Skip to topic | Skip to bottom
www.postcogito.org
          ...sine propero notiones
Kiko
Você está aqui: Kiko > PostsEmPortugues > PtBrBlogEntry2007Mar15A Imprimível | fim do tópico


Start of topic | Skip to actions
English Version

Clone em Inglês da Tese de Evandro

Rec 15-mar-2007 08:30

Surfando pela Internet afora, ontem achei uma tese de mestrado chamada "An evaluation of network based sniffer detection; Sentinel", de Daniel Susid. É quase uma versão em inglês da tese de mestrado do Evandro Hora: as duas tratam do mesmo tema, a saber, detecção remota de sniffers. A despeito de usarem metodologias bem distintas e o estilo de redação ser drasticamente diferente, as conclusões são as mesmas: ferramentas de detecção de sniffers não funcionam.

Mas Evandro veio primeiro: a tese dele é de 1999, mas foi escrita em português e nem faço idéia se está disponível na Internet em algum lugar -- o que é fácil de achar é uma versão ultra-condensada dela na forma de um artigo publicado no SSI'2001.

Já a tese do Susid é de 2004, mas, tendo sido escrita em inglês, fica acessível a uma audiência muito maior. Achei particularmente interessante a instiuição: Departamento de Informática da Escola de Economia e Direito Comercial da Universidade Göteborg. Soa-me como lugar inusitado para uma tese de mestrado em segurança da informação.

A história da tese de Evandro é recheada de causos interessantes. A defesa da tese, na qual estive presente, foi um espetáculo bizarro. Evandro foi duramente questionado pelo "membro de fora" da banca, o Prof. Paulo Lício. Para os que conhecem Evandro e sua famosa presença de espírito pessoalmente, foi chocante vê-lo gaguejando ao tentar retrucar.

Terminada a defesa, recobrado do impacto e já com o título de mestre, ele disparou:

-- "Kiko, agora eu sei por que chamam isso de defesa de tese."
-- "Por que, Evandro?", perguntei, franzindo as sobrancelhas
-- "Porque eles atacam!"

Eu até pude concordar com algumas das críticas relativas à forma, metodologia e/ou redação. Mas foi nesse dia que eu vi como a academia é distante da realidade: o Prof. Paulo Lício afirmou que um sniffer seria inútil em uma rede Ethernet comutada por switches, pois estes últimos só enviariam os pacotes para as máquinas de origem e destino, tirando a oportunidade do interceptador que estivesse conectado em outra porta do switch. A verdade não poderia ser mais longe disso: em redes IP sob Ethernet, há um ataque clássico chamado ARP spoofing que permite, sob condições bem gerais, convencer as máquinas a enviarem seus pacotes para um interceptador, independente do que o switch faça ou deixe de fazer.

À época, eu fiquei chocado como um Doutor pudesse dizer uma bobagem dessas. Fiquei remoendo. Refletindo melhor vi que, no sentido estritamente lógico, ele não estava de todo errado. De fato, ele recitou o que a teoria ensina, mas teve fé demais nela. Ignorou um detalhe da prática: o fato que o switch não existe estanque no Universo, mas que sobre ele se apóia a camada de transporte -- o protoclo IP. E, especificamente, que há um protocolo de adaptação entre essas duas camadas: o protocolo ARP. Ele é o ponto vulnerável.

Mas, longe de mim atirar a primeira pedra: apesar de um esforço consciente em tentar evitá-lo, eu posso facilmente me lembrar de várias ocasiões onde falei bobagem por opinar sobre o que não entendia direito, ou por não considerar a questão em um contexto mais amplo, ou por pura impulsividade.

Esse incidente foi uma dentre várias inspirações para que, anos depois, eu e o Prof. João Gondim, da UNB, escrevêssemos um artigo científico sobre como detectar ataques de ARP spoofing em redes Ethernet comutadas por switches (veja também essa versão estendida). Nele, descrevemos o ataque de ARP spoofing nos mínimos detalhes e relatamos experiências no uso de algumas ferramentas de ataque. Esse artigo foi o ganhador do prêmio de Melhor Artigo no SSI de 2003 -- e o presidente do comitê que selecionou o melhor artigo foi o Prof. Paulo Lício.

Enfim: apesar de pouco difundida, a tese de Evandro teve conseqüências interessantes -- e anos antes do seu clone em inglês.
topo


Você está aqui: Kiko > PostsEmPortugues > PtBrBlogEntry2007Mar15A

topo

Creative Commons License   O conteúdo deste site está disponibilizado nos termos de uma Licença Creative Commons, exceto onde dito em contrário.
  The content of this site is made available under the terms of a Creative Commons License, except where otherwise noted.