Encontrar Credenciais de Login Expostas

Introdução

Neste desafio, você assumirá o papel de um especialista em segurança de rede encarregado de investigar um possível vazamento de dados em sua empresa. Sua tarefa é analisar o tráfego de rede usando o Wireshark para determinar se alguma credencial de usuário foi transmitida em texto simples (clear text), o que poderia explicar como informações sensíveis foram comprometidas.

O desafio exige que você examine arquivos de captura de pacotes (PCAP) de comunicações de rede recentes em busca de credenciais de login expostas. Ao aplicar técnicas de análise de pacotes, você identificará instâncias onde nomes de usuário e senhas podem ter sido transmitidos sem a criptografia adequada, destacando a importância crítica de protocolos seguros para lidar com dados de autenticação.

Encontrar Credenciais de Login Expostas

Sua empresa detectou um possível vazamento de dados. Como especialista em segurança de rede, você precisa analisar o tráfego de rede recente para determinar se alguma credencial de usuário foi transmitida em texto simples, o que poderia explicar a origem do vazamento.

Tarefas

• Criar um filtro de exibição para encontrar pacotes HTTP que contenham as palavras 'user', 'pass' ou 'login'
• Identificar e extrair quaisquer credenciais expostas
• Documentar as credenciais descobertas no formato exigido

Requisitos

• Abra o arquivo de captura de pacotes localizado em /home/labex/project/network_analysis/company_traffic.pcap usando o Wireshark

• Crie um filtro de exibição que mostre apenas pacotes HTTP contendo possíveis informações de credenciais

• Seu filtro deve buscar pelas palavras 'user', 'pass' ou 'login' nos pacotes HTTP

• Salve seu filtro para verificação clicando no botão "+" na barra de filtros após testar se ele funciona

• Assim que encontrar as credenciais, salve-as em um arquivo chamado /home/labex/project/network_analysis/found_credentials.txt seguindo este formato:

  username: [found username]
  password: [found password]

Exemplos

Ao aplicar o filtro correto, o Wireshark deve exibir apenas pacotes contendo informações de credenciais. Você poderá ver algo assim:

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

Ao examinar os detalhes do pacote, você deverá ser capaz de ver as informações de credenciais em texto simples:

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

Seu arquivo found_credentials.txt deve ficar assim:

username: labby
password: hacker

Dicas

• Inicie o Wireshark pelo terminal usando o comando wireshark
• Para abrir o arquivo de captura, use File > Open e navegue até o local do arquivo
• A barra de filtros de exibição fica no topo da janela do Wireshark
• Para pesquisar múltiplos termos usando a lógica OU (OR), utilize o símbolo de barra vertical (|)
• Lembre-se de que os dados HTTP podem aparecer em diferentes partes do pacote, portanto, pesquise em todo o conteúdo do pacote
• Os filtros do Wireshark diferenciam maiúsculas de minúsculas (case-sensitive) por padrão
• Você pode criar o arquivo de credenciais usando qualquer editor de texto como nano ou gedit

Resumo

Neste desafio, aprendi a usar o Wireshark para analisar o tráfego de rede e identificar potenciais vulnerabilidades de segurança relacionadas à exposição de credenciais. A tarefa envolveu examinar um arquivo PCAP do tráfego de rede da empresa para localizar instâncias onde as credenciais do usuário foram transmitidas em texto simples, o que poderia explicar um vazamento de dados detectado.

Através de uma inspeção cuidadosa dos pacotes, descobri tráfego HTTP contendo informações de login não criptografadas, especificamente uma requisição POST que incluía valores de nome de usuário e senha em texto puro. Este exercício destacou a importância crítica do uso de protocolos criptografados (como HTTPS) para transmitir informações sensíveis, já que credenciais não criptografadas podem ser facilmente capturadas e exploradas por agentes maliciosos que monitoram o tráfego da rede.