capturando os dados e mostrando-os para o usurio, de forma pouco amigvel. Geralmente os dados so organizados por tipos de protocolo (TCP, UDP, FTP, ICMP, etc...) e cada pacote mostrado pode ter seu contedo lido. Uma tpica tela de sniffer seria a mostrada abaixo:

A informao lida mostrada em duas colunas: uma em hexadecimal, e outra em texto puro (ascii), como visto na imagem acima. Aps entender como ele funciona, qual seria a utilidade do sniffer? Muitas. Mas principalmente na captura de senhas, afinal, qualquer senha nocriptografada (como exemplo senhas de webmail como bol, yahoo, etc...) que foi digitada em qualquer computador da rede, ser capturada pelo sniffer. Claro que se a rede estiver segmentada por um switch, o sniffing bsico no vai mais funcionar. A teramos que nos utilizarmos de uma tcnica chamada de ARP POISONING, capaz de envenenar o ARP de vrios equipamentos e incluir entradas falsificadas. Mas isso ns veremos em uma prxima coluna. Observao: No possvel utilizar um sniffer com modems, apenas com placas de rede (comuns ou wireless). E tambm no possvel fazer o farejamento de redes remotas, sem algum programa instalado para realizar essa ponte, como um backdoor.
http://www.invasao.com.br/coluna-marcos-17.htm

A anlise de rede
Um analisador rede (chamado igualmente analisador de tramas ou em ingls sniffer) um dispositivo que permite ouvir o trfego de uma rede, quer dizer, capturar as informaes.

Com efeito, numa rede no comutada, os dados so enviados a todas as mquinas da rede. Contudo, numa utilizao normal, as mquinas ignoram os pacotes que lhes no so destinados. Assim, utilizando o interface rede dum modo especfico (chamado geralmente modo "promiscuous") possvel ouvir todo o trfego que passa por um adaptador rede (uma placa rede ethernet, uma placa rede sem fios, etc.).

Utilizao do sniffer
Um sniffer um instrumento formidvel que permite estudar o trfego de uma rede. Serve geralmente para os administradores diagnosticarem os problemas na sua rede, bem como para saber que trfego h. Assim, os detectores de intruso (IDS, para intrusion detection system) so baseados num sniffeur para a captura das redes, e utilizam uma base de dados de regras para detectar redes suspeitas. Infelizmente, como todos os instrumentos de administrao, o sniffer pode igualmente ser utilizado por uma pessoa maliciosa que tem um acesso fsico rede para recolher informaes. Este risco ainda mais importante nas redes sem fios, porque difcil confinar as ondas hertzianas num permetro delimitado, de modo que pessoas maliciosas podem ouvir o trfego estando simplesmente na vizinhana. A grande maioria dos protocolos Internet faz transitar as informaes de forma transparente, quer dizer de maneira no cifrada. Assim, quando um utilizador da rede consulta o seu servio de mensagens atravs do protocolo POP ou IMAP, ou surfa na Internet em sites cujo endereo no comea por HTTPS, todas as informaes enviadas ou recebidas podem ser interceptadas. assim que sniffers especficos foram afinados por piratas para recuperar as senhas que circulam no fluxo rede.

Os desfiles
Existem vrias maneiras de se precaver contra os incmodos que poderia provocar a utilizao de um sniffer na sua rede:
y y

y y

Utilizar protocolos cifrados para todas as comunicaes cujo contedo possua um nvel de confidencialidade elevado. Segmentar a rede a fim de limitar a divulgao das informaes. recomendado nomeadamente preferir a utilizao de switchs (comutadores) a hubs (concentradores), porque comutam as comunicaes, quer dizer que as informaes so enviadas unicamente s mquinas de destino. Utilizar um detector de sniffer. Trata-se de um instrumento que sonda a rede procura de materiais que utilizam o modo "promiscuous". Para as redes sem fios aconselhvel reduzir a potncia dos materiais, de maneira a cobrir apenas a superfcie necessria. Isso no impede eventuais os piratas de ouvir a rede, mas reduz o permetro geogrfico no qual tm a possibilidade de o fazer.
Proteja suas Senhas Contra Sniffers

A sua senha difcil de ser "quebrada", voc troca com uma certa regularidade e um belo dia voc surpreendido ao receber acusaes de invaso. Evidncias indicam que

invases a contas de terceiros partiram de sua conta e voc no tem a menor idia do que est acontecendo. Isto , algum pode ter feito uso de sua conta e realizou estes atos como sendo voc. Como isso pode ter acontecido? Uma forte possibilidade que voc tenha sido vtima de um ataque de "sniffer". Mas, o que isso? "Sniffers" so programas que permitem a um atacante roubar sua senha e assim utilizar a sua conta como se fosse voc. Estes tipos de ataques so comuns. muito importante que voc, como usurio Internet, tenha conscincia de como suas senhas so vulnerveis e como tomar medidas apropriadas para tornar sua conta mais segura. Selecionar uma boa senha e regularmente trocar de senha ajuda bastante, mas tambm muito importante que se conhea quando se est vulnervel a "sniffers" e como lidar com eles.
O que um "sniffer"?

Programas que permitem monitorar a atividade da rede registrando nomes (username, e senhas) sempre que estes acessam outros computadores da rede. Estes programas ficam monitorando ("xeretando") o trfego da rede para capturar acessos a servios de redes, tais como: servio de email remoto (IMAP, POP), acesso remoto (telnet, rlogin, etc), transferncia de arquivos (FTP), etc. Acessos feitos, pacotes capturados. Sempre com o objetivo de pegar a identificao de acesso a conta do usurio.
Quando sua senha pode ser capturada por "sniffers"?

Muitas redes locais (LANs) so configuradas compartilhando um mesmo segmento de rede Ethernet. Praticamente qualquer computador desta rede pode executar um programa "sniffer" para "roubar" senhas dos usurios. "Sniffers" atuam monitorando o fluxo de comunicao entre os computadores da rede para descobrir quando algum utiliza os servios de rede mencionados anteriormente. Cada um destes servios utiliza um protocolo que define como uma sesso estabelecida, como sua conta identificada e autenticada e como o servio utilizado. Para ter acesso a um destes servios, voc primeiro tem que efetuar um "log in". na sequncia de login -- a parte de autenticao destes protocolos, a qual ocorre no incio de cada sesso -- que os "sniffers" esto interessados, porque nesta parte que est a sua senha. Portanto, s filtrar as "strings" chaves que a senha obtida. A figura seguinte mostra o processo de "conversao" entre duas mquinas remotas, onde a identificao do usurio passa "abertamente" pela rede de uma mquina para outra. Neste exemplo transferncia de arquivos via FTP.

A mquina A inicia a conexo com a mquina B, que solicita identificao do usurio. Este ao se autenticar na mquina remota B tem sua senha capturada pelo "sniffer" de planto.
Como "sniffers" so implantados e as senhas capturadas?

Para entender como um "sniffer" funciona, voc precisa saber que cada computador em uma LAN compartilhada pode "ver" todos os pacotes de dados que transitam de um computador a outro desta LAN. Assim, cada computador desta rede pode executar um programa "sniffer" que "olha" os pacotes e salva uma cpia em arquivo. Basicamente, os seguintes passos so executados por atacantes (veja ilustrao a seguir): (1) o atacante ao penetrar em sua rede, quebrando uma determinada mquina; (2) instala um programa "sniffer"; (3) este programa monitora a rede em busca de acesso a servios de rede, as capturas so realizadas e registradas em um log file; (4) em seguida o arquivo de log recuperado pelo atacante.

Por qu roubar sua senha?

Existem diversas razes que levam pessoas a roubarem senhas, desde para simplesmente aborrecer algum (enviando email como sendo voc) at para praticar atividades ilegais (invaso em outros computadores, "roubo" de informaes, etc.). Um atrativo para os hackers a capacidade de utilizar a identidade de terceiros nestas atividades. Uma das principais razes que atacantes tentam quebrar sistemas e instalar "sniffers" poder capturar rapidamente o mximo de contas possvel. Assim, quanto mais contas este atacante possuir, mais fcil fica ocultar o seu esconderijo.
Como voc pode se proteger?

No fique pensando que "sniffers" podem tornar toda a Internet insegura. No isso. Voc precisa ter conscincia de onde o risco est, quando voc est em risco e o qu fazer para estar a salvo. Quando voc tem seu carto de crdito roubado ou desconfia que algum pode estar utilizando-o indevidamente, voc cancela o carto e solicita outro. Da mesma forma, como senhas podem ser roubadas, fundamental que voc a troque regularmente. Esta precauo limita a quantidade de tempo que uma senha roubada possa ser utilizada por um atacante. Nunca compartilhe sua senha com outros. Este compartilhamento torna difcil saber onde sua senha est sendo utilizada (e exposta) e mais difcil detectar uso no autorizado.

Nunca fornea sua senha para algum alegando que precisa acessar sua conta para corrigir algum problema ou quer investigar uma "quebra" do sistema. Este truque um dos mtodos mais eficazes de hacking, conhecido como "engenharia social".
Utilize redes que voc possa confiar

Um outro aspecto que voc dever levar em considerao qu rede voc pode confiar e quais no pode. Se voc estiver viajando e necessita acessar computadores de sua organizao remotamente. Por exemplo, pegar algum arquivo em seu home directory e voc tem disponvel um "CyberCaf" ou uma rede de outra organizao. Voc tem certeza que pode confiar naquela rede? Se voc no tiver nenhuma alternativa para acesso remoto seguro e s tem disponvel recursos como telnet, por exemplo, voc pode "atenuar" este efeito trocando a senha ao final de cada sesso. Lembre-se que somente os primeiros pacotes (200 a 300 bytes) de cada sesso carregam informaes de seu "login". Portanto, ao trocar sempre sua senha antes de encerrar a sesso, esta no ser capturada e a senha anterior que esteve exposta rede no ser mais vlida. claro que possvel se capturar tudo que passar pela rede, mas atacantes no tem interesse de lotar o sistema de arquivo rapidamente e com isso ser facilmente descobertos.
Porqu redes continuam vulnerveis a "sniffers" por muito tempo?

Existem vrias razes e no existe uma soluo rpida para o problema. Parte do problema que as empresas tendem a investir mais em novos recursos do que em adicionar segurana. Novas funcionalidades de segurana podem deixar os sistemas mais difceis de configurar e menos convenientes para utilizar. Uma outra parte do problema est relacionada a custos adicionados por switches Ethernet, hubs, interfaces de rede que no suportam o modo especial "promiscuous" que "sniffers" podem utilizar.
Como detectar um "sniffer" na rede?

No fcil, na verdade pode se tornar uma tarefa muito difcil. "Sniffers" so aplicaes passivas, no geram nada que possa ser sentido facilmente pelos usurios e/ou administratores. Em geral, no deixam "rastros". Uma maneira de detectar um "sniffer" verificar todo os processo em execuo. Isto no totalmente confivel, mas um bom ponto de partida. Comandos para listar processos em execuo variam de plataforma para plataforma. Se voc estiver em uma mquina Unix, o "sniffer" aparecer em uma lista do comando "ps", a menos que este "ps" seja um "trojan" (programa implementado pelo atacante que aparentemente funciona como o esperado, mas efetuar funes desconhecidas pelo usurio). Uma outra alternativa procurar por um "sniffer" conhecido. Existe uma grande chance do atacante estar utilizando uma verso "freeware". Obviamente, existe a possibilidade do atacante ter escrito o seu prprio "sniffer" e neste caso a busca fica mais difcil. Voc teria que gastar mais tempo em analisar o que pode ter sido alterado pelo atacante. Por

exemplo, comparar backup de dias diferentes ou utilizar alguns programas que possam ajud-lo nesta atividade, como: TripWire, ATP e Hobgoblin que so programas interessantes para checagem da integridade do sistema e arquivos. "Sniffers" podem ser "escondidos" (ou melhor, "disfaados") na listagem do "ps" (o prprio "ps" como a maioria dos programas tambm pode). Basta trocar o argumento do seu argv[0] (o primeiro argumento) para um nome qualquer e no parecer ser um programa suspeito que esteja em execuo. Alguns utilitrios permitem identificar se o seu sistema encontra-se em modo "promiscuous" e lev-lo a encontrar uma mquina suspeita.
O que se est fazendo?

Muitas organizaes que esto atentas a este problema utilizam:

y Placas de redes que no podem ser colocadas em modo "promiscuous". Assim, os computadores no podem ser "apoderados" e transformados em "sniffers". Normalmente, a interface Ethernet passa somente pacotes at o protocolo de nvel mais alto que so destinados a mquina local. Esta interface em modo promiscuous permite que todos os pacotes sejam aceitos e passados para a camada mais alta da pilha de protocolos. Isto permite que a seleo do que se deseja. Pacotes que criptografam dados que transitam pela rede, evitando assim que senhas trafeguem "s claras".

Considerando o ltimo tem, se a sua organizao adota e estimula o uso de software que permitam estabelecer sesses de acessos remotos criptografadas, ajudar em muito a tornar seu ambiente mais seguro. Porm, para uma segurana mais efetiva somente quando implementado em TODOS os computadores que voc utiliza em sua empresa, em sua casa e nas organizaes fora se sua empresa que eventualmente tenha conta. Uma das tecnologia de encriptao bastante comum atualmente na comunicao segura entre mquina remota SSH (Secure Shell). O SSH encontra-se disponvel para diferentes plataformas. O seu uso no impede que a senha capturada, mas como esta encontra-se criptografada no servir para o atacante. SSH negocia conexes utilizando algoritmo RSA. Depois que o servio autenticado, todo o trfego subsequente encriptado utilizando tecnologia IDEA. Este tipo de criptografia bastante forte. No futuro, a segurana ser cada vez mais intrnseca aos sistemas e nas infrae struturas de redes. No adianta ter todos os "aparatos" de segurana que voc precisa, mas no utiliz-los. Segurana no algo que se possa garantir totalmente. Lembre-se, ningum est 100% seguro.
Referncias: y y y CERT Advisory CA-94:01, Ongoing Network Monitoring Attacks, Feb. 1994. D.Dittrich, Network"sniffers" & You. Washington University/CAC, Jan. 1998. "Anonymous", Maximum Security, Sams.net Pub., 1997.