Cybersecurity Introdução a Cibersegurança

Prévia do material em texto

Capitulo 1
Confidencialidade, integridade e disponibilidade, conhecidas como a tríade CIA (Figura 1), são uma diretriz de segurança da informação para uma organização. A confidencialidade garante a privacidade dos dados, restringindo o acesso por meio de criptografia de autenticação. A integridade garante que as informações sejam precisas e confiáveis. A disponibilidade garante que as informações sejam acessíveis a pessoas autorizadas.
Confidencialidade
Outro termo para confidencialidade seria privacidade. As políticas da empresa devem restringir o acesso às informações a pessoal autorizado e garantir que apenas os indivíduos autorizados vejam esses dados. Os dados podem ser compartimentados de acordo com o nível de segurança ou sensibilidade das informações. Por exemplo, um desenvolvedor de programa Java não deve ter acesso às informações pessoais de todos os funcionários. Além disso, os funcionários devem receber treinamento para compreender as melhores práticas na proteção de informações confidenciais para proteger a si próprios e à empresa de ataques. Os métodos para garantir a confidencialidade incluem criptografia de dados, nome de usuário e senha, autenticação de dois fatores e minimização da exposição de informações confidenciais.
Integridade
Integridade é precisão, consistência e confiabilidade dos dados durante todo o seu ciclo de vida. Os dados devem permanecer inalterados durante o trânsito e não devem ser alterados por entidades não autorizadas. As permissões de arquivo e o controle de acesso do usuário podem impedir o acesso não autorizado. O controle de versão pode ser usado para evitar alterações acidentais por usuários autorizados. Os backups devem estar disponíveis para restaurar quaisquer dados corrompidos e o hashing da soma de verificação pode ser usado para verificar a integridade dos dados durante a transferência.
Uma soma de verificação é usada para verificar a integridade dos arquivos, ou cadeias de caracteres, depois de serem transferidos de um dispositivo para outro em sua rede local ou na Internet. Os checksums são calculados com funções hash. Algumas das somas de verificação comuns são MD5, SHA-1, SHA-256 e SHA-512. Uma função hash usa um algoritmo matemático para transformar os dados em um valor de comprimento fixo que representa os dados, conforme mostrado na Figura 2. O valor hash está simplesmente lá para comparação. A partir do valor hash, os dados originais não podem ser recuperados diretamente. Por exemplo, se você esqueceu sua senha, sua senha não pode ser recuperada do valor hash. A senha deve ser redefinida.
Depois que um arquivo é baixado, você pode verificar sua integridade verificando os valores de hash da fonte com aquele que você gerou usando qualquer calculadora de hash. Ao comparar os valores de hash, você pode garantir que o arquivo não foi adulterado ou corrompido durante a transferência.
Disponibilidade
A manutenção de equipamentos, a realização de reparos de hardware, a atualização dos sistemas operacionais e softwares e a criação de backups garantem a disponibilidade da rede e dos dados aos usuários autorizados. Devem existir planos para se recuperar rapidamente de desastres naturais ou causados ​​pelo homem. Equipamentos ou softwares de segurança, como firewalls, protegem contra o tempo de inatividade devido a ataques como negação de serviço (DoS). A negação de serviço ocorre quando um invasor tenta sobrecarregar os recursos para que os serviços não fiquem disponíveis para os usuários.
http://www.slavasoft.com/download.htm
Gerenciador de senhas LastPass
Security breach
LastPass, Vtech ,Equifax
Tipos de invasores
Os atacantes são indivíduos ou grupos que tentam explorar a vulnerabilidade para obter ganhos pessoais ou financeiros. Os invasores estão interessados ​​em tudo, desde cartões de crédito até projetos de produtos e qualquer coisa com valor.
Amadores - às vezes são chamados de Script Kiddies. Eles geralmente são atacantes com pouca ou nenhuma habilidade, geralmente usando ferramentas existentes ou instruções encontradas na Internet para lançar ataques. Alguns deles estão apenas curiosos, enquanto outros estão tentando demonstrar suas habilidades e causar danos. Eles podem estar usando ferramentas básicas, mas os resultados ainda podem ser devastadores.
Hackers- Este grupo de invasores invade computadores ou redes para obter acesso. Dependendo da intenção da invasão, esses invasores são classificados como chapéus brancos, cinza ou pretos. Os invasores de chapéu branco invadem redes ou sistemas de computador para descobrir pontos fracos, de modo que a segurança desses sistemas possa ser aprimorada. Essas invasões são feitas com permissão prévia e todos os resultados são informados ao proprietário. Por outro lado, os atacantes de chapéu preto se aproveitam de qualquer vulnerabilidade para obter ganhos pessoais, financeiros ou políticos ilegais. Os atacantes de chapéu cinza estão em algum lugar entre atacantes de chapéu branco e preto. Os atacantes de chapéu cinza podem encontrar uma vulnerabilidade em um sistema. Hackers de chapéu cinza podem relatar a vulnerabilidade aos proprietários do sistema se essa ação coincidir com sua agenda.
A figura fornece detalhes sobre os termos hacker de chapéu branco, hacker de chapéu preto e hacker de chapéu cinza.
Hackers organizados - esses hackers incluem organizações de cibercriminosos, hacktivistas, terroristas e hackers patrocinados pelo Estado. Os cibercriminosos geralmente são grupos de criminosos profissionais focados em controle, poder e riqueza. Os criminosos são altamente sofisticados e organizados e podem até fornecer o crime cibernético como um serviço a outros criminosos. Hacktivistas fazem declarações políticas para criar consciência sobre questões que são importantes para eles. Atacantes patrocinados pelo estado coletam informações ou cometem sabotagem em nome de seu governo. Esses invasores geralmente são altamente treinados e bem financiados, e seus ataques são focados em objetivos específicos que são benéficos para o governo.
Ameaças internas e externas
Ameaças de segurança interna
Os ataques podem ser originados de dentro ou de fora da organização, conforme mostrado na figura. Um usuário interno, como um funcionário ou parceiro contratual, pode acidentalmente ou intencionalmente:
· Manuseie incorretamente dados confidenciais
· Ameaçam as operações de servidores internos ou dispositivos de infraestrutura de rede
· Facilite ataques externos conectando uma mídia USB infectada ao sistema de computador corporativo
· Convide malware acidentalmente para a rede por meio de e-mail ou sites maliciosos
As ameaças internas também têm o potencial de causar maiores danos do que as ameaças externas, porque os usuários internos têm acesso direto ao prédio e seus dispositivos de infraestrutura. Os funcionários também têm conhecimento da rede corporativa, seus recursos e seus dados confidenciais, bem como diferentes níveis de privilégios de usuário ou administrativos.
Ameaças externas de segurança
Ameaças externas de amadores ou invasores qualificados podem explorar vulnerabilidades em dispositivos de rede ou computação, ou usar a engenharia social para obter acesso.
 que é Cyberwarfare?
O ciberespaço se tornou outra dimensão importante da guerra, onde as nações podem travar conflitos sem os confrontos de tropas e máquinas tradicionais. Isso permite que os países com presença militar mínima sejam tão fortes quanto outras nações no ciberespaço. Cyberwarfare é um conflito baseado na Internet que envolve a penetração de sistemas de computador e redes de outras nações. Esses invasores têm recursos e experiência para lançar ataques massivos com base na Internet contra outras nações para causar danos ou interromper serviços, como desligar uma rede elétrica.
Um exemplo de ataque patrocinado pelo estado envolveu o malware Stuxnet, projetado para danificar a usina de enriquecimento nuclear do Irã. O malware Stuxnet não sequestra os computadores direcionados para roubar informações. Ele foi projetado para danificarequipamentos físicos controlados por computadores. Ele usava codificação modular programada para executar uma tarefa específica dentro do malware. Ele usou certificados digitais roubados para que o ataque parecesse legítimo para o sistema. Clique em Reproduzir para ver um vídeo sobre o Stuxnet.
Clique aqui para ler a transcrição deste vídeo.
Clique aqui para ver outro vídeo para saber mais sobre o Stuxnet.
Capitulo 2
Encontrando vulnerabilidades de segurança
Vulnerabilidades de segurança são qualquer tipo de defeito de software ou hardware. Depois de obter conhecimento de uma vulnerabilidade, usuários mal-intencionados tentam explorá-la. Um exploit é o termo usado para descrever um programa escrito para tirar vantagem de uma vulnerabilidade conhecida. O ato de usar uma exploração contra uma vulnerabilidade é conhecido como ataque. O objetivo do ataque é obter acesso a um sistema, aos dados que ele hospeda ou a um recurso específico.
Vulnerabilidades de software
Vulnerabilidades de software geralmente são introduzidas por erros no sistema operacional ou no código do aplicativo, apesar de todo o esforço que as empresas fazem para encontrar e corrigir vulnerabilidades de software, é comum que novas vulnerabilidades apareçam. Microsoft, Apple e outros produtores de sistemas operacionais lançam patches e atualizações quase todos os dias. As atualizações de aplicativos também são comuns. Aplicativos como navegadores da web, aplicativos móveis e servidores da web são frequentemente atualizados pelas empresas ou organizações responsáveis ​​por eles.
Em 2015, uma grande vulnerabilidade, chamada SYNful Knock, foi descoberta no Cisco IOS. Essa vulnerabilidade permitiu que os invasores obtivessem o controle de roteadores de nível empresarial, como os roteadores legados Cisco 1841, 2811 e 3825. Os invasores poderiam monitorar toda a comunicação da rede e infectar outros dispositivos da rede. Esta vulnerabilidade foi introduzida no sistema quando uma versão alterada do IOS foi instalada nos roteadores. Para evitar isso, sempre verifique a integridade da imagem do IOS baixada e limite o acesso físico do equipamento apenas a pessoal autorizado.
O objetivo das atualizações de software é se manter atualizado e evitar a exploração de vulnerabilidades. Embora algumas empresas tenham equipes de teste de penetração dedicadas a pesquisar, encontrar e corrigir vulnerabilidades de software antes que possam ser exploradas, os pesquisadores de segurança terceirizados também se especializam em encontrar vulnerabilidades em software.
O Projeto Zero do Google é um ótimo exemplo dessa prática. Depois de descobrir uma série de vulnerabilidades em vários softwares usados ​​por usuários finais, o Google formou uma equipe permanente dedicada a encontrar vulnerabilidades de software. A Pesquisa de segurança do Google pode ser encontrada aqui .
Vulnerabilidades de hardware
As vulnerabilidades de hardware são frequentemente introduzidas por falhas de design de hardware. A memória RAM, por exemplo, consiste essencialmente em condensadores instalados muito próximos uns dos outros. Foi descoberto que, devido à proximidade, mudanças constantes aplicadas a um desses capacitores poderiam influenciar os capacitores vizinhos. Com base nessa falha de design, um exploit chamado Rowhammer foi criado. Ao reescrever repetidamente a memória nos mesmos endereços, o exploit Rowhammer permite que os dados sejam recuperados de células de memória de endereço próximas, mesmo se as células estiverem protegidas.
Vulnerabilidades de hardware são específicas para modelos de dispositivo e geralmente não são exploradas por meio de tentativas de comprometimento aleatório. Embora as explorações de hardware sejam mais comuns em ataques altamente direcionados, a proteção contra malware tradicional e a segurança física são proteção suficiente para o usuário comum.
Categorizing Security Vulnerabilities
Most software security vulnerabilities fall into one of the following categories:
Buffer overflow – This vulnerability occurs when data is written beyond the limits of a buffer. Buffers are memory areas allocated to an application. By changing data beyond the boundaries of a buffer, the application accesses memory allocated to other processes. This can lead to a system crash, data compromise, or provide escalation of privileges.
Non-validated input – Programs often work with data input. This data coming into the program could have malicious content, designed to force the program to behave in an unintended way. Consider a program that receives an image for processing. A malicious user could craft an image file with invalid image dimensions. The maliciously crafted dimensions could force the program to allocate buffers of incorrect and unexpected sizes.
Race conditions – This vulnerability is when the output of an event depends on ordered or timed outputs. A race condition becomes a source of vulnerability when the required ordered or timed events do not occur in the correct order or proper timing.
Weaknesses in security practices – Systems and sensitive data can be protected through techniques such as authentication, authorization, and encryption. Developers should not attempt to create their own security algorithms because it will likely introduce vulnerabilities. It is strongly advised that developers use security libraries that have already created, tested, and verified.
Access-control problems – Access control is the process of controlling who does what and ranges from managing physical access to equipment to dictating who has access to a resource, such as a file, and what they can do with it, such as read or change the file. Many security vulnerabilities are created by the improper use of access controls.
Nearly all access controls and security practices can be overcome if the attacker has physical access to target equipment. For example, no matter what you set a file’s permissions to, the operating system cannot prevent someone from bypassing the operating system and reading the data directly off the disk. To protect the machine and the data it contains, physical access must be restricted and encryption techniques must be used to protect data from being stolen or corrupted.
A maioria das vulnerabilidades de segurança de software se enquadra em uma das seguintes categorias:
Estouro de buffer - Esta vulnerabilidade ocorre quando os dados são gravados além dos limites de um buffer. Buffers são áreas de memória alocadas para um aplicativo. Ao alterar os dados além dos limites de um buffer, o aplicativo acessa a memória alocada para outros processos. Isso pode levar a uma falha do sistema, comprometimento de dados ou fornecer escalonamento de privilégios.
Entrada não validada - os programas geralmente funcionam com entrada de dados. Esses dados que chegam ao programa podem ter conteúdo malicioso, projetado para forçar o programa a se comportar de maneira indesejada. Considere um programa que recebe uma imagem para processamento. Um usuário malicioso pode criar um arquivo de imagem com dimensões de imagem inválidas. As dimensões criadas com códigos maliciosos podem forçar o programa a alocar buffers de tamanhos incorretos e inesperados.
Condições de corrida - Esta vulnerabilidade ocorre quando a saída de um evento depende de saídas ordenadas ou cronometradas. Uma condição de corrida torna-se uma fonte de vulnerabilidade quando os eventos solicitados ou cronometrados não ocorrem na ordem correta ou no tempo adequado.
Pontos fracos nas práticas de segurança - sistemas e dados confidenciais podem ser protegidos por meio de técnicas como autenticação, autorização e criptografia. Os desenvolvedores não devem tentar criar seus próprios algoritmos de segurança porque isso provavelmente introduzirá vulnerabilidades. É altamente recomendável que os desenvolvedores usem bibliotecas de segurança que já foram criadas, testadas e verificadas.
Problemas de controle de acesso - o controle de acesso é o processo de controlar quem faz o quê e vai desde o gerenciamento do acesso físicoao equipamento até ditar quem tem acesso a um recurso, como um arquivo, e o que pode ser feito com ele, como ler ou alterar o arquivo. Muitas vulnerabilidades de segurança são criadas pelo uso impróprio de controles de acesso.
Quase todos os controles de acesso e práticas de segurança podem ser superados se o invasor tiver acesso físico ao equipamento alvo. Por exemplo, independentemente de como você definir as permissões de um arquivo, o sistema operacional não pode impedir que alguém ignore o sistema operacional e leia os dados diretamente do disco. Para proteger a máquina e os dados que ela contém, o acesso físico deve ser restrito e técnicas de criptografia devem ser usadas para proteger os dados de roubos ou corrompidos.
Types of Malware
Short for Malicious Software, malware is any code that can be used to steal data, bypass access controls, or cause harm to, or compromise a system. Below are a few common types of malware:
Spyware – This malware is design to track and spy on the user. Spyware often includes activity trackers, keystroke collection, and data capture. In an attempt to overcome security measures, spyware often modifies security settings. Spyware often bundles itself with legitimate software or with Trojan horses.
Adware – Advertising supported software is designed to automatically deliver advertisements. Adware is often installed with some versions of software. Some adware is designed to only deliver advertisements but it is also common for adware to come with spyware.
Bot – From the word robot, a bot is malware designed to automatically perform action, usually online. While most bots are harmless, one increasing use of malicious bots are botnets. Several computers are infected with bots which are programmed to quietly wait for commands provided by the attacker.
Ransomware – This malware is designed to hold a computer system or the data it contains captive until a payment is made. Ransomware usually works by encrypting data in the computer with a key unknown to the user. Some other versions of ransomware can take advantage of specific system vulnerabilities to lock down the system. Ransomware is spread by a downloaded file or some software vulnerability.
Scareware – This is a type of malware designed to persuade the user to take a specific action based on fear. Scareware forges pop-up windows that resemble operating system dialogue windows. These windows convey forged messages stating the system is at risk or needs the execution of a specific program to return to normal operation. In reality, no problems were assessed or detected and if the user agrees and clears the mentioned program to execute, his or her system will be infected with malware.
Rootkit – This malware is designed to modify the operating system to create a backdoor. Attackers then use the backdoor to access the computer remotely. Most rootkits take advantage of software vulnerabilities to perform privilege escalation and modify system files. It is also common for rootkits to modify system forensics and monitoring tools, making them very hard to detect. Often, a computer infected by a rootkit must be wiped and reinstalled.
Virus - A virus is malicious executable code that is attached to other executable files, often legitimate programs. Most viruses require end-user activation and can activate at a specific time or date. Viruses can be harmless and simply display a picture or they can be destructive, such as those that modify or delete data. Viruses can also be programmed to mutate to avoid detection. Most viruses are now spread by USB drives, optical disks, network shares, or email.
Trojan horse - A Trojan horse is malware that carries out malicious operations under the guise of a desired operation. This malicious code exploits the privileges of the user that runs it. Often, Trojans are found in image files, audio files or games. A Trojan horse differs from a virus because it binds itself to non-executable files.
Worms – Worms are malicious code that replicate themselves by independently exploiting vulnerabilities in networks. Worms usually slow down networks. Whereas a virus requires a host program to run, worms can run by themselves. Other than the initial infection, they no longer require user participation. After a host is infected, the worm is able to spread very quickly over the network. Worms share similar patterns. They all have an enabling vulnerability, a way to propagate themselves, and they all contain a payload.
Worms are responsible for some of the most devastating attacks on the Internet. As shown in Figure 1, in 2001 the Code Red worm had infected 658 servers. Within 19 hours, the worm had infected over 300,000 servers as shown in Figure 2.
Man-In-The-Middle (MitM) – MitM allows the attacker to take control over a device without the user’s knowledge. With that level of access, the attacker can intercept and capture user information before relaying it to its intended destination. MitM attacks are widely used to steal financial information. Many malware and techniques exist to provide attackers with MitM capabilities.
Man-In-The-Mobile (MitMo) – A variation of man-in-middle, MitMo is a type of attack used to take control over a mobile device. When infected, the mobile device can be instructed to exfiltrate user-sensitive information and send it to the attackers. ZeuS, an example of an exploit with MitMo capabilities, allows attackers quietly to capture 2-step verification SMS messages sent to users.
Abreviação de software malicioso, malware é qualquer código que pode ser usado para roubar dados, contornar controles de acesso ou causar danos ou comprometer um sistema. Abaixo estão alguns tipos comuns de malware:
Spyware - Este malware foi desenvolvido para rastrear e espionar o usuário. O spyware geralmente inclui rastreadores de atividades, coleta de teclas digitadas e captura de dados. Na tentativa de superar as medidas de segurança, o spyware freqüentemente modifica as configurações de segurança. O spyware geralmente se agrupa com software legítimo ou cavalos de Tróia.
Adware - o software com suporte de publicidade é projetado para fornecer anúncios automaticamente. O adware geralmente é instalado com algumas versões de software. Alguns adware são projetados apenas para fornecer anúncios, mas também é comum que o adware venha com spyware.
Bot - Da palavra robô, um bot é um malware projetado para executar ações automaticamente, geralmente online. Embora a maioria dos bots seja inofensiva, um uso crescente de bots maliciosos são os botnets. Vários computadores estão infectados com bots programados para aguardar silenciosamente os comandos fornecidos pelo invasor.
Ransomware - Este malware é projetado para manter um sistema de computador ou os dados que ele contém cativos até que o pagamento seja feito. O ransomware geralmente funciona criptografando dados no computador com uma chave desconhecida do usuário. Algumas outras versões de ransomware podem tirar proveito de vulnerabilidades específicas do sistema para bloquear o sistema. O ransomware é espalhado por um arquivo baixado ou alguma vulnerabilidade de software.
Scareware - é um tipo de malware projetado para persuadir o usuário a realizar uma ação específica com base no medo. Scareware cria janelas pop-up que lembram janelas de diálogo do sistema operacional. Essas janelas transmitem mensagens falsas informando que o sistema está em risco ou precisa da execução de um programa específico para retornar à operação normal. Na realidade, nenhum problema foi avaliado ou detectado e se o usuário concordar e liberar o programa mencionado para execução, seu sistema será infectado com malware.
Rootkit - este malware é projetado para modificar o sistema operacional para criar um backdoor. Em seguida, os invasores usam a porta dos fundos para acessar o computador remotamente. A maioria dos rootkits aproveita as vulnerabilidades do software para realizar o escalonamento de privilégios e modificar os arquivos do sistema. Também é comum que os rootkits modifiquema análise forense do sistema e as ferramentas de monitoramento, tornando-os muito difíceis de detectar. Freqüentemente, um computador infectado por um rootkit deve ser apagado e reinstalado.
Vírus - um vírus é um código executável malicioso anexado a outros arquivos executáveis, geralmente programas legítimos. A maioria dos vírus requer ativação do usuário final e pode ser ativada em uma hora ou data específica. Os vírus podem ser inofensivos e simplesmente exibir uma imagem ou podem ser destrutivos, como aqueles que modificam ou excluem dados. Os vírus também podem ser programados para sofrer mutação para evitar a detecção. A maioria dos vírus agora se espalha por unidades USB, discos ópticos, compartilhamentos de rede ou e-mail.
Cavalo de Tróia - um cavalo de Tróia é um malware que realiza operações maliciosas sob o disfarce de uma operação desejada. Este código malicioso explora os privilégios do usuário que o executa. Freqüentemente, os Trojans são encontrados em arquivos de imagem, arquivos de áudio ou jogos. Um cavalo de Tróia difere de um vírus porque se liga a arquivos não executáveis.
Worms - Worms são códigos maliciosos que se replicam explorando vulnerabilidades de forma independente nas redes. Os worms geralmente tornam as redes mais lentas. Enquanto um vírus requer um programa host para ser executado, os worms podem ser executados por si próprios. Além da infecção inicial, eles não exigem mais a participação do usuário. Depois que um host é infectado, o worm é capaz de se espalhar muito rapidamente pela rede. Worms compartilham padrões semelhantes. Todos eles têm uma vulnerabilidade habilitadora, uma maneira de se propagar, e todos eles contêm uma carga útil.
Os worms são responsáveis ​​por alguns dos ataques mais devastadores na Internet. Conforme mostrado na Figura 1, em 2001, o worm Code Red infectou 658 servidores. Em 19 horas, o worm infectou mais de 300.000 servidores, conforme mostrado na Figura 2.
Man-In-The-Middle (MitM) - O MitM permite que o invasor assuma o controle de um dispositivo sem o conhecimento do usuário. Com esse nível de acesso, o invasor pode interceptar e capturar informações do usuário antes de retransmiti-las ao destino pretendido. Ataques MitM são amplamente usados ​​para roubar informações financeiras. Existem muitos malware e técnicas para fornecer aos atacantes recursos MitM.
Man-In-The-Mobile (MitMo) - uma variação do man-in-middle, MitMo é um tipo de ataque usado para assumir o controle de um dispositivo móvel. Quando infectado, o dispositivo móvel pode ser instruído a exfiltrar informações confidenciais do usuário e enviá-las aos invasores. O ZeuS, um exemplo de exploração com recursos MitMo, permite que os invasores capturem discretamente as mensagens SMS de verificação em duas etapas enviadas aos usuários.
Social Engineering
Social engineering is an access attack that attempts to manipulate individuals into performing actions or divulging confidential information. Social engineers often rely on people’s willingness to be helpful but also prey on people’s weaknesses. For example, an attacker could call an authorized employee with an urgent problem that requires immediate network access. The attacker could appeal to the employee’s vanity, invoke authority using name-dropping techniques, or appeal to the employee’s greed.
These are some types of social engineering attacks:
· Pretexting - This is when an attacker calls an individual and lies to them in an attempt to gain access to privileged data. An example involves an attacker who pretends to need personal or financial data in order to confirm the identity of the recipient.
· Tailgating - This is when an attacker quickly follows an authorized person into a secure location.
· Something for Something (Quid pro quo) - This is when an attacker requests personal information from a party in exchange for something, like a free gift.
A engenharia social é um ataque de acesso que tenta manipular os indivíduos para que realizem ações ou divulguem informações confidenciais. Os engenheiros sociais geralmente confiam na disposição das pessoas de serem úteis, mas também se aproveitam das fraquezas das pessoas. Por exemplo, um invasor pode ligar para um funcionário autorizado com um problema urgente que requer acesso imediato à rede. O invasor pode apelar para a vaidade do funcionário, invocar autoridade usando técnicas de mudança de nome ou apelar para a ganância do funcionário.
Estes são alguns tipos de ataques de engenharia social:
· Pretexting - ocorre quando um invasor liga para um indivíduo e mente para ele na tentativa de obter acesso a dados privilegiados. Um exemplo envolve um invasor que finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário.
· Tailgating - quando um invasor segue rapidamente uma pessoa autorizada para um local seguro.
· Algo por algo (Quid pro quo) - É quando um invasor solicita informações pessoais de uma parte em troca de algo, como um presente gratuito.
Wi-Fi Password Cracking
Wi-Fi password cracking is the process of discovering the password used to protect a wireless network. These are some techniques used in password cracking:
Social engineering – The attacker manipulates a person who knows the password into providing it.
Brute-force attacks – The attacker tries several possible passwords in an attempt to guess the password. If the password is a 4-digit number, for example, the attacker would have to try every one of the 10000 combinations. Brute-force attacks usually involve a word-list file. This is a text file containing a list of words taken from a dictionary. A program then tries each word and common combinations. Because brute-force attacks take time, complex passwords take much longer to guess. A few password brute-force tools include Ophcrack, L0phtCrack, THC Hydra, RainbowCrack, and Medusa.
Network sniffing – By listening and capturing packets sent on the network, an attacker may be able to discover the password if the password is being sent unencrypted (in plain text). If the password is encrypted, the attacker may still be able to reveal it by using a password cracking tool.
A quebra de senha de Wi-Fi é o processo de descobrir a senha usada para proteger uma rede sem fio. Estas são algumas técnicas usadas na quebra de senha:
Engenharia social - o invasor manipula uma pessoa que conhece a senha para fornecê-la.
Ataques de força bruta - o invasor tenta várias senhas possíveis na tentativa de adivinhá-las. Se a senha for um número de 4 dígitos, por exemplo, o invasor terá que tentar cada uma das 10.000 combinações. Ataques de força bruta geralmente envolvem um arquivo de lista de palavras. Este é um arquivo de texto contendo uma lista de palavras tirada de um dicionário. Um programa então tenta cada palavra e combinações comuns. Como os ataques de força bruta demoram, senhas complexas demoram muito mais para serem adivinhadas. Algumas ferramentas de força bruta de senha incluem Ophcrack, L0phtCrack, THC Hydra, RainbowCrack e Medusa.
Farejamento de rede - Ao ouvir e capturar pacotes enviados na rede, um invasor pode descobrir a senha se ela estiver sendo enviada sem criptografia (em texto simples). Se a senha estiver criptografada, o invasor ainda poderá revelá-la usando uma ferramenta de quebra de senha.
Phishing
Phishing is when a malicious party sends a fraudulent email disguised as being from a legitimate, trusted source. The message intent is to trick the recipient into installing malware on their device, or into sharing personal or financial information. An example of phishing is an email forged to look like it was sent by a retail store asking the user to click a link to claim a prize. The link may go to a fake site asking for personal information, or it may install a virus.
Spear phishing is a highly targeted phishing attack. While phishing and spear phishing both use emails to reach the victims, spear phishing emails are customized to a specific person. The attacker researches the target’s interests before sending the email.For example, an attacker learns the target is interested in cars, and has been looking to buy a specific model of car. The attacker joins the same car discussion forum where the target is a member, forges a car sale offering and sends email to the target. The email contains a link for pictures of the car. When the target clicks on the link, malware is installed on the target’s computer.
Phishing é quando uma parte mal-intencionada envia um e-mail fraudulento disfarçado como sendo de uma fonte legítima e confiável. A intenção da mensagem é enganar o destinatário para que instale malware em seu dispositivo ou compartilhe informações pessoais ou financeiras. Um exemplo de phishing é um e-mail forjado para parecer que foi enviado por uma loja de varejo pedindo ao usuário para clicar em um link para reivindicar um prêmio. O link pode levar a um site falso solicitando informações pessoais ou pode instalar um vírus.
Spear phishing é um ataque de phishing altamente direcionado. Enquanto o phishing e o spear phishing usam e-mails para chegar às vítimas, os e-mails do spear phishing são personalizados para uma pessoa específica. O invasor pesquisa os interesses do alvo antes de enviar o e-mail. Por exemplo, um invasor descobre que o alvo está interessado em carros e está procurando comprar um modelo específico de carro. O invasor entra no mesmo fórum de discussão de carros em que o alvo é um membro, forja uma oferta de venda de carros e envia um e-mail ao alvo. O e-mail contém um link para fotos do carro. Quando o alvo clica no link, o malware é instalado no computador do alvo.
Exploração de vulnerabilidade
Explorar vulnerabilidades é outro método comum de infiltração. Os invasores farão a varredura dos computadores para obter informações sobre eles. Abaixo está um método comum para explorar vulnerabilidades:
Etapa 1 . Reúna informações sobre o sistema de destino. Isso pode ser feito de muitas maneiras diferentes, como um scanner de porta ou engenharia social. O objetivo é aprender o máximo possível sobre o computador de destino.
Etapa 2. Uma das informações relevantes aprendidas na etapa 1 pode ser o sistema operacional, sua versão e uma lista de serviços executados nele.
Etapa 3 . Quando o sistema operacional e a versão do alvo são conhecidos, o invasor procura qualquer vulnerabilidade conhecida específica para aquela versão do sistema operacional ou outros serviços do sistema operacional.
Etapa 4 . Quando uma vulnerabilidade é encontrada, o invasor procura um exploit previamente escrito para usar. Se nenhuma exploração tiver sido gravada, o invasor pode considerar a criação de uma exploração.
A Figura 1 mostra um invasor usando whois , um banco de dados público da Internet que contém informações sobre nomes de domínio e seus registrantes. A Figura 2 retrata um invasor usando a ferramenta nmap , um popular scanner de porta. Com um scanner de porta, um invasor pode sondar as portas de um computador de destino para saber quais serviços estão sendo executados naquele computador.
Ameaças persistentes avançadas
Uma maneira pela qual a infiltração é alcançada é por meio de ameaças persistentes avançadas (APTs). Eles consistem em uma operação multifásica, de longo prazo, furtiva e avançada contra um alvo específico. Devido à sua complexidade e nível de habilidade exigido, um APT geralmente é bem financiado. Um APT tem como alvo organizações ou nações por motivos comerciais ou políticos.
Normalmente relacionado à espionagem baseada em rede, o objetivo do APT é implantar malware personalizado em um ou vários dos sistemas do alvo e permanecer sem ser detectado. Com várias fases de operação e vários tipos de malware personalizados que afetam diferentes dispositivos e executam funções específicas, um invasor individual geralmente não possui o conjunto de habilidades, recursos ou persistência para realizar APTs.
DoS
Ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um ataque DoS resulta em algum tipo de interrupção do serviço de rede para usuários, dispositivos ou aplicativos. Existem dois tipos principais de ataques DoS:
Quantidade excessiva de tráfego - ocorre quando uma rede, host ou aplicativo recebe uma quantidade enorme de dados a uma taxa que não pode controlar. Isso causa lentidão na transmissão ou resposta, ou falha de um dispositivo ou serviço.
Pacotes formatados de forma maliciosa - ocorre quando um pacote formatado de forma maliciosa é enviado a um host ou aplicativo e o receptor não consegue lidar com ele. Por exemplo, um invasor encaminha pacotes contendo erros que não podem ser identificados pelo aplicativo ou encaminha pacotes formatados incorretamente. Isso faz com que o dispositivo receptor funcione muito lentamente ou trave.
Os ataques DoS são considerados um grande risco porque podem facilmente interromper a comunicação e causar perdas significativas de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não qualificado.
DDoS
Um ataque DoS distribuído (DDoS) é semelhante a um ataque DoS, mas se origina de fontes múltiplas e coordenadas. Por exemplo, um ataque DDoS poderia proceder da seguinte forma:
Um invasor constrói uma rede de hosts infectados, chamada de botnet. Os hosts infectados são chamados de zumbis. Os zumbis são controlados por sistemas manipuladores.
Os computadores zumbis examinam e infectam constantemente mais hosts, criando mais zumbis. Quando pronto, o hacker instrui os sistemas de tratamento para fazer o botnet de zumbis realizar um ataque DDoS.
Clique em Reproduzir na figura para ver as animações de um ataque DDoS.
SEO poisoning (Search Engine Optimization)
Envenenamento de SEO
Mecanismos de busca como o Google funcionam classificando páginas e apresentando resultados relevantes com base nas consultas de pesquisa dos usuários. Dependendo da relevância do conteúdo do site, ele pode aparecer em uma posição superior ou inferior na lista de resultados da pesquisa. SEO, abreviação de Search Engine Optimization, é um conjunto de técnicas usadas para melhorar a classificação de um site por um mecanismo de pesquisa. Embora muitas empresas legítimas se especializem em otimizar sites para melhor posicioná-los, um usuário mal-intencionado pode usar o SEO para fazer um site mal-intencionado aparecer em uma posição superior nos resultados de pesquisa. Essa técnica é chamada de envenenamento de SEO.
O objetivo mais comum do envenenamento de SEO é aumentar o tráfego para sites maliciosos que podem hospedar malware ou realizar engenharia social. Para forçar um site malicioso a ter uma classificação mais elevada nos resultados de pesquisa, os invasores tiram proveito de termos de pesquisa populares.
Blended Attack
O que é um ataque combinado?
Ataques combinados são ataques que usam várias técnicas para comprometer um alvo. Ao usar várias técnicas de ataque diferentes ao mesmo tempo, os atacantes têm malware que é um híbrido de worms, cavalos de Tróia, spyware, keyloggers, spam e esquemas de phishing. Essa tendência de ataques combinados está revelando malwares mais complexos e colocando os dados do usuário em grande risco.
O tipo mais comum de ataque combinado usa mensagens de e-mail de spam, mensagens instantâneas ou sites legítimos para distribuir links onde malware ou spyware são baixados secretamente para o computador. Outro ataque combinado comum usa DDoS combinado com e-mails de phishing. Primeiro, o DDoS é usado para derrubar um site popular de banco e enviar e-mails aos clientes do banco, pedindo desculpas pelo transtorno. O e-mail também direciona os usuários a um site de emergência forjado, onde suas informações de login reais podem ser roubadas.
Muitos dos worms de computador mais prejudiciais, como Nimbda, CodeRed, BugBear, Klez e Slammer, são melhor categorizados como ataques combinados, conforme mostrado abaixo:
· Algumas variantes do Nimbda usavam anexos de e-mail; downloads de arquivos de um servidor web comprometido; e compartilhamento de arquivos da Microsoft (por exemplo, compartilhamentos anônimos) como métodosde propagação.
· Outras variantes do Nimbda foram capazes de modificar as contas de convidados do sistema para fornecer ao invasor ou código malicioso privilégios administrativos.
Os recentes worms Conficker e ZeuS / LICAT também foram ataques combinados. O Conficker usou todos os métodos tradicionais de distribuição.
CAPITULO3 
Proteja seus dispositivos de computação
Seus dispositivos de computação armazenam seus dados e são o portal para sua vida online. Abaixo está uma pequena lista de etapas que você pode seguir para proteger seus dispositivos de computação contra intrusões:
· Mantenha o Firewall Ligado - Seja um firewall de software ou um firewall de hardware em um roteador, o firewall deve ser ativado e atualizado para evitar que hackers acessem seus dados pessoais ou da empresa. Clique em Windows 7 e 8.1 ou Windows 10 para ativar o firewall na respectiva versão do Windows. Clique aqui para ativar o firewall para dispositivos Mac OS X.
· Use antivírus e anti-spyware- Softwares maliciosos, como vírus, cavalos de Tróia, worms, ransomware e spyware, são instalados em seus dispositivos de computação sem sua permissão, a fim de obter acesso ao seu computador e aos seus dados. Os vírus podem destruir seus dados, tornar o computador lento ou assumir o controle do computador. Uma das maneiras pelas quais os vírus podem assumir o controle do seu computador é permitindo que os remetentes de spam enviem e-mails usando sua conta. O spyware pode monitorar suas atividades online, coletar suas informações pessoais ou produzir anúncios pop-up indesejados em seu navegador da Web enquanto você está online. Uma boa regra é baixar apenas software de sites confiáveis ​​para evitar o recebimento de spyware. O software antivírus foi projetado para verificar a presença de vírus em seu computador e nos e-mails recebidos e excluí-los. Às vezes, o software antivírus também inclui antispyware.
· Gerencie seu sistema operacional e navegador - os hackers estão sempre tentando tirar proveito das vulnerabilidades em seus sistemas operacionais e navegadores da web. Para proteger seu computador e seus dados, defina as configurações de segurança em seu computador e navegador em médio ou superior. Atualize o sistema operacional do seu computador, incluindo os navegadores da web, e baixe e instale regularmente os patches de software e atualizações de segurança mais recentes dos fornecedores.
· Proteja todos os seus dispositivos - seus dispositivos de computação, sejam eles PCs, laptops, tablets ou smartphones, devem ser protegidos por senha para evitar acesso não autorizado. As informações armazenadas devem ser criptografadas, especialmente para dados sensíveis ou confidenciais. Para dispositivos móveis, armazene apenas as informações necessárias, caso esses dispositivos sejam roubados ou perdidos quando você estiver fora de casa. Se qualquer um dos seus dispositivos for comprometido, os criminosos podem ter acesso a todos os seus dados por meio do seu provedor de serviços de armazenamento em nuvem, como iCloud ou Google Drive.
Os dispositivos IoT representam um risco ainda maior do que seus outros dispositivos de computação. Embora plataformas de desktop, laptop e móvel recebam atualizações de software frequentes, a maioria dos dispositivos IoT ainda tem seu firmware original. Se forem encontradas vulnerabilidades no firmware, o dispositivo IoT provavelmente permanecerá vulnerável. Para piorar o problema, os dispositivos IoT geralmente são projetados para ligar para casa e exigir acesso à Internet. Para acessar a Internet, a maioria dos fabricantes de dispositivos IoT confia na rede local do cliente. O resultado é que os dispositivos IoT muito provavelmente serão incluídos e, quando o forem, eles permitirão o acesso à rede local e aos dados do cliente. A melhor maneira de se proteger desse cenário é ter dispositivos IoT usando uma rede isolada, compartilhando-a apenas com outros dispositivos IoT.
Clique aqui para visitar o Shodan, um scanner de dispositivo IoT baseado na web.
Use Wireless Networks Safely
Wireless networks allow Wi-Fi enabled devices, such as laptops and tablets, to connect to the network by way of the network identifier, known as the Service Set Identifier (SSID). To prevent intruders from entering your home wireless network, the pre-set SSID and default password for the browser-based administrative interface should be changed. Hackers will be aware of this kind of default access information. Optionally, the wireless router can also be configured to not broadcast the SSID, which adds an additional barrier to discovering the network. However, this should not be considered adequate security for a wireless network. Furthermore, you should encrypt wireless communication by enabling wireless security and the WPA2 encryption feature on the wireless router. Even with WPA2 encryption enabled, the wireless network can still be vulnerable.
In October 2017, a security flaw in the WPA2 protocol was discovered. This flaw allows an intruder to break the encryption between the wireless router and the wireless client, and allow the intruder to access and manipulate the network traffic. This vulnerability can be exploited using Key Reinstallation Attacks (KRACK). It affects all modern, protected Wi-Fi networks. To mitigate an attacker, a user should update all affected products: wireless routers and any wireless capable devices, such as laptops and mobile devices, as soon as security updates become available. For laptops or other devices with wired NIC, a wired connection could mitigate this vulnerability. Furthermore, you can also use a trusted VPN service to prevent the unauthorized access to your data while you are using the wireless network.
Click here to learn more about KRACK.
When you are away from home, a public Wi-Fi hot spot allows you to access your online information and surf the Internet. However, it is best to not access or send any sensitive personal information over a public wireless network. Verify whether your computer is configured with file and media sharing and that it requires user authentication with encryption. To prevent someone from intercepting your information (known as “eavesdropping”) while using a public wireless network, use encrypted VPN tunnels and services. The VPN service provides you secure access to the Internet, with an encrypted connection between your computer and the VPN service provider’s VPN server. With an encrypted VPN tunnel, even if a data transmission is intercepted, it is not decipherable.
Click here to learn more about protecting yourself when using wireless networks.
Many mobile devices, such as smartphones and tablets, come with the Bluetooth wireless protocol. This capability allows Bluetooth-enabled devices to connect to each other and share information. Unfortunately, Bluetooth can be exploited by hackers to eavesdrop on some devices, establish remote access controls, distribute malware, and drain batteries. To avoid these issues, keep Bluetooth turned off when you are not using it.
“eavesdropping” = espionagem
Use senha longa em vez de senha
Para evitar o acesso físico não autorizado aos seus dispositivos de computação, use senhas em vez de senhas. É mais fácil criar uma frase secreta longa do que uma senha, porque geralmente é na forma de uma frase em vez de uma palavra. O comprimento mais longo torna as frases secretas menos vulneráveis ​​a ataques de dicionário ou de força bruta. Além disso, uma frase secreta pode ser mais fácil de lembrar, especialmente se você precisar alterar sua senha com frequência. Aqui estão algumas dicas para escolher boas senhas ou frases secretas:
Dicas para escolher uma boa senha longa:
· Escolha uma declaração significativa para você
· Adicionar caracteres especiais, tais como ! @ # $% ^ & * ()
· Quanto mais tempo melhor
· Evite declarações comuns ou famosas, por exemplo, letras de uma música popular
Recentemente, o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos publicou requisitos de senha aprimorados. Ospadrões do NIST são destinados à aplicação governamental, mas também podem servir como um padrão para outros. As novas diretrizes têm como objetivo fornecer uma melhor experiência do usuário e colocar o ônus da verificação do usuário sobre os fornecedores.
Resumo das novas diretrizes:
· 8 caracteres de comprimento mínimo, mas não mais de 64 caracteres
· Nenhuma senha comum e fácil de adivinhar, como senha, abc123
· Sem regras de composição, como ter que incluir letras maiúsculas e minúsculas e números
· Melhore a precisão da digitação, permitindo que o usuário veja a senha enquanto digita
· Todos os caracteres e espaços de impressão são permitidos
· Sem dicas de senha
· Sem expiração de senha periódica ou arbitrária
· Sem autenticação baseada em conhecimento, como informações de perguntas secretas compartilhadas, dados de marketing, histórico de transações
Clique aqui para saber mais sobre o requisito de senha NIST aprimorado.
Mesmo com o acesso a seus computadores e dispositivos de rede protegidos, também é importante proteger e preservar seus dados.
Strong passwords have four main requirements listed in order of importance: 1) The user can easily remember the password. 2) It is not trivial for any other person to guess a password. 3) It is not trivial for a program to guess or discover a password. 4) Must be complex, containing numbers, symbols and a mix of upper case and lower case letters
Criptografe seus dados
Seus dados sempre devem ser criptografados. Você pode pensar que não tem segredos e nada a esconder, então por que usar criptografia? Talvez você pense que ninguém quer seus dados. Provavelmente, isso provavelmente não é verdade.
Você está pronto para mostrar todas as suas fotos e documentos para estranhos? Você está pronto para compartilhar informações financeiras armazenadas em seu computador com seus amigos? Você quer distribuir seus e-mails e senhas de contas ao público em geral?
Isso pode ser ainda mais problemático se um aplicativo malicioso infectar seu computador ou dispositivo móvel e roubar informações potencialmente valiosas, como números de contas e senhas, e outros documentos oficiais. Esse tipo de informação pode levar ao roubo de identidade, fraude ou resgate. Os criminosos podem decidir simplesmente criptografar seus dados e torná-los inutilizáveis ​​até que você pague o resgate.
O que é criptografia? Criptografia é o processo de converter as informações em um formato em que uma parte não autorizada não possa lê-las. Somente uma pessoa confiável e autorizada com a chave secreta ou senha pode descriptografar os dados e acessá-los em sua forma original. A criptografia em si não impede que alguém intercepte os dados. A criptografia só pode impedir que uma pessoa não autorizada veja ou acesse o conteúdo.
Os programas de software são usados ​​para criptografar arquivos, pastas e até unidades inteiras.
O sistema de arquivos com criptografia (EFS) é um recurso do Windows que pode criptografar dados. O EFS está diretamente vinculado a uma conta de usuário específica. Apenas o usuário que criptografou os dados poderá acessá-los depois que eles forem criptografados usando EFS. Para criptografar dados usando EFS em todas as versões do Windows, siga estas etapas:
Etapa 1 . Selecione um ou mais arquivos ou pastas.
Etapa 2 . Clique com o botão direito nos dados selecionados > Propriedades .
Etapa 3 . Clique em Avançado ...
Etapa 4 . Marque a caixa de seleção Criptografar conteúdo para proteger os dados .
Etapa 5 . Os arquivos e pastas criptografados com EFS são exibidos em verde, conforme mostrado na figura.
Faça backup de seus dados
Seu disco rígido pode falhar. Seu laptop pode ser perdido. Seu smartphone foi roubado. Talvez você tenha apagado a versão original de um documento importante. Ter um backup pode evitar a perda de dados insubstituíveis, como fotos de família. Para fazer backup dos dados corretamente, você precisará de um local de armazenamento adicional para os dados e deve copiar os dados para esse local regular e automaticamente.
O local adicional para seus arquivos de backup pode ser na rede doméstica, local secundário ou na nuvem. Ao armazenar o backup dos dados localmente, você tem total controle dos dados. Você pode decidir copiar todos os seus dados para um dispositivo de armazenamento conectado à rede (NAS), um disco rígido externo simples ou talvez selecionar apenas algumas pastas importantes para backup em pen drives, CDs / DVDs ou mesmo fitas. Nesse cenário, você é o proprietário e totalmente responsável pelo custo e manutenção do equipamento do dispositivo de armazenamento. Se você assinar um serviço de armazenamento em nuvem, o custo depende da quantidade de espaço de armazenamento necessária. Com um serviço de armazenamento em nuvem como Amazon Web Services (AWS), você tem acesso aos seus dados de backup, desde que tenha acesso à sua conta. Quando você assina serviços de armazenamento online, você pode precisar ser mais seletivo sobre os dados que estão sendo armazenados em backup devido ao custo do armazenamento e às constantes transferências de dados online. Um dos benefícios de armazenar um backup em um local alternativo é que ele é seguro em caso de incêndio, roubo ou outras catástrofes, exceto falha do dispositivo de armazenamento.
Excluindo seus dados permanentemente
Quando você move um arquivo para a lixeira ou lixeira e o exclui permanentemente, o arquivo fica inacessível apenas pelo sistema operacional. Qualquer pessoa com as ferramentas forenses corretas ainda pode recuperar o arquivo devido a um traço magnético deixado no disco rígido.
Para apagar os dados de modo que não sejam mais recuperáveis, eles devem ser substituídos por uns e zeros várias vezes. Para evitar a recuperação de arquivos excluídos, você pode precisar usar ferramentas projetadas especificamente para fazer exatamente isso. O programa SDelete da Microsoft (para Vista e superior), afirma ter a capacidade de remover arquivos confidenciais completamente. Shred para Linux e Secure Empty Trash para Mac OSX são algumas ferramentas que afirmam fornecer um serviço semelhante.
A única maneira de ter certeza de que os dados ou arquivos não são recuperáveis ​​é destruir fisicamente o disco rígido ou o dispositivo de armazenamento. Tem sido uma loucura muitos criminosos pensarem que seus arquivos são impenetráveis ​​ou irrecuperáveis.
Além de armazenar dados em seus discos rígidos locais, seus dados também podem ser armazenados online na nuvem. Essas cópias também precisarão ser excluídas. Reserve um momento para se perguntar: “Onde salvo meus dados? O backup está em algum lugar? Está criptografado? Quando você precisar excluir seus dados ou se livrar de um disco rígido ou computador, pergunte-se: “Eu protegi os dados para evitar que caiam em mãos erradas?”
Autenticação de dois fatores
Serviços online populares, como Google, Facebook, Twitter, LinkedIn, Apple e Microsoft, usam autenticação de dois fatores para adicionar uma camada extra de segurança para logins de contas. Além do nome de usuário e senha, ou número de identificação pessoal (PIN) ou padrão, a autenticação de dois fatores requer um segundo token, como:
· Objeto físico - cartão de crédito, cartão de caixa eletrônico, telefone ou fob
· Varredura biométrica - impressão digital, impressão da palma da mão, bem como reconhecimento facial ou de voz
Mesmo com a autenticação de dois fatores, os hackers ainda podem obter acesso às suas contas online por meio de ataques como ataques de phishing, malware e engenharia social.
Acesse aqui para descobrir se os sites que você visita usam autenticação de dois fatores.
OAuth 2.0
Autorização aberta (OAuth) é um protocolo padrão aberto que permite que as credenciais de um usuário final acessem aplicativos de terceiros sem expor a senha do usuário. OAuth atua como o intermediário para decidir se permite que usuários finais acessem aplicativos de terceiros. Por exemplo, digamos que você deseja acessar o aplicativo da web XYZ e não possui uma conta de usuário para acessar esse aplicativo da web.No entanto, XYZ tem a opção de permitir que você faça login usando as credenciais de um site de mídia social ABC. Então você acessa o site usando o login de mídia social.
Para que isso funcione, o aplicativo 'XYZ' está registrado no 'ABC' e é um aplicativo aprovado. Ao acessar XYZ, você usa suas credenciais de usuário para ABC. Em seguida, XYZ solicita um token de acesso da ABC em seu nome. Agora você tem acesso ao XYZ. XYZ não sabe nada sobre você e suas credenciais de usuário, e essa interação é totalmente perfeita para o usuário. O uso de tokens secretos evita que um aplicativo malicioso obtenha suas informações e dados.
Capítulo 3: Protegendo Seus Dados e Privacidade
Este capítulo enfocou seus dispositivos pessoais, seus dados pessoais. Inclui dicas para proteger seus dispositivos, criar senhas fortes e usar redes sem fio com segurança. Abrangeu backups de dados, armazenamento de dados e exclusão de seus dados permanentemente.
As técnicas de autenticação foram discutidas para ajudá-lo a manter seus dados com segurança. Ele abordou brevemente como é fácil compartilhar muitas informações nas redes sociais e como evitar esse risco de segurança.
Se você quiser explorar mais os conceitos neste capítulo, verifique a página Recursos e atividades adicionais em Recursos do aluno.
Capítulo 4: Protegendo a Organização
Este capítulo cobre algumas das tecnologias e processos usados ​​pelos profissionais de segurança cibernética ao proteger a rede, o equipamento e os dados de uma organização. Primeiro, ele cobre resumidamente os muitos tipos de firewalls, dispositivos de segurança e software que são usados ​​atualmente, incluindo as melhores práticas.
A seguir, este capítulo explica botnets, a cadeia de eliminação, a segurança baseada em comportamento e o uso do NetFlow para monitorar uma rede.
A terceira seção discute a abordagem da Cisco para a segurança cibernética, incluindo a equipe CSIRT e o manual de segurança. Ele cobre resumidamente as ferramentas que os profissionais de segurança cibernética usam para detectar e prevenir ataques à rede.
Firewall Types
A firewall is a wall or partition that is designed to prevent fire from spreading from one part of a building to another. In computer networking, a firewall is designed to control, or filter, which communications are allowed in and which are allowed out of a device or network, as shown in the figure. A firewall can be installed on a single computer with the purpose of protecting that one computer (host-based firewall), or it can be a stand-alone network device that protects an entire network of computers and all of the host devices on that network (network-based firewall).
Over the years, as computer and network attacks have become more sophisticated, new types of firewalls have been developed which serve different purposes in protecting a network. Here is a list of common firewall types:
· Network Layer Firewall – filtering based on source and destination IP addresses
· Transport Layer Firewall –filtering based on source and destination data ports, and filtering based on connection states
· Application Layer Firewall –filtering based on application, program or service
· Context Aware Application Firewall – filtering based on the user, device, role, application type, and threat profile
· Proxy Server – filtering of web content requests like URL, domain, media, etc.
· Reverse Proxy Server – placed in front of web servers, reverse proxy servers protect, hide, offload, and distribute access to web servers
· Network Address Translation (NAT) Firewall – hides or masquerades the private addresses of network hosts
· Host-based Firewall – filtering of ports and system service calls on a single computer operating system
Tipos de firewall
Um firewall é uma parede ou partição projetada para evitar que o fogo se espalhe de uma parte para outra do edifício. Em redes de computadores, um firewall é projetado para controlar, ou filtrar, quais comunicações são permitidas dentro e quais são permitidas fora de um dispositivo ou rede, conforme mostrado na figura. Um firewall pode ser instalado em um único computador com a finalidade de proteger aquele computador (firewall baseado em host), ou pode ser um dispositivo de rede autônomo que protege uma rede inteira de computadores e todos os dispositivos host dessa rede (firewall baseado em rede).
Com o passar dos anos, à medida que os ataques a computadores e redes se tornaram mais sofisticados, novos tipos de firewalls foram desenvolvidos para diferentes propósitos de proteção de uma rede. Aqui está uma lista de tipos comuns de firewall:
· Firewall de camada de rede - filtragem com base nos endereços IP de origem e destino
· Firewall da camada de transporte - filtragem com base nas portas de dados de origem e destino e filtragem com base nos estados de conexão
· Firewall de camada de aplicativo - filtragem com base no aplicativo, programa ou serviço
· Firewall de aplicativo sensível ao contexto - filtragem com base no usuário, dispositivo, função, tipo de aplicativo e perfil de ameaça
· Servidor proxy - filtragem de solicitações de conteúdo da web como URL, domínio, mídia, etc.
· Servidor de proxy reverso - colocado na frente dos servidores da web, os servidores de proxy reverso protegem, ocultam, descarregam e distribuem o acesso aos servidores da web
· Firewall de tradução de endereços de rede (NAT) - oculta ou mascara os endereços privados de hosts de rede
· Firewall baseado em host - filtragem de portas e chamadas de serviço do sistema em um único sistema operacional de computador
Port Scanning
A varredura de portas é um processo de sondar um computador, servidor ou outro host de rede em busca de portas abertas. Na rede, cada aplicativo executado em um dispositivo recebe um identificador chamado número de porta. Este número de porta é usado em ambas as extremidades da transmissão para que os dados corretos sejam passados ​​para o aplicativo correto. A varredura de portas pode ser usada maliciosamente como uma ferramenta de reconhecimento para identificar o sistema operacional e os serviços em execução em um computador ou host, ou pode ser usada sem causar danos por um administrador de rede para verificar as políticas de segurança da rede.
Com o propósito de avaliar o firewall da sua própria rede de computadores e a segurança da porta, você pode usar uma ferramenta de varredura de portas como o Nmap para encontrar todas as portas abertas em sua rede. A varredura de portas pode ser vista como um precursor de um ataque à rede e, portanto, não deve ser feita em servidores públicos na Internet ou na rede de uma empresa sem permissão.
Para executar uma varredura de porta Nmap de um computador em sua rede doméstica local, baixe e inicie um programa como o Zenmap, forneça o endereço IP de destino do computador que você gostaria de escanear, escolha um perfil de varredura padrão e pressione scan. A varredura do Nmap relatará todos os serviços em execução (por exemplo, serviços da web, serviços de e-mail, etc.) e números de porta. A varredura de uma porta geralmente resulta em uma das três respostas:
· Aberto ou aceito - o host respondeu indicando que um serviço está escutando na porta.
· Fechado, negado ou não escutando - o host respondeu indicando que as conexões serão negadas à porta.
· Filtrado, descartado ou bloqueado - não houve resposta do host.
Para executar uma varredura de porta de sua rede de fora da rede, você precisará iniciar a varredura de fora da rede. Isso envolverá a execução de uma varredura de porta Nmap em seu firewall ou endereço IP público do roteador. Para descobrir seu endereço IP público, use um mecanismo de busca como o Google com a consulta “qual é o meu endereço IP”. O mecanismo de pesquisa retornará seu endereço IP público.
Para executar uma varredura de porta para seis portas comuns em seu roteador doméstico ou firewall, vá para o Nmap Online Port Scanner em https://hackertarget.com/nmap-online-port-scanner/ e digite seu endereço IP público na entrada caixa : Endereço IP para escanear… epressione Quick Nmap Scan . Se a resposta estiver aberta para qualquer uma das portas: 21, 22, 25, 80, 443 ou 3389, então provavelmente o encaminhamento de porta foi ativado em seu roteador ou firewall e você está executando servidores em sua rede privada, conforme mostrado na figura.
Port Scanning
Port-scanning is a process of probing a computer, server or other network host for open ports. In networking, each application running on a device is assigned an identifier called a port number. This port number is used on both ends of the transmission so that the right data is passed to the correct application. Port-scanning can be used maliciously as a reconnaissance tool to identify the operating system and services running on a computer or host, or it can be used harmlessly by a network administrator to verify network security policies on the network.
For the purposes of evaluating your own computer network’s firewall and port security, you can use a port-scanning tool like Nmap to find all the open ports on your network. Port-scanning can be seen as a precursor to a network attack and therefore should not be done on public servers on the Internet, or on a company network without permission.
To execute an Nmap port-scan of a computer on your local home network, download and launch a program such as Zenmap, provide the target IP address of the computer you would like to scan, choose a default scanning profile, and press scan. The Nmap scan will report any services that are running (e.g., web services, mail services, etc.) and port numbers. The scanning of a port generally results in one of three responses:
· Open or Accepted – The host replied indicating a service is listening on the port.
· Closed, Denied, or Not Listening – The host replied indicating that connections will be denied to the port.
· Filtered, Dropped, or Blocked – There was no reply from the host.
To execute a port-scan of your network from outside of the network, you will need to initiate the scan from outside of the network. This will involve running an Nmap port-scan against your firewall or router’s public IP address. To discover your public IP address, use a search engine such as Google with the query “what is my ip address”. The search engine will return your public IP address.
To run a port-scan for six common ports against your home router or firewall, go to the Nmap Online Port Scanner at https://hackertarget.com/nmap-online-port-scanner/ and enter your public IP address in the input box: IP address to scan… and press Quick Nmap Scan. If the response is open for any of the ports: 21, 22, 25, 80, 443, or 3389 then most likely, port forwarding has been enabled on your router or firewall, and you are running servers on your private network, as shown in the figure.
Dispositivos de Segurança
Hoje não há um único dispositivo de segurança ou tecnologia que resolva todas as necessidades de segurança de rede. Como há uma variedade de dispositivos e ferramentas de segurança que precisam ser implementados, é importante que todos trabalhem juntos. Os dispositivos de segurança são mais eficazes quando fazem parte de um sistema.
Os dispositivos de segurança podem ser dispositivos independentes, como um roteador ou firewall, uma placa que pode ser instalada em um dispositivo de rede ou um módulo com seu próprio processador e memória em cache. Os dispositivos de segurança também podem ser ferramentas de software executadas em um dispositivo de rede. Os dispositivos de segurança se enquadram nestas categorias gerais:
Roteadores - os roteadores Cisco Integrated Services Router (ISR), mostrados na Figura 1, têm muitos recursos de firewall além de funções de roteamento, incluindo filtragem de tráfego, capacidade de executar um Intrusion Prevention System (IPS), criptografia e recursos VPN para encapsulamento criptografado seguro .
Firewalls - os firewalls Cisco Next Generation têm todos os recursos de um roteador ISR, bem como gerenciamento e análise de rede avançados. Cisco Adaptive Security Appliance (ASA) com recursos de firewall são mostrados na Figura 2.
IPS - Os dispositivos Cisco Next Generation IPS, mostrados na Figura 3, são dedicados à prevenção de intrusões.
VPN - os dispositivos de segurança da Cisco são equipados com um servidor de rede privada virtual (VPN) e tecnologias de cliente. Ele é projetado para tunelamento criptografado seguro.
Malware / Antivírus - Cisco Advanced Malware Protection (AMP) vem na próxima geração de roteadores Cisco, firewalls, dispositivos IPS, Web e Email Security Appliances e também pode ser instalado como software em computadores host.
Outros dispositivos de segurança - esta categoria inclui dispositivos de segurança para web e e-mail, dispositivos de descriptografia, servidores de controle de acesso de cliente e sistemas de gerenciamento de segurança.
Detectando Ataques em Tempo Real
O software não é perfeito. Quando um hacker explora uma falha em um software antes que o criador possa corrigi-lo, isso é conhecido como um ataque de dia zero. Devido à sofisticação e enormidade dos ataques de dia zero encontrados hoje, está se tornando comum que os ataques à rede terão sucesso e que uma defesa bem-sucedida agora é medida pela rapidez com que uma rede pode responder a um ataque. A capacidade de detectar ataques em tempo real à medida que acontecem, bem como interromper os ataques imediatamente, ou minutos após sua ocorrência, é o objetivo ideal. Infelizmente, muitas empresas e organizações hoje são incapazes de detectar ataques até dias ou mesmo meses após sua ocorrência.
· Varredura em tempo real de borda a endpoint - A detecção de ataques em tempo real requer a varredura ativa de ataques usando firewall e dispositivos de rede IDS / IPS. A detecção de malware cliente / servidor de próxima geração com conexões a centros de ameaças globais online também deve ser usada. Hoje, os dispositivos e softwares de varredura ativos devem detectar anomalias de rede usando análise baseada em contexto e detecção de comportamento.
· Ataques DDoS e resposta em tempo real - DDoS é uma das maiores ameaças de ataque que requer resposta e detecção em tempo real. Os ataques DDoS são extremamente difíceis de se defender porque os ataques se originam de centenas ou milhares de hosts zumbis, e os ataques aparecem como tráfego legítimo, conforme mostrado na figura. Para muitas empresas e organizações, ataques DDoS que ocorrem regularmente prejudicam os servidores da Internet e a disponibilidade da rede. A capacidade de detectar e responder a ataques DDoS em tempo real é crucial.
Proteção contra malware
Como você fornece defesa contra a presença constante de ataques de dia zero, bem como ameaças persistentes avançadas (APT) que roubam dados por longos períodos de tempo? Uma solução é usar uma solução de detecção de malware avançada de nível empresarial que oferece detecção de malware em tempo real.
Os administradores de rede devem monitorar constantemente a rede em busca de sinais de malware ou comportamentos que revelam a presença de um APT. A Cisco tem uma Grade de Ameaças de Proteção Avançada contra Malware (AMP) que analisa milhões de arquivos e os correlaciona com centenas de milhões de outros artefatos de malware analisados. Isso fornece uma visão global de ataques de malware, campanhas e sua distribuição. AMP é um software cliente / servidor implantado em terminais de host, como um servidor autônomo ou em outros dispositivos de segurança de rede. A figura mostra os benefícios do AMP Threat Grid.
Security Best Practices
Many national and professional organizations have published lists of security best practices. The following is a list of some security best practices:
· Perform Risk Assessment – Knowing the value of what you are protecting will help in justifying security expenditures.
· Create a Security Policy – Create a policy that clearly outlines company rules, job duties, and expectations.
· Physical Security Measures – Restrict access to networking closets, server locations, as well as fire suppression.
· Human ResourceSecurity Measures – Employees should be properly researched with background checks.
· Perform and Test Backups – Perform regular backups and test data recovery from backups.
· Maintain Security Patches and Updates – Regularly update server, client, and network device operating systems and programs.
· Employ Access Controls – Configure user roles and privilege levels as well as strong user authentication.
· Regularly Test Incident Response – Employ an incident response team and test emergency response scenarios.
· Implement a Network Monitoring, Analytics and Management Tool - Choose a security monitoring solution that integrates with other technologies.
· Implement Network Security Devices – Use next generation routers, firewalls, and other security appliances.
· Implement a Comprehensive Endpoint Security Solution – Use enterprise level antimalware and antivirus software.
· Educate Users – Educate users and employees in secure procedures.
· Encrypt data – Encrypt all sensitive company data including email.
Some of the most helpful guidelines are found in organizational repositories such as the National Institute of Standards and Technology (NIST) Computer Security Resource Center, as shown in the figure.
One of the most widely known and respected organizations for cybersecurity training is the SANS Institute. Go here to learn more about SANS and the types of training and certifications they offer.
Muitas organizações nacionais e profissionais publicaram listas de melhores práticas de segurança. A seguir está uma lista de algumas práticas recomendadas de segurança:
· Realizar avaliação de risco - saber o valor do que você está protegendo ajudará a justificar os gastos com segurança.
· Crie uma política de segurança - crie uma política que descreva claramente as regras da empresa, os deveres do trabalho e as expectativas.
· Medidas de segurança física - Restrinja o acesso a armários de rede, locais de servidor, bem como supressão de incêndio.
· Medidas de segurança de recursos humanos - os funcionários devem ser devidamente pesquisados ​​com verificações de antecedentes.
· Execute e teste backups - execute backups regulares e teste a recuperação de dados dos backups.
· Manter patches e atualizações de segurança - Atualize regularmente os sistemas operacionais e programas de servidor, cliente e dispositivo de rede.
· Empregar controles de acesso - configurar funções de usuário e níveis de privilégio, bem como autenticação forte de usuário.
· Teste Regularmente a Resposta a Incidentes - Empregue uma equipe de resposta a incidentes e teste cenários de resposta a emergências.
· Implemente uma ferramenta de monitoramento, análise e gerenciamento de rede - escolha uma solução de monitoramento de segurança que se integre a outras tecnologias.
· Implemente dispositivos de segurança de rede - use roteadores, firewalls e outros dispositivos de segurança de última geração.
· Implemente uma solução abrangente de segurança de endpoint - use software antimalware e antivírus de nível empresarial.
· Eduque os usuários - Eduque os usuários e funcionários em procedimentos seguros.
· Criptografar dados - criptografar todos os dados confidenciais da empresa, incluindo e-mail.
Algumas das diretrizes mais úteis são encontradas em repositórios organizacionais, como o Centro de Recursos de Segurança de Computadores do Instituto Nacional de Padrões e Tecnologia (NIST), conforme mostrado na figura.
Uma das organizações mais conhecidas e respeitadas para treinamento em segurança cibernética é o SANS Institute. Vá aqui para saber mais sobre SANS e os tipos de treinamento e certificações que eles oferecem.
The Kill Chain in Cyberdefense
Na segurança cibernética, a cadeia de destruição são os estágios de um ataque aos sistemas de informação. Desenvolvido pela Lockheed Martin como uma estrutura de segurança para detecção e resposta a incidentes, o Cyber ​​Kill Chain é composto dos seguintes estágios:
Etapa 1. Reconhecimento - O invasor reúne informações sobre o alvo.
Estágio 2. Armamento - O invasor cria um exploit e uma carga maliciosa para enviar ao alvo.
Estágio 3. Entrega - O invasor envia a exploração e a carga maliciosa ao alvo por e-mail ou outro método.
Etapa 4. Exploração - A exploração é executada.
Instalação do estágio 5 - Malware e backdoors são instalados no destino.
Estágio 6. Comando e Controle - O controle remoto do alvo é obtido por meio de um canal ou servidor de comando e controle.
Estágio 7. Ação - O invasor executa ações maliciosas, como roubo de informações, ou executa ataques adicionais em outros dispositivos de dentro da rede, trabalhando novamente nos estágios de Kill Chain.
Para se defender contra a Kill Chain, as defesas de segurança de rede são projetadas em torno dos estágios da Kill Chain. Estas são algumas perguntas sobre as defesas de segurança de uma empresa, com base na Cyber ​​Kill Chain:
• Quais são os indicadores de ataque em cada estágio da Kill Chain?
• Quais ferramentas de segurança são necessárias para detectar os indicadores de ataque em cada um dos estágios?
• Existem lacunas na capacidade da empresa de detectar um ataque?
De acordo com a Lockheed Martin, compreender os estágios de Kill Chain permitiu que eles colocassem obstáculos defensivos, desacelerassem o ataque e, por fim, evitassem a perda de dados. A figura mostra como cada estágio da Kill Chain equivale a um aumento na quantidade de esforço e custo para inibir e remediar ataques.
Segurança baseada em comportamento
A segurança baseada em comportamento é uma forma de detecção de ameaças que não depende de assinaturas maliciosas conhecidas, mas, em vez disso, usa o contexto informativo para detectar anomalias na rede. A detecção baseada em comportamento envolve a captura e análise do fluxo de comunicação entre um usuário na rede local e um destino local ou remoto. Essas comunicações, quando capturadas e analisadas, revelam o contexto e os padrões de comportamento que podem ser usados ​​para detectar anomalias. A detecção baseada em comportamento pode descobrir a presença de um ataque alterando o comportamento normal.
· Honeypots - um Honeypot é uma ferramenta de detecção baseada em comportamento que primeiro atrai o invasor apelando para o padrão previsto de comportamento malicioso do invasor e, em seguida, quando dentro do honeypot, o administrador da rede pode capturar, registrar e analisar o comportamento do invasor. Isso permite que um administrador adquira mais conhecimento e construa uma melhor defesa.
· Arquitetura de solução de defesa contra ameaças cibernéticas da Cisco - esta é uma arquitetura de segurança que usa detecção e indicadores baseados em comportamento para fornecer maior visibilidade, contexto e controle. O objetivo é saber quem, o quê, onde, quando e como um ataque está ocorrendo. Essa arquitetura de segurança usa muitas tecnologias de segurança para atingir esse objetivo.
CSIRT
Muitas organizações de grande porte têm uma Equipe de Resposta a Incidentes de Segurança de Computadores (CSIRT) para receber, revisar e responder aos relatórios de incidentes de segurança de computadores, conforme mostrado na Figura 1. A missão principal do CSIRT é ajudar a garantir a preservação da empresa, do sistema e dos dados por meio de investigações abrangentes sobre incidentes de segurança de computador. Para evitar incidentes de segurança, o Cisco CSIRT fornece avaliação proativa de ameaças, planejamento de mitigação, análise de tendências de incidentes e revisão da arquitetura de segurança, conforme mostrado na Figura 2.
O CSIRT da Cisco colabora com o Fórum de Equipes de Resposta e Segurança a Incidentes (FIRST), o National Safety Information Exchange (NSIE), o Defense Security Information Exchange (DSIE) e o Centro de Análise e Pesquisa de Operações DNS (DNS-OARC).
Existem organizações CSIRT nacionais e públicas, como a Divisão CERT do Software Engineering Institute da Carnegie Mellon University, que estão disponíveis para ajudar organizações e CSIRTs nacionais a desenvolver, operar e melhorar suas capacidades de gerenciamento