Sniffers

Sniffers

Definição

Os sniffers ou farejadores são o tipo de programas mais usados para conseguir
senhas em uma rede. Eles ficam residentes na memória como um cavalo de tróia,
analisando todo o tráfego que ali passa. Qualquer entrada ou saída de

dados é capturada, seja em um servidor FTP, uma página de chat ou um e-mail
digitado. O sniffer pega os pacotes recebidos em seu estado bruto e os
transforma em texto puro para serem lidos. Sempre foram mais usados em sistemas
Unix, mas ultimamente todos os outros sistemas contam com poderosos sniffers.
Desde sniffers comercias como o excelente Íris até sniffers mais simples, como o
tcpdump e sniffers de trojans. Vamos fazer uma análise de como esses perigosos
programas funciona




Exemplo de uma tela de sniffer (programa IRIS)

Filtrando pacotes na rede



Muitas pessoas pensam que o sniffer pode ser usado em seu computador para
capturar pacotes do seu provedor. Não é bem assim. O programa têm de estar
instalado no computador central de uma rede em que se quer capturar pacotes.
Utilizando o exemplo do provedor, todos os seus usuários realizam o processo de
autenticação em um servidor antes de conectarem-se à rede. Assim, primeiro é
necessário conseguir invadir o servidor e depois colocar o sniffer. Ele irá
monitorar absolutamente tudo, às vezes até informações pessoais dos usuários,
como endereço e telefone. Como são muitos os pacotes em uma rede, o farejador é
configurado para obter somente o essencial e importante: as senhas.

Capturando senhas

A principal preocupação de um operador é , ou pelo menos deveria ser, as senhas.
Afinal, por mais seguro que o sistema seja, uma senha adquirida maliciosamente é
sempre perigosa. O único interesse dos crackers é capturar logins e senhas. Nem
se encontrar um e-mail de sua namorada para o amante o cracker deixará de se
concentrar em sua tarefa. Existem algumas opções que ainda possibilitam filtrar
os tipos de pacotes recebidos. Vamos supor que eu quero descobrir todas as
senhas que comecem com “C”. Após configurar o sniffer e esperar, ele começa a me
enviar os pacotes recebidos já “selecionados” com o que desejo.

Sniffers em trojans

Alguns trojans como o Back Orifice possuem sniffers como plug-ins (partes extras
que podem ser anexadas ao programa). O Buttsniffer, um dos melhores plug-ins
para o BO monitora absolutamente tudo no sistema Windows. Além de ter um arquivo
executável à parte, podendo funcionar sem depender do Back Orifice. Alguns
outros trojans mais novos já possuem o sniffer embutido. A tendência do sniffer
e do trojan é de se tornarem uma ferramente apenas, já que ambos têm
características parecidas. O trojan de e-mail k2ps é um bom exemplo disso. Ele
monitora e envia todo tipo de senha importante por e-mail (na verdade, alguns o
consideram um keylogger que é um programa que loga tudo que se escreve no
teclado, eu não o considero assim pois ele é seletivo: só envia coisas
importantes).

Roteadores

Alguns sniffers conseguem obter dados direto do roteador. Mesmo que seja
instalada uma proteção eficaz no sistema operacional, como um anti-sniffer, não
adiantaria de nada se o programa estiver pegando os dados diretamente roteados.
A correção têm de ser feita atualizando-se o próprio roteador. O ideal seria
procurar a página do fabricante e verificar se existe alguma dica ou informação
sobre o assunto. Afinal, o seguro morreu de velho.

Anti-Sniffers

Como o próprio nome diz, são programas que detectam tentativas de sniffing.
Ficam residentes na memória como um anti-trojans, aguardando o invasor tentar
algo. Há vários tipos de anti-sniffers, alguns bem ruinzinhos e outros muito
bons. Uma boa opçãos do software são fingir o envio de dados, para que o cracker
engane-se e pense que realmente está conseguindo as senhas. Se você têm sofrido
muitas invasões, certificou-se de não ser por falhas ou trojans, monte um
honeypot com um anti-sniffer. Com certeza deve pegar alguma abelhinha.
Experimente o programa Anti-sniff que pode ser pego no Superdowloads (http://www.superdownloads.com.br/).