O Nível Físico Sob a Ótica do Atacante: Por Que a Rede Começa Antes do IP
Este artigo explora as vulnerabilidades do nível físico de redes, demonstrando como atacantes podem explorar cabos, portas Ethernet e dispositivos USB para contornar defesas tradicionais. Descubra por que a segurança da rede começa com o acesso físico, não com o endereço IP.
MundiX News·09 de junho de 2026·16 min de leitura·👁 9 views
Qualquer profissional de TI está familiarizado com o modelo OSI. Bits, frames, pacotes, encapsulamento – uma abstração seca, geralmente usada como um guia para solução de problemas. Mas para um atacante, o OSI é um mapa pronto de vetores de ataque. Este material inaugura um ciclo de artigos onde examinaremos cada nível sob a perspectiva de um pentester – com casos reais, truques de hardware e vulnerabilidades arquitetônicas que não podem ser corrigidas com um patch. Por exemplo, os modernos ataques à cadeia de suprimentos (Supply Chain Attacks) mostram que os invasores não precisam necessariamente invadir sua rede remotamente – basta comprometer o equipamento ainda na fase de produção ou logística. A instalação de backdoors de hardware em controladores de rede tornou-se assustadoramente acessível, mesmo para aqueles que não possuem os recursos de serviços de inteligência.
Normalmente, quando se trata de segurança corporativa, todos discutem a configuração de VPNs, firewalls, a escolha de sistemas EDR e Zero Trust. O próprio cabo é percebido como algo estéril e confiável por padrão. Mas e se uma tomada Ethernet esquecida em uma sala de reuniões for o ponto de entrada perfeito, contornando completamente o perímetro externo? Como funcionam os TAPs de rede passivos, que não possuem endereço IP e são invisíveis para IDS? E por que seu sistema operacional confia em um cabo USB de centavos mais do que em você mesmo? Deixando de lado as métricas habituais, descemos ao nível físico da infraestrutura para olhar o hardware familiar sob um ângulo diferente.
Quando se fala em segurança da informação em uma empresa, geralmente se discute a configuração correta de firewalls, a escolha de sistemas EDR ou vulnerabilidades atuais em serviços web. O próprio cabo é percebido como algo estéril e confiável por padrão. A lógica é simples: se o fio passa dentro do nosso escritório, então o ambiente é confiável. Mas para um pentester, essa suposição é o melhor presente. Apesar da disseminação do TLS e das abordagens de Zero Trust, muitas organizações ainda possuem serviços não criptografados, protocolos desatualizados e tráfego de serviço dentro da rede, que são de interesse para um atacante. Além disso, o atacante nem sempre precisa invadir o sistema imediatamente e mudar algo lá. É muito mais interessante – apenas sentar no fio e ouvir silenciosamente. É aqui que reside a fronteira entre presença ativa e passiva: Ativa: um dispositivo obtém um IP, tenta acessar portas, envia requisições ARP e inevitavelmente aparece nos logs. Passiva: um dispositivo opera no modo "apenas ouvindo". Ele não tem endereço de rede, não gera nada, e para a maioria das ferramentas de monitoramento de rede, essa presença seria praticamente invisível.
Mito 1. Rede com fio é inerentemente mais segura que Wi-Fi
Por um lado, sim: para capturar Wi-Fi, basta sentar com um laptop no estacionamento do escritório, e para o fio, é preciso encontrar uma maneira de se aproximar. Mas as vantagens terminam aí. Muitos pensam que a era do sniffing passivo acabou com os antigos hubs (concentradores), que duplicavam todo o tráfego para todas as portas. Agora, todos usam switches, que enviam frames estritamente para o destinatário com base em uma tabela de endereços MAC. Parece que você não pode ver o tráfego de outra pessoa assim. Administradores geralmente usam SPAN (port mirroring) para monitoramento, onde o switch copia o tráfego das interfaces necessárias e o envia para o sistema de análise (IDS). Mas para um atacante, essa opção é ruim: é necessário acesso ao admin do switch, e sob alta carga, o switch pode descartar pacotes espelhados. Por isso, pentesters usam Network TAP (Test Access Point) – uma conexão física no cabo.
Como funciona na prática
Vamos pegar um clássico Throwing Star LAN Tap – um dispositivo barato do tamanho de uma caixa de fósforos, que pode ser montado "na bancada".
Esquema de um TAP de rede passivo
Em Fast Ethernet (100 Mbps), um TAP passivo funciona de forma elementar: os fios de recepção (RX) e transmissão (TX) dentro dele são fisicamente roteados para portas de monitoramento separadas. Você conecta essa caixinha na interrupção da linha, conecta seu laptop e obtém uma cópia do tráfego que passa. Com Gigabit Ethernet, tudo é um pouco mais complicado. Ao contrário do Fast Ethernet, os dados aqui são transmitidos simultaneamente por todos os quatro pares de condutores, portanto, os TAPs caseiros mais simples já não funcionam de forma tão direta. Para resolver essa tarefa, existem dispositivos TAP especializados Gigabit, ópticos e ativos. Algumas construções simples para par trançado usam um caminho alternativo – forçam a conexão para o modo Fast Ethernet (100 Mbps), após o qual a interceptação passiva clássica se torna possível. O importante aqui não é o método específico de implementação, mas o próprio princípio: o tráfego pode ser observado diretamente no canal físico de transmissão de dados, sem participar da troca de rede. Uma característica importante de tal TAP é que ele não possui chips, alimentação, endereço MAC ou IP. Ele é fisicamente incapaz de enviar um único bit de informação para a rede. Detectar tal dispositivo por métodos padrão de monitoramento de rede é extremamente difícil, porque no nível da rede ele simplesmente não existe.
TAP passivo funcional, montado a partir de duas tomadas RJ-45 comuns. Fonte
Um TAP passivo permite apenas observar o tráfego. O próximo passo é começar a modificá-lo. Para isso, são usados não mais derivadores passivos, mas dispositivos que fisicamente se tornam um intermediário entre dois nós da rede e obtêm a capacidade de analisar, atrasar ou modificar os dados transmitidos. Essa abordagem é conhecida como Man-in-the-Middle (MITM). Ao contrário dos clássicos MITM de rede via ARP Spoofing, aqui o ataque é construído diretamente na conexão física à linha de comunicação. Ao obter controle sobre o canal de transmissão de dados, o atacante pode não apenas ler o tráfego, mas também interferir nele antes que os dados cheguem ao destinatário. Na prática, isso pode ser usado para substituir tráfego não criptografado, injetar conteúdo malicioso em arquivos baixados ou redirecionar forçadamente o usuário para recursos controlados. E aqui surge o próximo mito comum.
Mito 2. Sem endereço IP – o dispositivo não está na rede
Para a maioria dos administradores de sistemas, o mapa da rede é uma tabela DHCP e uma lista de endereços IP. Se um dispositivo não está nesta lista, então ninguém estranho está conectado à rede. Mas para observação passiva, um dispositivo não precisa de forma alguma obter um endereço IP ou participar da troca de rede. Basta que o atacante colete silenciosamente dados de trânsito (por exemplo, hashes NetNTLM ou senhas não criptografadas), permanecendo invisível para a maioria das ferramentas de inventário de rede.
Mito 3. Nossa IDS vê tudo
Qualquer IDS (Intrusion Detection System), mesmo a mais avançada, é apenas um software. Ela depende inteiramente do tráfego que lhe é fornecido. Se a IDS recebe dados através de uma porta SPAN, ela vê apenas uma cópia da troca de rede. A presença física de um TAP passivo na linha de comunicação permanece fora de seu campo de visão. Do ponto de vista do sistema, uma troca normal de dados ocorre entre dois dispositivos legítimos: não há novos hosts, conexões suspeitas ou comportamento anômalo. Portanto, a IDS é capaz de detectar as consequências de um ataque ou atividade suspeita no tráfego, mas não o próprio fato da existência de uma conexão passiva. Ela é excelente em encontrar anomalias em pacotes, mas é impotente contra dispositivos que existem fisicamente na linha de comunicação e, ao mesmo tempo, não se manifestam de forma alguma no nível da rede.
Porta esquecida como backdoor: o conceito de droбоoxes
A segurança também se torna uma decoração porque as empresas protegem apenas os dispositivos que já estão funcionando e visíveis para os administradores. Mas o que acontece com a infraestrutura que está ociosa no momento? O mito 4. Se ninguém usa a porta, ela é segura. Você entra em qualquer escritório e vê dezenas de tomadas Ethernet vazias. Para o departamento de TI, é apenas uma conveniência para o caso de reorganização de móveis ou chegada de convidados. Para um pentester – o ponto de entrada ideal para a rede interna. Em muitas organizações, essas portas permanecem ativas por anos simplesmente porque "nunca se sabe quando podem ser úteis".
Onde procurar pontos cegos
Durante uma auditoria real, ninguém vai sentar no meio de uma sala de reuniões com um laptop e executar o Nmap na frente dos funcionários – é um risco muito alto de ser pego. A tarefa geralmente soa diferente: obter acesso físico, se estabelecer na rede em 30 segundos e sair. Na maioria das vezes, para isso são usados locais onde a aparição de uma pessoa estranha não causa perguntas desnecessárias: Salas de reunião. Tomadas em mesas ou escotilhas quase sempre estão ativas nos switches por padrão, para que o apresentador em uma apresentação não espere o administrador ativar a porta. Impressoras e áreas de impressão. Multifuncionais comuns geralmente ficam nos corredores. Desconectar o cabo de rede da impressora por alguns segundos e usar sua porta é uma questão de um movimento ágil. Estações de trabalho vazias. Mesas "para o futuro" ou locais de funcionários demitidos. Armários de distribuição de cabos trancados em áreas acessíveis a visitantes.
Conceito de Network Dropbox
Para se estabelecer dentro da rede, são usados os chamados Network Dropbox (dispositivos de rede) – pequenos dispositivos que se conectam à infraestrutura e continuam funcionando mesmo depois que o atacante deixou o local. Pode ser tanto um Packet Squirrel comercial da Hak5 (do tamanho de uma caixa de fósforos) quanto uma versão caseira baseada em Raspberry Pi ou um roteador de bolso com OpenWRT. Do ponto de vista da rede, não há diferença: o dispositivo obtém um endereço IP via DHCP e se torna mais um nó do segmento interno. Em muitas organizações, isso pode ser suficiente para acessar parte dos serviços internos disponíveis para uma estação de trabalho comum. A energia para ele geralmente é obtida no local – da porta USB da TV ou impressora mais próxima.
Packet Squirrel da Hak5
O cenário mais comum é o seguinte: O dispositivo é conectado discretamente a uma porta ativa e escondido atrás de móveis ou em um conduíte. Ele obtém as configurações de rede via DHCP. Após obter acesso à rede, o dispositivo pode estabelecer uma conexão de saída com a infraestrutura de gerenciamento externa e aguardar mais comandos. Para muitas ferramentas de proteção, esse tráfego parece atividade normal de estação de trabalho e não levanta suspeitas por si só.
Por que isso funciona
A maioria das empresas se concentra na proteção do perímetro externo. VPNs exigem MFA, aplicações web são protegidas por WAFs, e firewalls filtram rigorosamente as conexões de entrada. Mas a conexão física a uma porta interna permite contornar toda essa cadeia de controle. Historicamente, a rede com fio era percebida como um ambiente confiável. Portanto, em muitas organizações, um dispositivo conectado, após se conectar com sucesso à porta, obtém acesso a parte dos recursos internos da rede e a capacidade de interagir com outros nós de seu segmento. Para um pentester, isso geralmente é suficiente para iniciar a reconhecimento interno, estudar a infraestrutura e procurar pontos para desenvolvimento posterior do ataque. Claro, nas redes modernas, esse problema é cada vez mais resolvido com o uso de tecnologias de controle de acesso. Mecanismos NAC (Network Access Control), autenticação 802.1X, segmentação de rede e VLANs de quarentena permitem limitar as capacidades de um dispositivo desconhecido antes mesmo de obter acesso completo aos recursos corporativos. No entanto, a implementação e manutenção de tais soluções exigem tempo, orçamento e operação competente, portanto, uma rede com fio totalmente confiável ainda é um fenômeno comum.
O que impede tais ataques
A proteção mais eficaz continua sendo os mecanismos de controle de acesso à rede: Desativação de portas não utilizadas. Tomadas inoperantes devem ser rigorosamente desativadas com o comando shutdown. Port Security e segmentação de rede. Limitação do número de endereços MAC por porta e isolamento rigoroso de sub-redes de convidados e tecnológicas. 802.1X / NAC (Network Access Control). No cenário ideal, a conexão de um dispositivo desconhecido não deve resultar na emissão de um endereço IP, mas no bloqueio da porta ou na colocação do dispositivo em um segmento de quarentena isolado até a autenticação. No entanto, na prática, implementar e manter um NAC rigoroso é uma tarefa longa e cara. Portanto, uma tomada Ethernet esquecida ainda é um dos pontos de entrada mais subestimados na infraestrutura interna. Às vezes, todo o perímetro externo de uma empresa é mais bem protegido do que uma porta ativa em uma sala de reuniões.
USB, em que se confia demais: ataques da família BadUSB
Após as discussões sobre cabos e tomadas de rede, surge uma pergunta lógica: e se o atacante não precisar de uma porta Ethernet? Acontece que um conector USB comum é suficiente. Muitos usuários acreditam que um computador é capaz de determinar o que exatamente foi conectado à porta: um pendrive, um teclado ou um adaptador de rede. Na prática, tudo funciona um pouco diferente. Para entender por que o BadUSB existe, é preciso olhar por um minuto para o funcionamento do USB. Na conexão USB clássica, são usadas linhas de alimentação e linhas de transmissão de dados. Quando um novo dispositivo é conectado a um computador, o sistema não apenas fornece energia à porta, mas inicia um procedimento de inicialização. No lado do dispositivo, há um controlador USB – um pequeno chip responsável pela troca de dados com o sistema operacional. Após a conexão, o computador envia uma requisição, e o dispositivo informa sobre si mesmo: quem é, a qual classe pertence e quais funções suporta. Se o dispositivo se apresenta como um teclado, o sistema carrega o driver do teclado. Se como um armazenamento – o driver de armazenamento. Se como uma placa de rede – o driver do adaptador de rede. À primeira vista, tudo parece lógico. Mas há uma peculiaridade: o computador não pode verificar fisicamente se é realmente um teclado ou um pendrive. Ele toma a decisão com base nas informações que o próprio dispositivo relata. É nesse nível de confiança que se baseiam os ataques da família BadUSB.
Mito 5. Se um dispositivo parece um pendrive, então é um pendrive
BadUSB é um ataque em que um dispositivo se disfarça de outro dispositivo. Mais frequentemente, destacam-se várias variantes principais: BadUSB-HID – o dispositivo se apresenta como um teclado ou mouse; BadUSB-Ethernet – o dispositivo se apresenta como uma placa de rede; BadUSB-Mass Storage – o dispositivo se disfarça de um armazenamento comum. O cenário mais conhecido está associado precisamente ao teclado. Um dispositivo minúsculo, após a conexão, começa a enviar automaticamente pressionamentos de teclas como se um usuário real estivesse operando o computador. O sistema operacional considera essas ações absolutamente legítimas, porque elas vêm de um dispositivo HID confiável. É interessante notar que o fator de forma aqui praticamente não importa. Tais eletrônicos podem ser escondidos dentro de um pendrive, cabo USB, webcam, adaptador ou qualquer outro dispositivo que não cause suspeitas. Surge a pergunta lógica: por que um invasor se passaria por um teclado? O fato é que o sistema operacional tradicionalmente confia em dispositivos de entrada. Se o computador considera o dispositivo conectado como um teclado, então todos os pressionamentos de teclas serão percebidos como ações de um usuário legítimo. Na prática, isso pode ser usado para abrir automaticamente um terminal, iniciar utilitários do sistema, alterar configurações de segurança, baixar software adicional ou criar um canal de acesso remoto. Ao mesmo tempo, muitos mecanismos de proteção percebem tais ações como atividade normal do usuário, e não como um ataque. É particularmente desagradável que todo o processo leve apenas alguns segundos. O usuário pode ver apenas o breve aparecimento de uma janela de terminal ou nem mesmo notar nada, se os comandos forem executados em segundo plano. É por isso que o BadUSB é interessante não por si só, mas como uma maneira de obter rapidamente acesso inicial ao sistema, explorando a confiança embutida do sistema operacional em dispositivos USB.
Digispark
A popularidade de tais ataques foi muito além da comunidade profissional. Muitos a viram pela primeira vez na série Mr. Robot, onde um pendrive deixado para trás foi usado para obter acesso ao sistema. Apesar das licenças artísticas, a própria ideia é bastante realista: um dispositivo pode parecer um armazenamento comum e, após a conexão, de repente se revelar um teclado. É por isso que o BadUSB é considerado um dos poucos ataques de nível físico onde o sucesso muitas vezes depende não tanto da técnica, quanto da curiosidade humana.
Cena da série Mr. Robot
Mito 6. Cabo – é apenas um pedaço de fio com cobre dentro
Para a maioria das pessoas, um cabo USB comum para carregar um smartphone ou conectar um mouse é um pedaço de plástico e cobre. No máximo, o que ele pode ameaçar é um mau contato ou carregamento lento. Sem pensar, pegamos cabos de uma caixa comum na sala de reuniões, os pegamos emprestados de colegas ou usamos aqueles que já estão conectados ao computador do escritório. O surgimento de cabos da família O.MG Cable destruiu completamente essa confiança.
Anatomia do O.MG Cable: quando um microcomputador se esconde no conector
O cabo O.MG externamente, ao toque e em peso, é completamente indistinguível do cabo original branco da Apple Lightning, do USB-C proprietário de um smartphone moderno ou de um fio clássico para teclado. Ao mesmo tempo, ele mantém sua função básica – ele pode realmente carregar dispositivos e transferir arquivos na velocidade padrão USB 2.0. O segredo está dentro do próprio conector USB. Os desenvolvedores conseguiram colocar toda a eletrônica dentro de um conector USB padrão sem alterar visivelmente sua aparência. Eles reduziram os componentes de uma ferramenta de hacking completa aos tamanhos de uma cabeça de fósforo e os encapsularam diretamente no plugue de plástico. Dentro do plugue O.MG Elite estão escondidos: Um microcontrolador capaz de emular pressionamentos de teclas (HID) e realizar transferência de dados bidirecional. Memória não volátil embutida, capaz de interceptar e armazenar até 650.000 pressionamentos de teclas (relevante se o cabo for usado para conectar um teclado de escritório). Um chip sem fio completo para comunicação via Wi-Fi.
Por que isso é perigoso
O principal problema do O.MG Cable não é o próprio cabo, mas o fato de que o sistema operacional confia em dispositivos HID por padrão. Quando um usuário conecta um novo teclado, o Windows ou Linux não consideram isso um evento suspeito. No nível do protocolo USB, não há diferença para o sistema entre um pressionamento de tecla por um humano e um sinal de baixo nível gerado pelo controlador dentro do cabo. Portanto, imediatamente após a conexão, o dispositivo pode executar automaticamente uma sequência de comandos pré-preparada. Na prática, isso permite abrir o PowerShell ou terminal, alterar as configurações do sistema, baixar software adicional ou organizar acesso remoto ao computador. Mesmo que o usuário esteja operando sem privilégios administrativos, uma estação de trabalho comprometida muitas vezes se torna um ponto de partida para reconhecimento posterior dentro da rede. Um único comando bem-sucedido pode dar ao atacante muito mais oportunidades do que parece à primeira vista.
Gerenciamento via Wi-Fi
A característica mais interessante das versões modernas do O.MG Cable é o módulo Wi-Fi embutido. Após a conexão, o cabo pode criar seu próprio ponto de acesso ou se conectar a uma rede previamente conhecida. Isso permite que o operador gerencie o dispositivo remotamente e altere o cenário do ataque já após a conexão ao computador. Através da interface web, é possível carregar novos scripts, executar várias sequências de pressionamentos de teclas e alterar os parâmetros de operação do dispositivo. Ao mesmo tempo, externamente nada incomum acontece, o usuário ainda vê um cabo comum para carregar o telefone.
O.MG Cable é praticamente indistinguível de um cabo USB comum.
Como se proteger contra tais ataques
A proteção contra dispositivos BadUSB e cabos "inteligentes" é uma tarefa complexa, pois eles exploram características arquitetônicas fundamentais do barramento USB. No entanto, essas "zonas cegas" podem ser fechadas com um conjunto de medidas nos níveis físico e de software: Uso de bloqueadores USB (USB Data Blockers). No ambiente de especialistas astutos, tais adaptadores são frequentemente chamados de "preservativos USB". Dentro deles, as linhas de transmissão de dados estão fisicamente ausentes, e apenas as linhas de alimentação são deixadas. Se um funcionário precisar carregar um smartphone de um computador de trabalho, ele deve fazê-lo apenas através de um bloqueador semelhante. Nesse caso, o dispositivo poderá receber energia, mas não poderá trocar dados com o computador. Controle de software de dispositivos HID. Existem soluções de software especializadas (por exemplo, da classe USBGuard ou sistemas EDR avançados) que sabem como bloquear a conexão automática de novos teclados. Ao detectar um novo dispositivo HID, o sistema exige confirmação do usuário (por exemplo, inserir um código numérico aleatório do próprio teclado). Um script BadUSB automático não conseguirá fazer isso "às cegas", e o ataque falhará. Proibição da inicialização de drivers não utilizados. Nas políticas corporativas (GPO), a instalação de drivers para certas classes de dispositivos pode ser estritamente limitada. Se os funcionários não precisarem de adaptadores de rede externos, o sistema operacional deve ser impedido de executar drivers para RNDIS (RNDIS – Remote Network Driver Interface Specification) / Ethernet-over-USB. Higiene física e marcação de periféricos. A regra básica permanece a mesma: não use unidades encontradas, cabos desconhecidos e dispositivos USB de terceiros. Em organizações com requisitos de segurança elevados, periféricos legítimos são adicionalmente marcados com etiquetas ou termo retrátil. Isso permite detectar rapidamente a substituição de equipamentos no local de trabalho ou na sala de reuniões.
O surgimento de plataformas acessíveis como Digispark, Rubber Ducky e O.MG Cable mostrou o quão condicional se tornou a fronteira entre um dispositivo periférico e uma ferramenta de ataque completa. Hoje, não é suficiente confiar em um dispositivo apenas porque ele se parece com um pendrive, teclado ou cabo comum. Conclusão
Estamos acostumados a ver a segurança através da lente de aplicativos, sistemas operacionais e protocolos de rede. Mas qualquer um dos exemplos considerados mostra a mesma regularidade: quanto mais baixo o nível do ataque, menos ferramentas de proteção restam para o defensor. TAP passivo é invisível para IDS. Network Dropbox permite que o atacante esteja dentro do perímetro de rede. BadUSB explora cinicamente a confiança inata do sistema operacional em periféricos. O.MG Cable se disfarça de um objeto que a maioria das pessoas nem percebe como um dispositivo computacional. Todas essas são técnicas diferentes, mas todas têm uma coisa em comum – elas não começam com vulnerabilidades de software, mas com acesso físico à infraestrutura. Parte das técnicas descritas foi vista pela primeira vez não em projetos reais, mas em competições de NTO em segurança da informação. Tarefas de crimpagem de par trançado, MITM físico via pares RX/TX e trabalho com infraestrutura de rede mostram bem que o nível físico não é uma abstração de um livro de redes, mas uma superfície de ataque bastante real que ainda é encontrada tanto em CTFs quanto em auditorias de segurança corporativas. É por isso que o nível físico do modelo OSI permanece o alicerce de todo o sistema de segurança. Enquanto o invasor não puder tocar no equipamento, os outros níveis de proteção têm uma chance real de funcionar. Quando tal acesso aparece, muitos mecanismos de controle habituais deixam de ser um obstáculo intransponível e se transformam apenas em uma linha de defesa adicional. Talvez a principal conclusão aqui nem seja técnica. Um cabo, uma tomada, um teclado ou um cabo USB parecem objetos muito simples para serem percebidos como um vetor de ameaça. Mas a prática mostra o contrário: às vezes, o caminho mais difícil para o sistema começa com as coisas mais comuns. E é por isso que, ao construir a defesa, é útil lembrar: a segurança da rede começa não com o endereço IP, mas com o acesso físico à infraestrutura. Obrigado pela atenção! Este é meu primeiro artigo no Habr e, ao mesmo tempo, a primeira parte de um ciclo em que planejo analisar o modelo OSI sob a ótica do atacante – do nível físico aos protocolos de aplicação e técnicas modernas de exploração. Também comecei a manter um blog no Telegram, onde publicarei materiais adicionais sobre pentest, CTF, segurança de rede e preparação para competições de segurança da informação. O pool social ainda está em desenvolvimento, mas se o tema lhe interessa – ficarei feliz com sua assinatura e feedback.
Qualquer profissional de TI está familiarizado com o modelo OSI. Bits, frames, pacotes, encapsulamento – uma abstração seca, geralmente usada como um guia para solução de problemas. Mas para um atacante, o OSI é um mapa pronto de vetores de ataque. Este material inaugura um ciclo de artigos onde examinaremos cada nível sob a perspectiva de um pentester – com casos reais, truques de hardware e vulnerabilidades arquitetônicas que não podem ser corrigidas com um patch. Por exemplo, os modernos ataques à cadeia de suprimentos (Supply Chain Attacks) mostram que os invasores não precisam necessariamente invadir sua rede remotamente – basta comprometer o equipamento ainda na fase de produção ou logística. A instalação de backdoors de hardware em controladores de rede tornou-se assustadoramente acessível, mesmo para aqueles que não possuem os recursos de serviços de inteligência.
Normalmente, quando se trata de segurança corporativa, todos discutem a configuração de VPNs, firewalls, a escolha de sistemas EDR e Zero Trust. O próprio cabo é percebido como algo estéril e confiável por padrão. Mas e se uma tomada Ethernet esquecida em uma sala de reuniões for o ponto de entrada perfeito, contornando completamente o perímetro externo? Como funcionam os TAPs de rede passivos, que não possuem endereço IP e são invisíveis para IDS? E por que seu sistema operacional confia em um cabo USB de centavos mais do que em você mesmo? Deixando de lado as métricas habituais, descemos ao nível físico da infraestrutura para olhar o hardware familiar sob um ângulo diferente.
Quando se fala em segurança da informação em uma empresa, geralmente se discute a configuração correta de firewalls, a escolha de sistemas EDR ou vulnerabilidades atuais em serviços web. O próprio cabo é percebido como algo estéril e confiável por padrão. A lógica é simples: se o fio passa dentro do nosso escritório, então o ambiente é confiável. Mas para um pentester, essa suposição é o melhor presente. Apesar da disseminação do TLS e das abordagens de Zero Trust, muitas organizações ainda possuem serviços não criptografados, protocolos desatualizados e tráfego de serviço dentro da rede, que são de interesse para um atacante. Além disso, o atacante nem sempre precisa invadir o sistema imediatamente e mudar algo lá. É muito mais interessante – apenas sentar no fio e ouvir silenciosamente. É aqui que reside a fronteira entre presença ativa e passiva: Ativa: um dispositivo obtém um IP, tenta acessar portas, envia requisições ARP e inevitavelmente aparece nos logs. Passiva: um dispositivo opera no modo "apenas ouvindo". Ele não tem endereço de rede, não gera nada, e para a maioria das ferramentas de monitoramento de rede, essa presença seria praticamente invisível.
Mito 1. Rede com fio é inerentemente mais segura que Wi-Fi
Por um lado, sim: para capturar Wi-Fi, basta sentar com um laptop no estacionamento do escritório, e para o fio, é preciso encontrar uma maneira de se aproximar. Mas as vantagens terminam aí. Muitos pensam que a era do sniffing passivo acabou com os antigos hubs (concentradores), que duplicavam todo o tráfego para todas as portas. Agora, todos usam switches, que enviam frames estritamente para o destinatário com base em uma tabela de endereços MAC. Parece que você não pode ver o tráfego de outra pessoa assim. Administradores geralmente usam SPAN (port mirroring) para monitoramento, onde o switch copia o tráfego das interfaces necessárias e o envia para o sistema de análise (IDS). Mas para um atacante, essa opção é ruim: é necessário acesso ao admin do switch, e sob alta carga, o switch pode descartar pacotes espelhados. Por isso, pentesters usam Network TAP (Test Access Point) – uma conexão física no cabo.
Como funciona na prática
Vamos pegar um clássico Throwing Star LAN Tap – um dispositivo barato do tamanho de uma caixa de fósforos, que pode ser montado "na bancada".
Esquema de um TAP de rede passivo
Em Fast Ethernet (100 Mbps), um TAP passivo funciona de forma elementar: os fios de recepção (RX) e transmissão (TX) dentro dele são fisicamente roteados para portas de monitoramento separadas. Você conecta essa caixinha na interrupção da linha, conecta seu laptop e obtém uma cópia do tráfego que passa. Com Gigabit Ethernet, tudo é um pouco mais complicado. Ao contrário do Fast Ethernet, os dados aqui são transmitidos simultaneamente por todos os quatro pares de condutores, portanto, os TAPs caseiros mais simples já não funcionam de forma tão direta. Para resolver essa tarefa, existem dispositivos TAP especializados Gigabit, ópticos e ativos. Algumas construções simples para par trançado usam um caminho alternativo – forçam a conexão para o modo Fast Ethernet (100 Mbps), após o qual a interceptação passiva clássica se torna possível. O importante aqui não é o método específico de implementação, mas o próprio princípio: o tráfego pode ser observado diretamente no canal físico de transmissão de dados, sem participar da troca de rede. Uma característica importante de tal TAP é que ele não possui chips, alimentação, endereço MAC ou IP. Ele é fisicamente incapaz de enviar um único bit de informação para a rede. Detectar tal dispositivo por métodos padrão de monitoramento de rede é extremamente difícil, porque no nível da rede ele simplesmente não existe.
TAP passivo funcional, montado a partir de duas tomadas RJ-45 comuns. Fonte
Um TAP passivo permite apenas observar o tráfego. O próximo passo é começar a modificá-lo. Para isso, são usados não mais derivadores passivos, mas dispositivos que fisicamente se tornam um intermediário entre dois nós da rede e obtêm a capacidade de analisar, atrasar ou modificar os dados transmitidos. Essa abordagem é conhecida como Man-in-the-Middle (MITM). Ao contrário dos clássicos MITM de rede via ARP Spoofing, aqui o ataque é construído diretamente na conexão física à linha de comunicação. Ao obter controle sobre o canal de transmissão de dados, o atacante pode não apenas ler o tráfego, mas também interferir nele antes que os dados cheguem ao destinatário. Na prática, isso pode ser usado para substituir tráfego não criptografado, injetar conteúdo malicioso em arquivos baixados ou redirecionar forçadamente o usuário para recursos controlados. E aqui surge o próximo mito comum.
Mito 2. Sem endereço IP – o dispositivo não está na rede
Para a maioria dos administradores de sistemas, o mapa da rede é uma tabela DHCP e uma lista de endereços IP. Se um dispositivo não está nesta lista, então ninguém estranho está conectado à rede. Mas para observação passiva, um dispositivo não precisa de forma alguma obter um endereço IP ou participar da troca de rede. Basta que o atacante colete silenciosamente dados de trânsito (por exemplo, hashes NetNTLM ou senhas não criptografadas), permanecendo invisível para a maioria das ferramentas de inventário de rede.
Mito 3. Nossa IDS vê tudo
Qualquer IDS (Intrusion Detection System), mesmo a mais avançada, é apenas um software. Ela depende inteiramente do tráfego que lhe é fornecido. Se a IDS recebe dados através de uma porta SPAN, ela vê apenas uma cópia da troca de rede. A presença física de um TAP passivo na linha de comunicação permanece fora de seu campo de visão. Do ponto de vista do sistema, uma troca normal de dados ocorre entre dois dispositivos legítimos: não há novos hosts, conexões suspeitas ou comportamento anômalo. Portanto, a IDS é capaz de detectar as consequências de um ataque ou atividade suspeita no tráfego, mas não o próprio fato da existência de uma conexão passiva. Ela é excelente em encontrar anomalias em pacotes, mas é impotente contra dispositivos que existem fisicamente na linha de comunicação e, ao mesmo tempo, não se manifestam de forma alguma no nível da rede.
Porta esquecida como backdoor: o conceito de droбоoxes
A segurança também se torna uma decoração porque as empresas protegem apenas os dispositivos que já estão funcionando e visíveis para os administradores. Mas o que acontece com a infraestrutura que está ociosa no momento? O mito 4. Se ninguém usa a porta, ela é segura. Você entra em qualquer escritório e vê dezenas de tomadas Ethernet vazias. Para o departamento de TI, é apenas uma conveniência para o caso de reorganização de móveis ou chegada de convidados. Para um pentester – o ponto de entrada ideal para a rede interna. Em muitas organizações, essas portas permanecem ativas por anos simplesmente porque "nunca se sabe quando podem ser úteis".
Onde procurar pontos cegos
Durante uma auditoria real, ninguém vai sentar no meio de uma sala de reuniões com um laptop e executar o Nmap na frente dos funcionários – é um risco muito alto de ser pego. A tarefa geralmente soa diferente: obter acesso físico, se estabelecer na rede em 30 segundos e sair. Na maioria das vezes, para isso são usados locais onde a aparição de uma pessoa estranha não causa perguntas desnecessárias: Salas de reunião. Tomadas em mesas ou escotilhas quase sempre estão ativas nos switches por padrão, para que o apresentador em uma apresentação não espere o administrador ativar a porta. Impressoras e áreas de impressão. Multifuncionais comuns geralmente ficam nos corredores. Desconectar o cabo de rede da impressora por alguns segundos e usar sua porta é uma questão de um movimento ágil. Estações de trabalho vazias. Mesas "para o futuro" ou locais de funcionários demitidos. Armários de distribuição de cabos trancados em áreas acessíveis a visitantes.
Conceito de Network Dropbox
Para se estabelecer dentro da rede, são usados os chamados Network Dropbox (dispositivos de rede) – pequenos dispositivos que se conectam à infraestrutura e continuam funcionando mesmo depois que o atacante deixou o local. Pode ser tanto um Packet Squirrel comercial da Hak5 (do tamanho de uma caixa de fósforos) quanto uma versão caseira baseada em Raspberry Pi ou um roteador de bolso com OpenWRT. Do ponto de vista da rede, não há diferença: o dispositivo obtém um endereço IP via DHCP e se torna mais um nó do segmento interno. Em muitas organizações, isso pode ser suficiente para acessar parte dos serviços internos disponíveis para uma estação de trabalho comum. A energia para ele geralmente é obtida no local – da porta USB da TV ou impressora mais próxima.
Packet Squirrel da Hak5
O cenário mais comum é o seguinte: O dispositivo é conectado discretamente a uma porta ativa e escondido atrás de móveis ou em um conduíte. Ele obtém as configurações de rede via DHCP. Após obter acesso à rede, o dispositivo pode estabelecer uma conexão de saída com a infraestrutura de gerenciamento externa e aguardar mais comandos. Para muitas ferramentas de proteção, esse tráfego parece atividade normal de estação de trabalho e não levanta suspeitas por si só.
Por que isso funciona
A maioria das empresas se concentra na proteção do perímetro externo. VPNs exigem MFA, aplicações web são protegidas por WAFs, e firewalls filtram rigorosamente as conexões de entrada. Mas a conexão física a uma porta interna permite contornar toda essa cadeia de controle. Historicamente, a rede com fio era percebida como um ambiente confiável. Portanto, em muitas organizações, um dispositivo conectado, após se conectar com sucesso à porta, obtém acesso a parte dos recursos internos da rede e a capacidade de interagir com outros nós de seu segmento. Para um pentester, isso geralmente é suficiente para iniciar a reconhecimento interno, estudar a infraestrutura e procurar pontos para desenvolvimento posterior do ataque. Claro, nas redes modernas, esse problema é cada vez mais resolvido com o uso de tecnologias de controle de acesso. Mecanismos NAC (Network Access Control), autenticação 802.1X, segmentação de rede e VLANs de quarentena permitem limitar as capacidades de um dispositivo desconhecido antes mesmo de obter acesso completo aos recursos corporativos. No entanto, a implementação e manutenção de tais soluções exigem tempo, orçamento e operação competente, portanto, uma rede com fio totalmente confiável ainda é um fenômeno comum.
O que impede tais ataques
A proteção mais eficaz continua sendo os mecanismos de controle de acesso à rede: Desativação de portas não utilizadas. Tomadas inoperantes devem ser rigorosamente desativadas com o comando shutdown. Port Security e segmentação de rede. Limitação do número de endereços MAC por porta e isolamento rigoroso de sub-redes de convidados e tecnológicas. 802.1X / NAC (Network Access Control). No cenário ideal, a conexão de um dispositivo desconhecido não deve resultar na emissão de um endereço IP, mas no bloqueio da porta ou na colocação do dispositivo em um segmento de quarentena isolado até a autenticação. No entanto, na prática, implementar e manter um NAC rigoroso é uma tarefa longa e cara. Portanto, uma tomada Ethernet esquecida ainda é um dos pontos de entrada mais subestimados na infraestrutura interna. Às vezes, todo o perímetro externo de uma empresa é mais bem protegido do que uma porta ativa em uma sala de reuniões.
USB, em que se confia demais: ataques da família BadUSB
Após as discussões sobre cabos e tomadas de rede, surge uma pergunta lógica: e se o atacante não precisar de uma porta Ethernet? Acontece que um conector USB comum é suficiente. Muitos usuários acreditam que um computador é capaz de determinar o que exatamente foi conectado à porta: um pendrive, um teclado ou um adaptador de rede. Na prática, tudo funciona um pouco diferente. Para entender por que o BadUSB existe, é preciso olhar por um minuto para o funcionamento do USB. Na conexão USB clássica, são usadas linhas de alimentação e linhas de transmissão de dados. Quando um novo dispositivo é conectado a um computador, o sistema não apenas fornece energia à porta, mas inicia um procedimento de inicialização. No lado do dispositivo, há um controlador USB – um pequeno chip responsável pela troca de dados com o sistema operacional. Após a conexão, o computador envia uma requisição, e o dispositivo informa sobre si mesmo: quem é, a qual classe pertence e quais funções suporta. Se o dispositivo se apresenta como um teclado, o sistema carrega o driver do teclado. Se como um armazenamento – o driver de armazenamento. Se como uma placa de rede – o driver do adaptador de rede. À primeira vista, tudo parece lógico. Mas há uma peculiaridade: o computador não pode verificar fisicamente se é realmente um teclado ou um pendrive. Ele toma a decisão com base nas informações que o próprio dispositivo relata. É nesse nível de confiança que se baseiam os ataques da família BadUSB.
Mito 5. Se um dispositivo parece um pendrive, então é um pendrive
BadUSB é um ataque em que um dispositivo se disfarça de outro dispositivo. Mais frequentemente, destacam-se várias variantes principais: BadUSB-HID – o dispositivo se apresenta como um teclado ou mouse; BadUSB-Ethernet – o dispositivo se apresenta como uma placa de rede; BadUSB-Mass Storage – o dispositivo se disfarça de um armazenamento comum. O cenário mais conhecido está associado precisamente ao teclado. Um dispositivo minúsculo, após a conexão, começa a enviar automaticamente pressionamentos de teclas como se um usuário real estivesse operando o computador. O sistema operacional considera essas ações absolutamente legítimas, porque elas vêm de um dispositivo HID confiável. É interessante notar que o fator de forma aqui praticamente não importa. Tais eletrônicos podem ser escondidos dentro de um pendrive, cabo USB, webcam, adaptador ou qualquer outro dispositivo que não cause suspeitas. Surge a pergunta lógica: por que um invasor se passaria por um teclado? O fato é que o sistema operacional tradicionalmente confia em dispositivos de entrada. Se o computador considera o dispositivo conectado como um teclado, então todos os pressionamentos de teclas serão percebidos como ações de um usuário legítimo. Na prática, isso pode ser usado para abrir automaticamente um terminal, iniciar utilitários do sistema, alterar configurações de segurança, baixar software adicional ou criar um canal de acesso remoto. Ao mesmo tempo, muitos mecanismos de proteção percebem tais ações como atividade normal do usuário, e não como um ataque. É particularmente desagradável que todo o processo leve apenas alguns segundos. O usuário pode ver apenas o breve aparecimento de uma janela de terminal ou nem mesmo notar nada, se os comandos forem executados em segundo plano. É por isso que o BadUSB é interessante não por si só, mas como uma maneira de obter rapidamente acesso inicial ao sistema, explorando a confiança embutida do sistema operacional em dispositivos USB.
Digispark
A popularidade de tais ataques foi muito além da comunidade profissional. Muitos a viram pela primeira vez na série Mr. Robot, onde um pendrive deixado para trás foi usado para obter acesso ao sistema. Apesar das licenças artísticas, a própria ideia é bastante realista: um dispositivo pode parecer um armazenamento comum e, após a conexão, de repente se revelar um teclado. É por isso que o BadUSB é considerado um dos poucos ataques de nível físico onde o sucesso muitas vezes depende não tanto da técnica, quanto da curiosidade humana.
Cena da série Mr. Robot
Mito 6. Cabo – é apenas um pedaço de fio com cobre dentro
Para a maioria das pessoas, um cabo USB comum para carregar um smartphone ou conectar um mouse é um pedaço de plástico e cobre. No máximo, o que ele pode ameaçar é um mau contato ou carregamento lento. Sem pensar, pegamos cabos de uma caixa comum na sala de reuniões, os pegamos emprestados de colegas ou usamos aqueles que já estão conectados ao computador do escritório. O surgimento de cabos da família O.MG Cable destruiu completamente essa confiança.
Anatomia do O.MG Cable: quando um microcomputador se esconde no conector
O cabo O.MG externamente, ao toque e em peso, é completamente indistinguível do cabo original branco da Apple Lightning, do USB-C proprietário de um smartphone moderno ou de um fio clássico para teclado. Ao mesmo tempo, ele mantém sua função básica – ele pode realmente carregar dispositivos e transferir arquivos na velocidade padrão USB 2.0. O segredo está dentro do próprio conector USB. Os desenvolvedores conseguiram colocar toda a eletrônica dentro de um conector USB padrão sem alterar visivelmente sua aparência. Eles reduziram os componentes de uma ferramenta de hacking completa aos tamanhos de uma cabeça de fósforo e os encapsularam diretamente no plugue de plástico. Dentro do plugue O.MG Elite estão escondidos: Um microcontrolador capaz de emular pressionamentos de teclas (HID) e realizar transferência de dados bidirecional. Memória não volátil embutida, capaz de interceptar e armazenar até 650.000 pressionamentos de teclas (relevante se o cabo for usado para conectar um teclado de escritório). Um chip sem fio completo para comunicação via Wi-Fi.
Por que isso é perigoso
O principal problema do O.MG Cable não é o próprio cabo, mas o fato de que o sistema operacional confia em dispositivos HID por padrão. Quando um usuário conecta um novo teclado, o Windows ou Linux não consideram isso um evento suspeito. No nível do protocolo USB, não há diferença para o sistema entre um pressionamento de tecla por um humano e um sinal de baixo nível gerado pelo controlador dentro do cabo. Portanto, imediatamente após a conexão, o dispositivo pode executar automaticamente uma sequência de comandos pré-preparada. Na prática, isso permite abrir o PowerShell ou terminal, alterar as configurações do sistema, baixar software adicional ou organizar acesso remoto ao computador. Mesmo que o usuário esteja operando sem privilégios administrativos, uma estação de trabalho comprometida muitas vezes se torna um ponto de partida para reconhecimento posterior dentro da rede. Um único comando bem-sucedido pode dar ao atacante muito mais oportunidades do que parece à primeira vista.
Gerenciamento via Wi-Fi
A característica mais interessante das versões modernas do O.MG Cable é o módulo Wi-Fi embutido. Após a conexão, o cabo pode criar seu próprio ponto de acesso ou se conectar a uma rede previamente conhecida. Isso permite que o operador gerencie o dispositivo remotamente e altere o cenário do ataque já após a conexão ao computador. Através da interface web, é possível carregar novos scripts, executar várias sequências de pressionamentos de teclas e alterar os parâmetros de operação do dispositivo. Ao mesmo tempo, externamente nada incomum acontece, o usuário ainda vê um cabo comum para carregar o telefone.
O.MG Cable é praticamente indistinguível de um cabo USB comum.
Como se proteger contra tais ataques
A proteção contra dispositivos BadUSB e cabos "inteligentes" é uma tarefa complexa, pois eles exploram características arquitetônicas fundamentais do barramento USB. No entanto, essas "zonas cegas" podem ser fechadas com um conjunto de medidas nos níveis físico e de software: Uso de bloqueadores USB (USB Data Blockers). No ambiente de especialistas astutos, tais adaptadores são frequentemente chamados de "preservativos USB". Dentro deles, as linhas de transmissão de dados estão fisicamente ausentes, e apenas as linhas de alimentação são deixadas. Se um funcionário precisar carregar um smartphone de um computador de trabalho, ele deve fazê-lo apenas através de um bloqueador semelhante. Nesse caso, o dispositivo poderá receber energia, mas não poderá trocar dados com o computador. Controle de software de dispositivos HID. Existem soluções de software especializadas (por exemplo, da classe USBGuard ou sistemas EDR avançados) que sabem como bloquear a conexão automática de novos teclados. Ao detectar um novo dispositivo HID, o sistema exige confirmação do usuário (por exemplo, inserir um código numérico aleatório do próprio teclado). Um script BadUSB automático não conseguirá fazer isso "às cegas", e o ataque falhará. Proibição da inicialização de drivers não utilizados. Nas políticas corporativas (GPO), a instalação de drivers para certas classes de dispositivos pode ser estritamente limitada. Se os funcionários não precisarem de adaptadores de rede externos, o sistema operacional deve ser impedido de executar drivers para RNDIS (RNDIS – Remote Network Driver Interface Specification) / Ethernet-over-USB. Higiene física e marcação de periféricos. A regra básica permanece a mesma: não use unidades encontradas, cabos desconhecidos e dispositivos USB de terceiros. Em organizações com requisitos de segurança elevados, periféricos legítimos são adicionalmente marcados com etiquetas ou termo retrátil. Isso permite detectar rapidamente a substituição de equipamentos no local de trabalho ou na sala de reuniões.
O surgimento de plataformas acessíveis como Digispark, Rubber Ducky e O.MG Cable mostrou o quão condicional se tornou a fronteira entre um dispositivo periférico e uma ferramenta de ataque completa. Hoje, não é suficiente confiar em um dispositivo apenas porque ele se parece com um pendrive, teclado ou cabo comum. Conclusão
Estamos acostumados a ver a segurança através da lente de aplicativos, sistemas operacionais e protocolos de rede. Mas qualquer um dos exemplos considerados mostra a mesma regularidade: quanto mais baixo o nível do ataque, menos ferramentas de proteção restam para o defensor. TAP passivo é invisível para IDS. Network Dropbox permite que o atacante esteja dentro do perímetro de rede. BadUSB explora cinicamente a confiança inata do sistema operacional em periféricos. O.MG Cable se disfarça de um objeto que a maioria das pessoas nem percebe como um dispositivo computacional. Todas essas são técnicas diferentes, mas todas têm uma coisa em comum – elas não começam com vulnerabilidades de software, mas com acesso físico à infraestrutura. Parte das técnicas descritas foi vista pela primeira vez não em projetos reais, mas em competições de NTO em segurança da informação. Tarefas de crimpagem de par trançado, MITM físico via pares RX/TX e trabalho com infraestrutura de rede mostram bem que o nível físico não é uma abstração de um livro de redes, mas uma superfície de ataque bastante real que ainda é encontrada tanto em CTFs quanto em auditorias de segurança corporativas. É por isso que o nível físico do modelo OSI permanece o alicerce de todo o sistema de segurança. Enquanto o invasor não puder tocar no equipamento, os outros níveis de proteção têm uma chance real de funcionar. Quando tal acesso aparece, muitos mecanismos de controle habituais deixam de ser um obstáculo intransponível e se transformam apenas em uma linha de defesa adicional. Talvez a principal conclusão aqui nem seja técnica. Um cabo, uma tomada, um teclado ou um cabo USB parecem objetos muito simples para serem percebidos como um vetor de ameaça. Mas a prática mostra o contrário: às vezes, o caminho mais difícil para o sistema começa com as coisas mais comuns. E é por isso que, ao construir a defesa, é útil lembrar: a segurança da rede começa não com o endereço IP, mas com o acesso físico à infraestrutura. Obrigado pela atenção! Este é meu primeiro artigo no Habr e, ao mesmo tempo, a primeira parte de um ciclo em que planejo analisar o modelo OSI sob a ótica do atacante – do nível físico aos protocolos de aplicação e técnicas modernas de exploração. Também comecei a manter um blog no Telegram, onde publicarei materiais adicionais sobre pentest, CTF, segurança de rede e preparação para competições de segurança da informação. O pool social ainda está em desenvolvimento, mas se o tema lhe interessa – ficarei feliz com sua assinatura e feedback.
