279

O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 279 - Escrito em: 1996-12-26 - Publicado em: 1996-12-30

Web spoofing, ao ataque

A segurança do usuário que navega na Web está sob risco de um novo e engenhoso ataque recentemente divulgado, o "Web spoofing". Resumindo, sua privacidade pode ir facilmente para o beleléu, juntamente com a integridade de seus dados. O risco é real e afeta usuários de Netscape e de Microsoft Internet Explorer que não tomem certos cuidados.

Mas vamos devagar, começando pelo spoofing, pronunciado "spúfin". É possível induzir um usuário incauto a tomar decisões erradas quanto à sua segurança, se conseguirmos iludi-lo de que o ambiente que o circunda é legal e seguro. A rapazida fazia muito disso no ambiente de faculdade, quando um vivaldino escrevia um programinha bobo simulando a tela de login, o procedimento de acesso ao sistema. Pedia "username" e "password" e ficava rodando na sala dos terminais. Um usuário comum sentava diante do terminal e achava que era o programa padrão de entrada. Digitava os dados pedidos e teclava "enter" com toda a ingenuidade. O programa enganador gravava os dados num arquivinho escondido, exibia uma mensagem de erro tipo "senha inválida" e terminava silenciosamente sua execução, passando o controle ao programa real de login. O usuário rosnava baixinho, reentrava seus dados e começava a trabalhar normalmente. Ao final do dia, o programador inescrupuloso tinha no seu arquivo os códigos e senhas de um monte de usuários.

No caso do Web spoofing, o princípio é o mesmo, só que o ambiente é bem mais sofisticado. O atacante cria uma cópia virtual da World Wide Web inteira, sem a necessidade de efetivamente duplicar todos os arquivos da Web, o que seria impossível por razões óbvias. Um usuário que seja atraído para essa arapuca digital fica pensando que está acessando sites comuns na Web. mas na verdade está acessando a máquina do atacante, que por sua fez imita as páginas da Web verdadeira, criando a ilusão de que tudo transcorre normalmente. Assim, o atacante pode monitorar, gravar ou alterar todos os dados que chegam até o usuário e -- mais perigoso – todos os dados digitados pelo usuário. A leitora já sacou que senhas e números de cartão de crédito dançam bonitinho nesse esquema, certo? O atacante pode também enviar para o site Web dados deliberadamente incorretos, ofensivos ou prejudiciais ao usuário. Trocando em miúdos, a vítima de um ataque de Web spoofing pode estar em séria encrenca.

Se você não prestar muita atenção ao que está acontecendo durante suas Web navegações, dificilmente notará que está sob ataque. E tem mais, mesmo que você esteja surfando em modo "seguro", normalmente via SSL (Secure Sockets Layer), ainda estará vulnerável a esse ataque, que opera num nível abaixo dessa barreira.

Ao passear pela Web, você só consegue ver uma página de cada vez em cada janela aberta. Para simular a Web real no esquema de falsificação, o atacante só precisa adulterar uma página de cada vez e entregá-la delicadamente a você. E isso é moleza através de programação. Tudo que o ofensor tem que fazer é arranjar um lugarzinho para se "sentar" entre a sua máquina e o resto da Web verdadeira. Para isso, o primeiro passo a tomar é reescrever todos os URLs de alguma página Web que você acesse, de forma que todos os links passem a apontar para a máquina do atacante. Imagine que o site do ofensor é "www.safado.com.br". Para adulterar uma página real, o que ele faz é alterar no código HTML um link correto por um link falso. Por exemplo, http://www.eff.org se transformaria na tripa http://www.safado.com.br/http://www.eff.org

Acontece que, apenas desse jeito, o esquema deixa muitas pistas. A linha de status, aquela que fica lá no pé da tela no seu browser, mostraria o URL falsificado e já despertaria suspeitas. Também a "location line", aquela onde você pode digitar um URL, também mostraria o endereço corrente, que estaria adulterado. Mas os caras não são bobos e apelaram para Javascript, maquiando essas duas áreas da tela de forma a só mostrar a parte "real" do endereço falso. A única coisa que eles não podem evitar é que você mande abrir o código "fonte" original em HTML da página e identifique os links falsificados.

Observe que, para um usuário comum, essas coisas estão muito acima do dia-a-dia usual de navegação na Web. Se um atacante conseguir desviar os acessos de um incauto para dentro de sua máquina falsificadora, dificilmente a vítima se aperceberá do fato.

Mas a leitora, que eu sei que é gente safa e bem atenta, vai desligar a opção de Javascript, ActiveX ou Java no seu browser. E também vai ficar de olho vivo em endereços estranhos ou demasiado compridos na status line ou na location line. Por ora, são os únicos expedientes para se ver livre do risco de um ataque desses. Aproveito para desejar que seu 1997 seja ótimo, cristalino e livre de qualquer spoofing.

[ Voltar ]