Sequestro de sessão em redes

Transcrição

1 Sequestro de sessão em redes Antes de prosseguir com o tema, é importante saber alguns conceitos: Blind Hijacking descreve um tipo de sequestro de sessão em que o invasor não pode capturar o tráfego de retorno a partir da conexão do host. Isso significa que o invasor está injetando cegamente pacotes maliciosos ou manipuladores sem ver a confirmação do efeito desejado através da captura de pacotes. O invasor deve tentar prever os números de sequência dos pacotes TCP atravessando a conexão. A razão para essa previsão volta ao conceito básico do TCP three-way-handshake. Spoofing de IP refere-se à tentativa de um invasor de se disfarçar como o usuário legítimo, falsificando o endereço IP da vítima. O conceito de spoofing pode se aplicar a uma variedade de ataques em que um invasor falsifica as informações de identificação de um usuário. Entenda que spoofing é uma abordagem diferente do ataque de sequestro de sessão; Entretanto, elas estão relacionadas, pois ambas abordam usando uma sessão autenticada existente para ter acesso a um sistema de outra forma inacessível. Spoffing Source Routing (Roteamento de Origem) Em contraste com o

2 roteamento de pacotes normal, o roteamento de origem garante que os pacotes injetados sejam enviados através de um caminho de roteamento selecionado. Ao usar o roteamento de origem, um invasor escolhe o caminho de roteamento que é mais vantajoso para o ataque pretendido. Por exemplo, um invasor tentando falsificar ou mascarar como um host legítimo pode usar o roteamento de origem para direcionar pacotes para o servidor em um caminho idêntico ao da máquina da vítima. Source Routing Spoofing de DNS é uma técnica na qual um invasor altera os mapeamentos de endereço IP de uma vítima em um esforço para direcionar o tráfego da máquina vítima para um endereço especificado pelo invasor. Esta é uma explicação bastante simples, mas o conceito e a intenção são os mesmos em todas as variações desta técnica. Você verá como o DNS spoofing também se aplica ao sequestro de aplicativos web vulneráveis. ARP Cache Poisoning (Envenenamento de Cache ARP) O ARP é responsável pela tradução de endereços MAC para endereços IP ou vice-versa (conhecido como ARP reverso ou RARP). Um ataque de envenenamento de cache ARP sobrescreve o cache de ARP de uma vítima, redirecionando o tráfego para um mapeamento de endereço físico incorreto, geralmente a máquina do invasor. Isso, por sua vez, coloca a máquina do atacante no meio de todas as comunicações entre a máquina da vítima e o host autenticado. Esta técnica é conceitualmente muito semelhante ao DNS spoofing. O objetivo é manipular o fluxo de tráfego baseado em dados direcionais armazenados no host. Dessincronizando a Conexão refere-se mais uma vez ao TCO

3 three-way-handshake, quando um cliente e um host estão inicializando uma conexão, eles trocam pacotes que definem a sequência para a transferência de dados adicionais. Cada pacote nesta transferência contínua tem um número de sequência e números de confirmação subsequentes. Conexões TCP começam o sequenciamento de pacotes com um número de sequência inicial (ISN). O ISN é basicamente um ponto de partida no qual todos os pacotes a seguir podem incrementar e sequenciar adequadamente. A dessincronização de uma conexão envolve a sequência linear entre a vítima e o hospedeiro, dando assim ao atacante a oportunidade, pelo menos em sequência, de saltar e assumir a conexão com o host. Dessincronizando uma conexão Por exemplo, suponha que um invasor configurando um ataque de sequestro de sessão esteja rastreando a sequência da conexão e esteja pronto para iniciar um ataque. Para facilitar o trabalho e, ao mesmo tempo, remover a vítima do ataque, o atacante pode injetar um grande volume de pacotes nulos direcionados para a máquina host. Isso, por sua vez, incrementa os números de sequência dos pacotes do host sem a confirmação ou o alcance da máquina vítima. Agora, o atacante dessincroniza com êxito a conexão e organizou os números de sequência de pacotes do host para uma contagem previsível com base no número de pacotes nulos enviados.

4 Sequestro de sessão de rede O sequestro de sessão em nível de rede é um método que se concentra em explorar uma conexão TCP/IP após a inicialização ou autenticação ocorrer. Existem algumas técnicas específicas de sequestro nesta categoria de ataque. Alguns métodos comuns que vamos discutir são TCP/IP hijacking, man-in-the-middle e sequestro de sessão UDP. Sequestro de sessão TCP/IP O atacante tenta prever os números de sequência dos pacotes que fluem da máquina da vítima para o recurso conectado. Se bem sucedido, o atacante pode então começar a injetar pacotes que estão em sequência com a sequência de pacotes do tráfego do usuário legítimo. TCP three-way handshake Conforme a figura, uma vez que o processo de handshake inicial está completo, os pacotes subsequentes permanecem em uma sequência geral entre a vítima e o recurso. Cada pacote em uma conversa em andamento por TCP é incrementado em 1. Esta regra se aplica a ambos os números de sequência SYN e ACK. A implementação desse tipo de ataque começa com o invasor usando um sniffer no tráfego entre a máquina da vítima e a máquina host. Uma vez que o invasor sniffa com êxito a conexão e prevê os números de sequência de pacotes, eles podem injetar pacotes personalizados para o fio que têm um IP falsificado da

5 máquina vítima, bem como um número de sequência incrementado adequadamente com base no pacotes capturados. Um invasor falsifica o endereço IP da máquina da vítima para tentar assumir a identidade da vítima sequestrando a conexão ea sessão atual. Do ponto de vista do servidor ou do host, os pacotes são provenientes de um endereço IP legítimo, bem como ter um número de sequência corretamente incrementado, são considerados um tráfego legítimo. Vamos ver as etapas básicas de um ataque de sequestro de sessão TCP: Você deve ter um meio de sniffar ou capturar o tráfego entre as máquinas vítimas. Isso coloca você na posição necessária para executar o sequestro; Prever os números de sequência dos pacotes atravessando a rede. Lembre-se de que pacotes nulos podem ser usados??para incrementar os números de sequência do host, dessincronizando a conexão da vítima e facilitando a previsão do número de sequência; Execute um ataque de negação de serviço na máquina da vítima ou redefina sua conexão de alguma forma para que você possa assumir a função da vítima como o cliente legítimo. Lembre-se que em um sequestro passivo, a conexão da vítima não é necessariamente cortada; O tráfego entre a vítima e o hospedeiro é simplesmente monitorado, e você espera o momento oportuno para agir; Depois de assumir a sessão da vítima, você pode começar a injetar pacotes no servidor, imitando o cliente autenticado. Vamos voltar ao blind hijacking por um momento. No sequestro cego, o atacante não é capaz de ver o resultado dos pacotes injetados, nem são capazes de cheirar os pacotes com êxito. Isso cria um grande desafio para o atacante porque sequenciar pacotes corretamente é uma etapa crítica no lançamento de um sequestro de sessão baseado em TCP com êxito. Lembre-se de que há um desafio logístico ao sniffar o tráfego de outras redes

6 ou domínios de colisão. Isto é porque cada switchport é um domínio de colisão isolado. Um invasor que tenta executar um ataque de sequestro de sessão em uma máquina vítima fora da rede do atacante ou segmento de rede cria um desafio semelhante ao que você enfrentou no sniffing de tráfego. O atacante entrará cegamente porque eles não serão capazes de receber uma confirmação de tráfego de retorno com sucesso. Man-in-the-middle Os ataques Man-in-the-middle (MITM) é uma das versões mais conhecidas de um ataque de sequestro de sessão. Essencialmente, um ataque MITM coloca atacantes diretamente entre uma vítima e uma conexão de host. Uma vez que os invasores se colocarem com sucesso no meio da conexão através de uma técnica como o ARP Poisoning, eles têm liberdade para monitorar passivamente o tráfego ou podem injetar pacotes maliciosos na máquina da vítima ou na máquina anfitriã. Vamos continuar com o ARP Poisoning em nosso exemplo. Primeiro o atacante irá farejar o tráfego entre a vítima e máquinas host, o que os coloca em uma posição passiva, mas ainda estratégica. A partir daqui, o atacante pode enviar à vítima respostas ARP falsas ou envenenadas que mapeiam o tráfego da vítima para a máquina do atacante. Por sua vez, o atacante pode então encaminhar o tráfego da vítima para a máquina host. Durante este encaminhamento, o atacante pode manipular e reenviar os pacotes enviados da vítima à vontade.

7 Ataque MITM Existem várias ferramentas especialmente concebidas para executar um ataque MITM. Essas ferramentas são particularmente eficientes em ambientes de rede LAN (OSI). PacketCreator Ettercap Dsniff Cain & Abel Existem também ferramentas projetadas para interações no nível HTTP conhecidas como ferramentas MITM proxy-only. Essas ferramentas funcionam somente com protocolos HTTP e não funcionam no OSI, portanto, os ataques baseados em TCP devem ser executados com outras ferramentas: OWASP WebScarab Paros Proxy Burp Proxy ProxyFuzz Odysseus Proxy Fiddler (Microsoft) DNS Spoofing O DNS é um serviço importante para praticamente qualquer rede hoje. Algumas redes, como aquelas que usam o Active Directory, não podem sequer funcionar sem o DNS estar presente no ambiente. Com esses pontos em mente, precisamos olhar para um ataque conhecido como DNS spoofing. Em um ataque de DNS spoofing, o atacante modifica o servidor DNS para alterar o fluxo de tráfego para ir desde seu mapeamentos de endereços de host-para-ip que eles desejam. Em alguns casos, os sites que têm tráfego redirecionado para eles podem ser projetados para espalhar malwares.

8 Sequestro de sessão UDP O sequestro de sessão UDP é conceitualmente mais simples do que seus irmãos TCP, porque o UDP não usa sequenciamento para seus pacotes. Como você se lembrará, UDP é um protocolo sem conexão, o que significa que não estabelece uma conexão verificável entre o cliente e o host. Para um atacante, isso significa que nenhuma sequência de pacotes é necessária. O objetivo de um sequestro UDP é enganar a vítima em pensar que a máquina do atacante é o servidor. O atacante deve tentar enviar uma resposta para o cliente antes do host legítimo, assumindo assim a função do servidor. Diferentes técnicas podem ser usadas para interceptar o tráfego legítimo do servidor antes de sua resposta à vítima, mas o objetivo básico é o mesmo. Estratégias defensivas O sequestro de sessão depende, em parte, de muitos dos prérequisitos necessários para usar um sniffer com sucesso na rede. Por exemplo, os ataques de sequestro de sessão aumentam a complexidade para redes externas e comutadas. Em outras palavras, estar na LAN local (por exemplo, como um funcionário descontente) é uma posição estratégica muito melhor para um ataque do que estar fora do gateway. Além de sua relação com o sniffing, vamos analisar métodos que você pode usar para ajudar a evitar o sequestro de sessão: Criptografar o tráfego de rede é uma técnica preventiva viável e eficaz contra ataques de sequestro, tanto de fontes internas como externas. A criptografia dificulta seus esforços legítimos para monitorar seu próprio tráfego de rede; O uso de dispositivos de monitoramento de rede, como um IPS ou IDS, pode ajudar na detecção e prevenção de anomalias de rede, como o tráfego broadcast ARP. Essas anomalias podem ser indicadores de possíveis ataques de

9 sequestro de sessões em andamento; Configure os dispositivos apropriados, tais como gateways, para verificar e filtrar informações falsas do cliente, como endereços IP; Esteja ciente das vulnerabilidades do navegador local, como histórico de logs extensos e cookies. A limpeza de informações de navegação temporária pode ajudar a impedir o uso de IDs de sessão antigas; Sistemas de autenticação mais fortes, como Kerberos, fornecerão proteção contra sequestros; O uso de tecnologias como IPsec e SSL também proporcionará proteção contra o sequestro; Defesa em profundidade, ou o uso de várias tecnologias defensivas para retardar ou deter um atacante, fornece proteção também; O pentest para descobrir as vulnerabilidades de sequestro de sessão depende das estratégias defensivas do cliente. A criptografia deve ser implementada para tráfego de rede sensível, como servidores. Além disso, implementar políticas que limitam a geração de tokens de sessão exclusivos a recursos da intranet pode reduzir a probabilidade de um invasor roubar uma sessão ativa. Colocando dispositivos de rede de proteção como IPSs e IDSs expõe falhas críticas na identificação e prevenção de tentativas bem-sucedidas de sequestro de sessão. Sugestões de livros: Entendendo o Sequestro de

10 Sessão (Session Hijacking) O seqüestro de sessão é sinônimo de uma sessão roubada, na qual um invasor intercepta e assume uma sessão legitimamente estabelecida entre um usuário e um host. A relação usuáriohost pode se aplicar ao acesso de qualquer recurso autenticado, como um servidor da Web, uma sessão Telnet ou outra conexão baseada em TCP. Os atacantes se colocam entre o usuário e o host, permitindo que eles monitorem o tráfego do usuário e lancem ataques específicos. Uma vez que aconteça um sequestro de sessão bem-sucedido, o invasor pode assumir o papel do usuário legítimo ou simplesmente monitorar o tráfego para injetar ou coletar pacotes específicos a fim de criar o efeito desejado. Session hijacking Em seu sentido mais básico, uma sessão é um período de tempo acordado em que o estado conectado do cliente e do servidor é vetado e autenticado. Isso simplesmente significa que tanto o servidor quanto o cliente sabem (ou pensam que sabem) quem são, e com base nesse conhecimento, eles podem confiar que os dados enviados de qualquer forma acabarão nas mãos da parte apropriada. Se um sequestro de sessão é realizado com êxito, qual é o perigo? Vários eventos podem ocorrer neste momento, incluindo roubo de identidade e corrupção de dados. Em outras situações,

11 os sequestradores de sessão criaram um mecanismo perfeito através do qual alguém pode sniffar seu tráfego ou registrar transações. Entender o que constitui uma sessão torna mais fácil ver como o sequestro de sessão pode ser extremamente eficaz quando todos os fatores estão configurados corretamente. Por exemplo, uma forma específica de sequestro envolve o uso de um sniffer antes e durante um ataque e você aprendeu sobre sniffers. Entender o TCP three-way-handshake ajudará muito a sua compreensão do sequestro de sessão TCP. Antes de nos aprofundarmos nos detalhes de cada ataque, vejamos como o sequestro de sessões é categorizado. Um atacante que realiza um sequestro de sessão está tentando assumir uma sessão para suas próprias necessidades. Uma vez que eles assumiram uma sessão, eles poderão roubar dados, enviar comandos, ou até mesmo cometer transações que eles não seriam capazes. Vamos explorar as várias formas de sequestro de sessão pode tomar e identificar os métodos que você pode usar para frustrar um sequestro de sessão. O TCP/IP é vulnerável e a maioria das contra medidas, exceto a criptografia, não funciona. Outros pontos também contribuem para o sucesso do sequestro de sessão: Nenhum bloqueio de conta para IDs de sessão inválidos Manuseio inseguro Algoritmo de geração de ID de sessão fraca Tempo de expiração da sessão indefinida Transmissão de texto claro IDs de sessões pequenas O sequestro de sessões normalmente pode ser dividido em uma das três técnicas principais: 1. Brute-forçando um ID Isto é feito adivinhando um ID; Geralmente o invasor já tem algum conhecimento do intervalo de IDs disponíveis. O atacante pode ser

12 auxiliado pelo uso de referências HTTP, sniffing, crosssite scripting ou malware. 2. Roubando um ID Se eles podem gerenciá-lo, um invasor vai roubar um ID usando sniffing ou outros meios. 3. Cálculo de um ID Um invasor tentará calcular um ID de sessão válido simplesmente olhando para um existente e depois descobrindo a sequência. Se estamos falando sobre uma aplicação ou uma rede, em ambos os casos é geralmente alguma forma de sequência alfanumérica que identifica exclusivamente uma conexão específica. Um ID de sessão pode parecer abcdef, por exemplo, mas geralmente com muito mais entropia ou aleatoriedade para evitar a capturar, adivinhação ou cálculo de um ID, o qual permite que o atacante possa assumir uma conexão ou sessão. Observe que IDs de sessão também são conhecidos como tokens de sessão. Spoofing vs. Sequestro Antes de continuarmos, você deve saber que spoofing e sequestro são dois atos distintos. Spoofing ocorre quando um atacante finge ser algo ou alguém, como um usuário ou computador. O atacante não assume qualquer sessão. No sequestro, o invasor assume uma sessão ativa existente. Neste processo, o atacante espera por uma parte autorizada estabelecer uma conexão com um recurso ou serviço e, em seguida, assume a sessão dele. O processo de sequestro de sessão se parece com isto: 1. Sniffing Este passo não é diferente do processo que exploramos quando discutimos sniffing. Você deve ser capaz de farejar o tráfego na rede entre os dois pontos que têm a sessão que você deseja assumir.

13 2. Monitoramento Neste ponto, seu objetivo é observar o fluxo de tráfego entre os dois pontos com um olhar diferenciado para prever os números de sequência dos pacotes. 3. Dessincronização da sessão Esta etapa envolve interromper a sessão entre as duas partes. 4. Predição de ID de Sessão Neste momento, você prediz a própria ID de sessão para assumir a sessão. 5. Injeção de comando Nesta fase final, como atacante, você está livre para começar a injetar comandos na sessão. É importante que você entenda que o sequestro de sessão pode ocorrer em dois níveis inteiramente diferentes do modelo OSI, por isso é muito importante prestar atenção aos detalhes. Um sequestro de sessão pode ocorrer na camada de rede ou na camada de aplicação ou seja, um ataque pode direcionar TCP/UDP ou os protocolos muito mais altos na camada de aplicação, como HTTP ou FTP. Ataques Ativos e Passivos Você pode categorizar um ataque de sequestro de sessão como um ataque ativo ou um ataque passivo. Vejamos os dois: Ataque Ativo Um ataque de sequestro de sessão é considerado ativo quando o invasor assume a sessão como sua, assumindo assim a conexão do cliente legítimo com o recurso. Em um ataque ativo o atacante está ativamente manipulando e/ou cortando a conexão do cliente e enganando o servidor para pensar que eles são o usuário autenticado. Além disso, os ataques ativos geralmente envolvem um resultado DoS no cliente legítimo. Em outras palavras, o cliente é eliminado e substituído pelo atacante. A Figura 12.2 mostra como esse tipo de ataque se parece.

14 Ataque passivo Um ataque passivo concentra-se no monitoramento do tráfego entre a vítima e o servidor. Esta forma de sequestro usa um sniffer para capturar e monitorar o tráfego como ele vai através da rede. Um ataque passivo não altera a sessão de forma alguma. Ao contrário de um ataque ativo, o ataque passivo prepara o cenário para futuras atividades maliciosas. Um atacante tem uma posição estrategicamente vantajosa em um sequestro de sessão passiva; Eles podem capturar e analisar com êxito todo o tráfego das vítimas e progredir para uma posição de ataque ativa com relativa facilidade. Sequestro de sessão em aplicações Web O sequestro de sessão no nível da aplicação se concentra em obter acesso a um host ao obter IDs de sessão legítimas da vítima. Essencialmente, um ID de sessão (Session ID) é um

15 identificador que é aplicado à sessão de um usuário que permite que o servidor ou recurso da Web identifique a conversa que está tendo com o cliente. Então, por exemplo, digamos que você fez login em um site de vendas e está navegando no site dentro de um livro. Cada página para a qual você solicita do servidor web, você recebe a resposta e te encaminha-o para a próxima página sem que você precise fazer login repetidamente. O servidor é capaz de fazer isso porque ele identificou seu ID de sessão e assume que sabe quem você é neste momento. Os IDs de sessão, para nossos propósitos, vêm em três formas: Embutido em um URL Um aplicativo da Web usa o pedido GET para seguir os links incorporados em uma página da Web. Um invasor pode facilmente navegar pelo histórico de navegação da vítima e, muitas vezes, para obter acesso basta simplesmente digitar a URL de um aplicativo da Web previamente navegado. Embutido como um campo oculto Formulários para inserir dados do usuário muitas vezes incluem um campo oculto (hidden form) que é usado para enviar o ID de sessão de um cliente. O ID é enviado através do comando HTTP POST quando as informações são enviadas. Cookies Os cookies têm sido um meio potencial de exploração há algum tempo, e eles recentemente tomaram evidência para as questões de privacidade, como o rastreamento de atividades de compras ou armazenamento de dados sensíveis dos usuários. Um invasor pode obter informações de sessão de cookies que residem na máquina vítima. Vulnerabilidades de cookies persistentes ou sessões de subcodificação ou acesso mais fácil do cliente são algo que provavelmente todos tenham visto em algum momento. Considere, por exemplo, acessar uma página da web autenticada a partir do histórico do seu navegador, apenas para descobrir que você ainda está convenientemente conectado dias mais tarde.

16 Tipos de sequestro de sessão no nível de aplicação Ao tentar sequestrar uma sessão no nível do aplicativo, um hacker pode escolher entre um dos ataques: sniffing de sessão, previsão de tokens de sessão, man-in-the-middle e man-in-thebrowser. Vamos olhar para cada um. Sniffing de Sessão O sniffing de sessão é uma variação de sniffing. Nesta variação, você está procurando um destino específico, que é um token de sessão (também conhecido como ID de sessão). Uma vez que você, como atacante, encontrou este token, você usá-lo para obter acesso ao servidor ou outro recurso. Isso é como roubar as chaves de um carro que alguém alugou; Eles são o motorista autorizado, mas uma vez que você tem as chaves, você pode dirigi-lo, embora não esteja autorizado. Previsão de Tokens de Sessão A segunda maneira de obter um ID de sessão é prever ou fazer uma suposição sobre como um ID válido será. Como você faz isso? A maneira mais fácil e eficaz é reunir alguns IDs de sessão que já foram usados. Nesta lista de URLs, concentre-se na parte após a última barra: Vamos supor que estas são todas válidas, mas que expiraram, e queremos prever ou calcular uma nova. Se olharmos cuidadosamente, poderemos determinar um ID válido a ser usado. Você consegue ver o padrão? Eu vou quebrar cada um deles em

17 quatro pedaços. Parte 1 Parte 2 Parte 3 Parte 4 spo spo spo spo Olhe para os IDs e você deve ser capaz de determinar o padrão ou pelo menos como eles foram gerados. Você vê que as três primeiras letras permanecem as mesmas. Na parte 2, os números permanecem os mesmos também. A terceira parte muda, e se você olhar mais de perto você pode ser capaz de dizer alguma coisa. Neste caso, o segmento dá o tempo no formato de 24 horas, o que, por sua vez, dá-lhe uma visão dos segmentos 2 e 4. A parte 4 é o tempo em segundos. Se você olhar para a parte 2 você pode ver que é realmente a data, que neste caso é o 22 de fevereiro de 2005, ou Ataque Man-in-the-Middle Uma terceira maneira de obter um ID de sessão é através do ataque man-in-the-middle, que discutiremos nos ataques de rede. Ataque Man-in-the-Browser A quarta forma é o ataque man-in-the-browser, que é uma forma particularmente interessante de ataque. Os três formulários mais comuns são cross-site scripting, Trojans e JavaScript. Os mecanismos possíveis para realizar ataques man-in-thebrowser-based incluem o seguinte: Browser Helper Objects Bibliotecas dinamicamente carregadas pelo Internet Explorer durante a inicialização. Extensões O equivalente a objetos auxiliares do navegador

18 para o navegador Firefox. API Hooking A técnica usada por um ataque man-in-the-browser para executar seu ataque man-in-the-middle entre o EXE e suas bibliotecas (DLL). JavaScript Usando um worm Ajax mal-intencionado Cross-Site Scripting O cross-site scripting (XSS) é um tipo de ataque que pode ocorrer em muitos formulários, mas em geral ocorrem quando dados de algum tipo são inseridos em um aplicativo da Web por meio de uma fonte não confiável (na maioria dos casos, um pedido da Web). Normalmente, esses dados são incluídos como parte do conteúdo dinâmico que não passou por verificações de validação para garantir que é tudo confiável. Conteúdo dinâmico é qualquer tipo de conteúdo que é gerado onthe-fly ou sob demanda. Normalmente, isso significa que um usuário, navegador ou serviço faz uma solicitação, que é enviada para um servidor. O servidor interpreta a solicitação e retorna dados na forma de uma página da Web. Em muitos casos o conteúdo que faz com que o ataque ocorra vem na forma de JavaScript, mas não é restrito a este formato. Na verdade, ele poderia vir na forma de HTML, Flash ou outro código executável. Devido às enormes quantidades de código que podem ser executadas por um navegador da Web, as variações que esse tipo de ataque pode assumir são quase ilimitadas. Alguns dos objetivos mais comuns incluem ler ou roubar cookies, interferir com a informação da sessão, redirecionando para um local de escolha do atacante, ou qualquer outra tarefa. Ataques XSS armazenados e refletidos são as duas principais formas deste ataque, por isso vamos olhar para cada um: Ataques XSS armazenados (Stored XSS) Os ataques que caem nesta categoria tendem a ser o tipo mais perigoso. O ataque é

19 ativado por qualquer aplicativo da web que permite que um visitante armazene dados quando eles visitam o site. Na prática, uma aplicação web reúne a entrada de um visitante e armazena a entrada dentro da loja para posterior recuperação e uso. O processo fica errado quando um visitante malintencionado visita o site e sua entrada mal-intencionada é armazenada no armazenamento de dados. Uma vez que isso acontece, seus dados serão parte do site, e quando um visitante subsequente vem para o site, eles inadvertidamente executa os mesmos dados. Como o código é executado localmente, ele será executado com os privilégios do aplicativo cliente. Dependendo de como os dados são criados, o ataque pode realizar uma série de tarefas, incluindo estas: Sequestro do navegador de outro usuário Capturando informações confidenciais vistas pelos usuários do aplicativo Pseudo desfiguração da aplicação Varredura de portas de hosts internos (internos em relação aos usuários da aplicação web) Entrega direcionada de explorações baseadas em navegador Para adicionar perigo ao XSS armazenado, a vítima só precisa visitar a página com o ataque elaborado e não precisa clicar em um link. As fases a seguir referem-se a um cenário de ataque XSS armazenado típico: O atacante armazena código mal-intencionado na página vulnerável. O usuário autentica no aplicativo. O usuário visita uma página vulnerável. Código mal-intencionado é executado pelo navegador do usuário. O XSS armazenado é particularmente perigoso nas áreas de aplicação onde os usuários com privilégios altos têm acesso.

20 Quando esse usuário visita a página vulnerável, o ataque é executado automaticamente pelo navegador. Isso pode expor informações confidenciais, como tokens de autorização de sessão. Ataques XSS refletidos Estes ataques são um pouco mais complicado, pois o código injetado é rejeitado ou refletido fora de um servidor web na forma de uma mensagem de erro ou outro resultado. Normalmente, esses ataques fazem o seu caminho para a vítima na forma de um ou através de um servidor web diferente. Um usuário pode ser enganado para clicar em um link em uma página da web ou mensagem. Uma vez clicado, o link faria com que o usuário executasse o código. Na prática, o script cross-site refletido ocorre quando uma parte mal-intencionada injeta o código executável do navegador em uma única resposta HTTP. Como o código não é persistente e não é armazenado, ele só irá impactar os usuários que abrir um link especialmente projetado onde o ataque que faz parte da própria URL. Uma vez que o ataque é relativamente fácil de realizar em comparação com seu primo de procedimento armazenado, ele é encontrado com muito mais frequência do que ataques armazenados. Esse tipo de ataque normalmente aproveita JavaScript, VBScript ou outros idiomas de script apropriados. Nas mãos erradas, este tipo de ataque pode instalar loggers de chaves, roubar cookies da vítima, executar o roubo da área de transferência, ou mudar o índice da página (por exemplo, links de downloads). Em geral, as consequências do ataque XSS normalmente são as mesmas, independentemente da forma que o ataque leve: a divulgação do cookie de sessão do usuário ou permitir que um invasor segure a sessão do usuário e assuma a conta. Outros ataques prejudiciais incluem a revelação de arquivos do usuário final, a instalação de programas de cavalo de Tróia, o

21 redirecionamento do usuário para outra página ou site e a modificação da apresentação do conteúdo. Sugestões de livros: Ataques Distribuídos de Negação de Serviço (DDoS), ferramentas e como se proteger Os ataques distribuídos de negação de serviço (DDoS) têm os mesmos objetivos do DoS, mas a implementação é muito mais complexa e possui mais poder. Considerando que um ataque DoS depende de um único sistema ou um número muito pequeno de sistemas para atacar uma vítima, um ataque DDoS aumenta a escala por ter vários atacantes indo atrás de uma vítima. Quantos atacantes? Em qualquer valor de algumas centenas a alguns milhões em alguns casos. Ataques DDoS Os ataques DDoS têm o mesmo objetivo que os métodos DoS regulares; No entanto, a diferença reside na implementação do ataque. Um ataque DoS padrão pode ser iniciado a partir de um único cliente mal-intencionado, enquanto que um ataque DDoS usa um grupo distribuído de computadores para atacar um único destino. Confira a Figura 11.3 para ver um diagrama de uma configuração de DDoS.

22 Como você pode ver, algumas partes estão envolvidas ao realizar um ataque DDoS. Conceitualmente, o processo é bastante simples. O atacante primeiro infecta o manipulador, computador master, com uma compilação de software específico DDoS conhecido como um bot. O bot por sua vez se espalha através da rede da vítima à procura de potenciais clientes para torna-los escravos ou zumbis. Observe que o atacante escolhe propositadamente suas unidades baseado na vantagem do posicionamento que lhes dará para seu ataque DDoS. Isso equivale a manobrabilidade na rede que ele tem, como um servidor de arquivos ou semelhante. Uma vez que os sistemas de manipuladores foram comprometidos e os clientes zumbis estão infectados e ouvindo, o atacante precisa apenas identificar o alvo e enviar o sinal de atacar para os manipuladores. Um método comum de instalar secretamente um bot em um manipulador ou cliente é um cavalo de Tróia que carrega o bot

23 como um payload (carga). Uma vez que o manipulador e os zumbis subsequentes foram infectados, o atacante se comunica remotamente com a chamada botnet via canais de comunicação como o Internet Relay Chat (IRC) ou Peer-to-Peer (P2P). Ferramentas para criação de Botnets Várias ferramentas são usadas para criar botnets, incluindo o seguinte: Shark PlugBot Poison Ivy Low Orbit Ion Cannon (LOIC) Ferramentas DoS Segue uma lista de ferramentas DoS: DoSHTTP é uma ferramenta de inundação HTTP para DoS. Ele pode segmentar URLs e usa a designação de porta. UDPFlood ele gera pacotes UDP em uma taxa especificada e para uma rede específica. Jolt2 é uma ferramenta DoS de fragmentação de pacotes IP que pode enviar um grande número de pacotes fragmentados para um host Windows. Targa é uma ferramenta oito-em-um que pode executar ataques DoS usando uma ou várias das opções incluídas. Ataques podem ser do tipo Land, WinNuke, e teardrop. Ferramentas DDoS Trinoo é uma ferramenta DDoS que usa inundação UDP. Pode atacar IPs únicos ou múltiplos. O Low Orbit Ion Cannon (LOIC) tornou-se popular devido à sua fácil operação com um botão. Algumas pessoas suspeitam que grupos como o Anonymous, que usam ataques

24 DDoS como sua arma principal, usam o LOIC como sua principal ferramenta. TFN2K é uma ferramenta de ataque DDoS baseada em TFN (Tribe Flood Network) e pode executar ataques de inundação UDP, SYN e UDP. Stacheldraht é uma ferramenta DDoS que tem recursos de ataque semelhantes ao TFN2K. Os ataques podem ser configurados para serem executados por um período especificado e para portas específicas. Estratégias defensivas Vejamos algumas estratégias defensivas de DoS: Desabilitando Serviços Desnecessários poderá ajudar a proteger contra ataques de DoS e DDoS em sistemas individuais e implementando medidas de rede que protegem contra tais ataques. Usando o Anti-malware a proteção contra vírus em tempo real pode ajudar a evitar instalações de bot, reduzindo as infecções de Trojan com payloads úteis de bot. Isso tem o efeito de parar a criação de bots para uso em uma botnet. Embora não seja uma defesa contra um ataque real, pode ser uma medida preventiva. Ativando o Router Throttling Os ataques DoS que dependem da saturação do tráfego da rede podem ser frustrados ou, pelo menos, mitigados, permitindo a limitação de roteamento em seu roteador de gateway. Isso estabelece um controle automático sobre o impacto que um potencial ataque DoS pode causar e fornece um buffer de tempo para que os administradores de rede respondam adequadamente. Um proxy reverso é o oposto de um proxy direto ou padrão. O recurso de destino, em vez do solicitante, desencadeia o redirecionamento de tráfego. Por exemplo, quando uma solicitação é feita para um servidor da Web, o tráfego

25 solicitante é redirecionado para o proxy reverso antes de ser encaminhado para o servidor real. O benefício de enviar todo o tráfego para um intermediário é que o intermediário pode tomar uma ação protetora se ocorrer um ataque. Ativando o filtro de entrada e saída evita ataques de DoS e DDoS filtrando itens como endereços IP falsificados que vêm de fora da rede. Em outras palavras, se o tráfego vindo do lado público de sua conexão tiver um endereço de origem correspondente ao seu esquema de IP interno, então você sabe que é um endereço falsificado. A filtragem de saída ajuda a prevenir ataques DDoS filtrando o tráfego de saída que pode impedir que o tráfego malicioso volte para o atacante. Serviços degradantes Nesta abordagem, os serviços podem ser automaticamente atenuados ou encerrado em caso de ataque. A ideia é que os serviços degradados tornam o ataque mais difícil e tornam o alvo menos atraente. Absorvendo o Ataque Outra solução possível é adicionar serviços extras e poder na forma de largura de banda e outro significa ter mais poder do que o atacante pode consumir. Este tipo de defesa exige um monte de planejamento extra, recursos e, claro, dinheiro. Esta abordagem pode incluir o uso de tecnologias de balanceamento de carga ou estratégias semelhantes. Defesas específicas de Botnet As estratégias defensivas específicas a botnet são as seguintes: Filtragem RFC 3704 Esta defesa é projetada para bloquear ou parar pacotes de endereços que não são utilizados ou reservados em qualquer intervalo de IP. Idealmente, essa filtragem é feita no ISPlevel antes de alcançar a rede principal. Filtragem Black Hole Esta técnica, na sua essência, cria

26 um buraco negro ou área na rede onde o tráfego ofensivo é encaminhado e descartado. Filtragem de reputação do IP de origem A Cisco oferece um recurso em seus produtos, especificamente suas tecnologias IPS, que filtra o tráfego baseado na reputação. A reputação é determinada pela história passada de ataques e outros fatores. Sugestões de livros: Entendendo o que é Negação de Serviço (Denial of Service DoS) A negação de serviço é um ataque que visa impedir a comunicação normal com um recurso, desabilitando o próprio recurso ou desabilitando um dispositivo de infraestrutura que forneça conectividade a ele. O recurso desativado pode ser na forma de dados do cliente, recursos do site ou um serviço específico, por exemplo. A forma mais comum de DoS é inundar uma vítima com tanto tráfego que todos os recursos disponíveis do sistema estarão sobrecarregados e incapazes de lidar com pedidos adicionais. O invasor inunda a rede de vítimas com quantidades extremamente grandes de dados inúteis ou solicitações de dados, esmagando a rede e tornando-a inútil ou indisponível para usuários legítimos. Então, quais são os sinais de um potencial ataque DoS? Falta de disponibilidade de um recurso Perda de acesso a um site

27 Lentidão Aumento de s de spam As vítimas típicas dos ataques DoS variam de recursos de propriedade do governo a fornecedores on-line e outros, e a intenção do ataque é geralmente o fator decisivo em termos de como o alvo será atacado. Considere alguns exemplos simples para lhe dar uma idéia do impacto de um ataque de DoS bemsucedido. Um ataque bem sucedido DoS contra a página da Web de uma empresa ou a disponibilidade de recursos de back-end poderia facilmente resultar em uma perda de milhões de dólares em receita, dependendo do tamanho da empresa. Além disso, considere o impacto negativo para a marca e reputação da empresa. Como você pode ver, o impacto de um único ataque DoS com intenção dirigida específica pode se tornar extremamente prejudicial para a vítima em muitos níveis diferentes. Outro tema que permeia os ataques DoS, bem como outras formas de ataque, são os hackers que tomam medidas contra um alvo baseado no princípio ou um senso de missão pessoal, que é conhecido como hacktivismo. Hacktivistas são uma ameaça particularmente preocupante, porque seu foco não é necessariamente no ganho pessoal ou reconhecimento; Seu sucesso é medido pelo quanto suas ações maliciosas beneficiam sua causa. Este processo de pensamento se encaixa bem com ataques DoS em que a mensagem que está sendo enviada pode ser deixada para a interpretação ou, mais comumente, ser reivindicada por um grupo ou indivíduo. Vítimas do DoS Os ataques DoS resultam em muitas conseqüências. Vejamos alguns exemplos comuns do que é visto no mundo real: Web Server comprometido Um ataque de DoS bem sucedido e o comprometimento subsequente de um servidor web constitui a maior exposição pública contra um alvo específico. O que você vê com mais freqüência é uma

28 perda de tempo de atividade para uma página da web da empresa ou recurso da web. Recursos de back-end Os recursos de back-end incluem itens de infra-estrutura que suportam um recurso voltado para o público, como um aplicativo da Web. Os ataques DoS que eliminam um recurso back-end, como um banco de dados de clientes ou um farm de servidores, tornam essencialmente indisponíveis todos os recursos de frontend. Os ataques DoS específicos de rede ou de computador também são iniciados a partir de uma rede de área local, com a intenção de comprometer a própria rede ou comprometer um nó específico, como um servidor ou sistema cliente. Tipos de Ataques Ataques DoS vêm de muitas maneiras, cada um dos quais é fundamental para a sua compreensão da natureza da classe de ataque DoS. Inundações de solicitação de serviço Nesta forma de ataque DoS, um serviço como um servidor web ou aplicativo da Web é inundado com solicitações até que todos os recursos sejam usados. Isso seria o equivalente a ligar para o telefone diversas vezes para que eles não pudessem atender quaisquer outras chamadas devido à sua ocupação. Quando um único sistema está atacando outro, é difícil oprimir a vítima, mas pode ser feito em alvos menores ou ambientes despreparados. As inundações de solicitação de serviço são normalmente realizadas configurando conexões TCP repetidas para um sistema. As conexões TCP repetidas consomem recursos no sistema da vítima até o ponto de exaustão.

29 Ataque de SYN Flood Este tipo de ataque explora o handshake de três vias com a intenção de amarrar um sistema. Para que esse ataque ocorra, o invasor forja pacotes SYN com um endereço de origem falso. Quando o sistema de vítima responde com um SYN-ACK, ele vai para este endereço falso, e uma vez que o endereço não existe, faz com que o sistema de vítima espere por uma resposta que nunca virá. Este período de espera prende uma conexão ao sistema porque o sistema não receberá um ACK. Ataque ICMP Flood Uma solicitação ICMP requer que o servidor processe a solicitação e responda, consumindo recursos da CPU. Os ataques no ICMP incluem ataques de smurf, ICMP flood e ping flood, todos os quais se aproveitam dessa situação inundando o servidor com solicitações ICMP sem esperar pela resposta. Ping da Morte (Ping of Death) Um verdadeiro clássico realmente, que se originou em meados dos anos 1990, o ping da morte foi um pacote de ping que era maior do que o permitido de 64 K. Embora não seja uma ameaça significativa hoje devido ao bloqueio de ping. Em seu auge o ping da morte era um exploit de DoS formidável e extremamente fácil de usar. Teardrop Um ataque de Teardrop ocorre quando um invasor envia pacotes fragmentados personalizados com valores de deslocamento que se sobrepõem durante a tentativa de reconstrução. Isso faz com que a máquina de destino se torne instável ao tentar reconstruir os pacotes fragmentados. Smurf Um ataque smurf faz spoof do endereço IP da máquina de destino e envia inúmeros pacotes ICMP echo requests para os endereços

30 de difusão de sites intermediários. Os sites intermediários amplificam o tráfego ICMP de volta para o IP de origem, saturando assim o segmento de rede da máquina de destino. Fraggle Um ataque fraggle é uma variação de um ataque smurf que usa UDP echo requestes em vez de ICMP. Ele ainda usa um intermediário para amplificação. Comumente um ataque de fraggle enviam as UDP echo requestes à porta do chargen (gerador de caracteres) dos sistemas intermediários através de um pedido de transmissão. Assim como em um ataque de smurf, o atacante falsifica o endereço IP da vítima como fonte. Cada cliente que recebe o echo para a porta chargen irá, por sua vez, gerar um caractere a ser enviado para a vítima. Uma vez recebido, a máquina vítima ecoará de volta à porta de carga do intermediário, reiniciando assim o ciclo. Land Um ataque Land envia tráfego para a máquina de destino com a fonte falsificada como a própria máquina de destino. A vítima tenta reconhecer o pedido repetidamente sem fim. Ataques DoS permanentes A maioria dos ataques DoS são temporários e só precisa ser interrompida, e qualquer bagunça que eles criaram voltará tudo ao normal. No entanto, alguns tipos de ataques DoS destroem um sistema e podem fazem ficar permanentemente off-line. O Phlashing é uma forma de DoS permanente que envolve empurrar atualizações falsas ou incorretas para o firmware de um sistema alvo. Quando isso é feito, o hardware torna-se inutilizável em muitos casos e deve ser substituído. Quando um sistema é atacado de tal maneira, é dito ser bricked. Em outras palavras, é inútil como um computador e agora é um tijolo.

31 Ataques no nível de aplicativo Os ataques em nível de aplicativo são aqueles que resultam em perda ou degradação de um serviço até o ponto em que ele é inutilizável. Esses ataques podem até resultar na corrupção ou perda de dados em um sistema. Normalmente, esses tipos de ataques assumem a forma de um dos seguintes: Flood Este ataque oprime o alvo com o tráfego para dificultar ou impossibilitar responder aos pedidos legítimos. Disrupt Este ataque geralmente envolve atacar um sistema com a intenção de bloquear ou bloquear um usuário ou usuários, por exemplo, tentando fazer login em um sistema várias vezes para bloquear a conta para que o usuário legítimo não possa usá-lo. Jam Neste ataque, normalmente o atacante está criando consultas SQL para bloquear ou corromper um banco de dados. Buffer Overflow (Estouro do buffer) Buffer overflow é uma técnica DoS que tira proveito de uma falha na codificação de um programa, introduzindo mais dados do que o buffer do programa, ou espaço de memória, tem de espaço. Uma vez que o buffer de um programa está no estado de estouro, todas as entradas adicionais gravadas no buffer podem ter consequências negativas, como falhas, problemas de segurança ou outros problemas. Tal como acontece com muitos ataques DoS, a intenção é colocar o programa ou sistema em um estado imprevisível ou inesperado. Isso se relaciona com o estouro de buffer, uma vez que um programa está em um estado inesperado, o potencial para uma condição DoS é extremamente alto.

32 O Heap e o Stack A Heap e o Stack são duas áreas de memória que um programa usa para armazenamento: Heap É um local de armazenamento dinâmico que não tem restrições sequenciais ou um esquema organizacional. Considera-se o conjunto maior de armazenamento livre para programas para serem utilizados conforme necessário. Uma vez que o espaço de memória dinâmico não é mais necessário e o programa recuperou os dados necessários, o espaço ocupado no heap é liberado para uso futuro. Stack (Pilha) A pilha refere-se ao pool menor de armazenamento livre: memória alocada a um programa para processamento de curto prazo. Esta é a área de ação principal, onde as variáveis de programa são temporariamente armazenadas, adicionadas e removidas conforme necessário para executar uma função específica. O nome Stack (pilha) vem do fato de que acessar seus recursos é semelhante em função à forma como você acessa informações de uma pilha de dominós, por exemplo. Você pode ver o valor do dominó superior, você pode remover um dominó da parte superior, e você pode empilhar outro dominó na parte superior. Se você puxar o dominó inferior ou médio da pilha, a pilha inteira vem caindo para baixo. Assim, você está limitado a manipular a pilha de cima para baixo. É assim que uma pilha de programas também funciona. Outro nome para este tipo de acesso é last-in, first-out (LIFO). O último item a ser empilhado é o primeiro item a ser removido. Na linguagem de programação, o termo push é usado para descrever a adição de um novo item à pilha e pop descreve a remoção de um item. Assim, se um programa quer adicionar ou remover algo da pilha, ele usa as ações push e pop de acordo, e ele faz isso de forma linear de cima para baixo.

33 Pilha de um programa básico A ideia para tirar disto é entender como a pilha pode ser transbordada e assim criar uma condição DoS dentro do programa ou sistema. Conhecer os conceitos básicos de como a pilha é usada dará a ideia de como pode ser comprometido. Vamos ver alguns conceitos-chave que serão importantes: Smashing the Stack Refere-se ao uso de buffer overflow para comprometer a integridade da pilha e obter acesso ao nível do programa para execução de códigos maliciosos. Consulte a figura da pilha de um programa básico; Quebrar a pilha modifica a operação normal da pilha enviando o excesso de dados à pilha, ultrapassando seus limites normais (se deixado desmarcado). O excesso de dados substitui as variáveis??legítimas na pilha e redefine o valor do ponteiro de instrução estendido (EIP) para apontar para o código malicioso injetado.

34 Smashing A figura merece apenas um pouco mais de explicação, porque pode parecer um pouco confuso neste momento. Vamos ver uma peça de cada vez. Subjacente ao bloco 0x90 está a pilha de programas básicos da primeira figura. Lembre-se de que a primeira figura representa a operação normal, onde as variáveis??do programa e os dados armazenados permanecem dentro dos limites de memória normais, que estão entre o ponteiro da pilha (parte superior da pilha) e a parte inferior da pilha. A sobreposição 0x90 na figura do Smashing representa a porção de excesso que foi aplicada ou empurrada na pilha normal. O excesso de dados, que ultrapassou em muito o limite de pilha, colocou a pilha em uma condição de estouro. Uma vez que isso seja alcançado, o ponto de referência do programa para a próxima execução de instrução legítima foi deslocado para o código transbordado do atacante. Neste ponto, o programa executa o código malicioso do invasor com privilégios idênticos aos do programa legítimo original. NOP Sled Refere-se ao shellcode (código de máquina) usado em um ataque de buffer overflow que usa vários comandos No

35 Operation em um pedaço sequenciado. NOP por si só significa Sem Operação ; Assim, o que vem seguindo o NOP é uma grande sequência de chamadas sem função de operação. O valor 0x90, que você viu na figura de Smashing, é o valor hexadecimal de uma instrução NOP que se aplica a processadores Intel; Portanto, uma instrução NOP com um valor de 0x90 instruirá um processador Intel para executar um ciclo de um relógio em um processo vazio. Em linguagem simples, 0x90 forçará uma CPU Intel a disparar um único ciclo. Agora, uma série de valores 0x90, como você viu na figura de Smashing, e você terá um grande padding na pilha que pode definir o estágio para a execução de código malicioso. Um resumo rápido é que um programa usa a pilha e o heap para armazenamento. O heap é dinâmico, enquanto que a pilha é linear em operação (superior, inferior, LIFO). O buffer overflow sobrecarrega o heap, excedendo os limites de memória. Isso, por sua vez, cria uma condição imprevisível na qual o sistema operacional agora vê o programa como operando fora de seu espaço de memória alocado. Provavelmente acontecerá um dos seguintes: O sistema operacional encerra o programa ofensivo devido ao programa estar operando fora do espaço de memória alocado. O endereço do código malicioso do hacker, que agora reside na pilha transbordada, termina no EIP, fazendo com que esse código seja executado. Sugestões de livros:

36 Mais alguns tipos de malwares: Adware, Scareware e Ransomware Vamos iniciar pelo Adware, o qual é um tipo bem conhecido de malware. Muitos sistemas estão ativamente infectados com este tipo de malware das várias instalações e outras atividades que realizam. Quando esse tipo de software é implantado no sistema de uma vítima, ele exibe anúncios, pop-ups e telas de nag e pode até mudar a página de início do navegador. Normalmente, este tipo de software é espalhado através de um download com outro software ou quando a vítima visita um site que implementa furtivamente em seu sistema. Às vezes, o adware é implantado no sistema da vítima junto com o software legítimo de um desenvolvedor que é pago para incluir o malware na distribuição. Embora essa prática não seja necessariamente mal-intencionada no sentido mais puro, ela ainda se ajusta à definição de malware, porque muitas vítimas não sabem que estão permitindo que este item adicional seja instalado. Scareware Um tipo relativamente novo de software é scareware. Este tipo de malware avisa a vítima de possíveis danos que poderiam acontecer se eles não tomar alguma ação. Normalmente, essa ação envolve o fornecimento de um número de cartão de crédito ou fazer outra coisa para comprar um utilitário que supostamente precisam limpar seu sistema. Em muitos casos, o utilitário que a vítima compra e instala é realmente outra coisa, como spyware, adware ou até mesmo um vírus. Este tipo de software baseia-se na ignorância ou medo de

37 potenciais vítimas que não sabem que estão sendo enganados. Scareware tornou-se mais comum ao longo dos últimos anos como os usuários tornaram-se mais conhecedores e autores de malware tiveram que mudar suas táticas. Encorajar os usuários a clicar em diálogos realistas e apresentar mensagens de erro reais pode ser uma maneira poderosa de colocar software ilícito no sistema de um usuário. Ransomware Esta nova forma de malware é uma que está se espalhando rapidamente e pode causar muitos problemas para os infectados. Ransomware funciona tipicamente procurando por arquivos ou dados valiosos e criptografando-os. Uma vez que eles são criptografados, a vítima será informada de que eles precisam pagar uma quantia para obter o código para desbloquear seus arquivos. Outra forma deste tipo de malware não é criptografar arquivos, mas exibir imagens pornográficas em seu sistema e parar somente se uma determinada quantia for paga em resgate. Sugestões de livros: Cobrindo seus rastros em um pentest Depois de ter invadido um sistema e ter um software instalado ou executado alguns scripts, o próximo passo é a limpeza de seus rastros ou esconde-los. O objetivo desta fase é evitar que seu ataque seja facilmente descoberto usando várias técnicas para esconder os sinais. Durante esta fase, você procura eliminar mensagens de erro, arquivos de log e outros

38 itens que podem ter sido alterados durante o processo de ataque. Desabilitando a auditoria Uma das melhores maneiras de evitar ser descoberto é não deixar trilhas em tudo. E uma das melhores maneiras de fazer isso é evitar que qualquer trilha seja criada ou, pelo menos, minimizar a quantidade de provas. Quando você está tentando não deixar trilhas, um bom ponto de partida é alterando a forma como os eventos são registrados no sistema alvo. Desativar a auditoria em um sistema evita que certos eventos apareçam e, portanto, retarda a detecção. Lembre-se que a auditoria é projetada para permitir a detecção e rastreamento de eventos selecionados em um sistema. Uma vez que a auditoria é desativada, você efetivamente privou o defensor de uma grande fonte de informações e forçou-os a procurar outros métodos de detecção. No ambiente Windows, você pode desabilitar a auditoria com o comando auditpol. Usando a técnica de sessão NULL durante suas atividades de enumeração, você pode se conectar a um sistema remotamente e executar o comando da seguinte maneira: auditpol \\<endereço IP do destino> /clear Você também pode executar o que equivale à remoção cirúrgica de entradas no Log de Segurança do Windows, usando ferramentas como as seguintes: Dump Event Log ELSave WinZapper CCleaner Wipe MRU-Blaster Tracks Eraser Pro

39 Clear My History Esconder dados Existem outras maneiras de ocultar evidências de um ataque, incluindo ocultar os arquivos colocados no sistema, como arquivos EXE, scripts e outros dados. Sistemas operacionais como o Windows fornecem muitos métodos que você pode usar para ocultar arquivos, incluindo atributos de arquivo e fluxos de dados alternativos. Os atributos de arquivo são uma característica dos sistemas operacionais que permite que os arquivos sejam marcados como tendo certas propriedades, como marcar para somente leitura e oculto. Os arquivos podem ser sinalizados como ocultos, o que é uma forma conveniente de ocultar dados e impedir a detecção através de meios simples, como listagens de diretório ou navegação no Windows Explorer. Ocultar arquivos desta forma não fornece proteção completa, pois, técnicas mais avançadas podem descobrir arquivos escondidos desta forma. Fluxos de dados alternativos Um método muito eficaz de ocultar dados em um sistema Windows também é um dos menos conhecidos: Fluxos de dados alternativos (Alternate Data Stream ADS). Este recurso é parte do NTFS desde a década de 1990, mas desde a sua introdução tem recebido pouco reconhecimento; Isso faz com que seja útil para um atacante experiente e perigoso para um defensor que sabe pouco sobre isso. Originalmente, esse recurso foi projetado para garantir a interoperabilidade com o sistema de arquivos hierárquicos do Macintosh (HFS), mas desde então tem sido usado para outros fins. O ADS fornece a habilidade de fork ou de esconder dados do arquivo dentro dos arquivos existentes sem alterar a aparência ou o comportamento de um arquivo de qualquer

40 maneira. Na verdade, quando você usa ADS, você pode ocultar um arquivo de todas as técnicas de detecção tradicionais, assim como dir e Windows Explorer. Na prática, o uso de ADS é uma grande questão de segurança porque é quase um mecanismo perfeito para ocultar dados. Uma vez que um pedaço de dados é incorporado e oculto usando ADS, ele pode ficar em espera até que o atacante decide executá-lo mais tarde. O processo de criação de um ADS é simples, como exemplo vamos esconder um arquivo chamado triforce em um arquivo chamado smoke.doc: Type triforce.exe>??smoke.doc:triforce.exe Executando este comando, ocultaremos o arquivo triforce.exe atrás do arquivo smoke.doc. Neste ponto, o arquivo é transmitido. O próximo passo é excluir o arquivo original que você acabou de ocultar, triforce.exe. Como um invasor, recuperar o arquivo é tão simples quanto: start smoke.doc:triforce.exe Este comando tem o efeito de abrir o arquivo oculto e executálo. Como um defensor, isso soa como uma má notícia, porque os arquivos escondidos desta forma são impossíveis de detectar usando a maioria dos meios. Mas usando alguns métodos avançados, eles podem ser detectados. Ferramentas que você pode usar para fazer isso incluem o seguinte: SFind Uma ferramenta forense para encontrar arquivos streamed; LNS Usado para encontrar arquivos ADS; Tripwire Usado para detectar mudanças nos arquivos; Por natureza pode detectar ADS;

41 OBS.: ADS está disponível somente em volumes NTFS, não importa a versão do NTFS. Este recurso não funciona em outros sistemas de arquivos. Sugestões de livros: Escalando privilégios e executando aplicações em um ataque Quando você obtém uma senha e obtém acesso a uma conta, ainda há mais trabalho a fazer: escalar os privilégios. A realidade é que a conta que você está comprometendo pode acabar sendo privilegiada e menos defendida. Se este for o caso, você deve executar o escalonamento de privilégios antes de realizar a próxima fase. O objetivo deve ser ganhar um nível onde menos restrições existem na conta e você tem maior acesso ao sistema. Cada sistema operacional vem com um número de contas de usuário e grupos já presentes. No Windows, os usuários préconfigurados incluem as contas de administrador e de convidado. Como é fácil para um invasor encontrar informações sobre as contas incluídas em um sistema operacional, você deve ter o cuidado de garantir que essas contas sejam protegidas adequadamente, mesmo que nunca sejam usadas. Um invasor que sabe que essas contas existem em um sistema é mais do que provável para tentar obter suas senhas.

42 Existem dois tipos definidos de escalonamento de privilégios. Cada um se aproxima do problema de obter maiores privilégios a partir de um ângulo diferente: Escalação de Privilégio Horizontal Um invasor tenta assumir os direitos e privilégios de outro usuário que tem os mesmos privilégios que a conta atual; Escalação de Privilégio Vertical O atacante ganha acesso a uma conta e tenta elevar os privilégios da conta. Também é possível realizar uma escalação vertical comprometendo uma conta e, em seguida, tentando obter acesso a uma conta de privilégios mais elevados. Uma maneira de aumentar os privilégios é identificar uma conta que tenha o acesso desejado e, em seguida, alterar a senha. Várias ferramentas que oferecem esta capacidade, incluindo: Active@ Password Changer Trinity Rescue Kit ERD Commander Windows Recovery Environment (WinRE) Password Resetter Vejamos um destes aplicativos um pouco mais perto: Trinity Rescue Kit (TRK). De acordo com os desenvolvedores da TRK: Trinity Rescue Kit (TRK) é uma distribuição Linux especificamente projetada para ser executada a partir de um CD ou unidade flash. TRK foi projetado para recuperar e reparar sistemas Windows e Linux que eram de outra forma não inicializáveis ou irrecuperáveis. Embora o TRK tenha sido projetado para propósitos benevolentes, ele pode ser facilmente usado para aumentar os privilégios ao redefinir senhas de contas às quais você não teria acesso. TRK pode ser usado para alterar uma senha, inicializando o sistema de destino através de um CD ou flash drive e entrar no ambiente TRK. Uma vez no ambiente, uma sequência simples de comandos pode ser executada para redefinir a senha de uma conta.

43 Os seguintes passos devem ser executados no Windows usando o TRK para mudar a senha do administrador: Na linha de comando, use o seguinte: winpass -u Administrator O comando winpass mostra uma mensagem similar ao seguinte: Searching and mounting all file system on local machine Windows NT/2K/XP installation(s) found in: 1: /hda1/windows Make your choice or q to quit [1]: Pressione 1 ou o número do local onde o Windows está instalado, caso tenha mais de uma instalação. Pressione Enter; Digite a nova senha ou aceite a sugestão do TRK para setar a nova senha. Você verá a mensagem: Do you really wish to change it? Aperte Y e Enter. Digite init 0 para desligar o sistema TRK Linux Reinicie. Executando aplicações Depois de ter acesso a um sistema e obter privilégios suficientes, é hora de comprometer o sistema e realizar o ataque. Quais aplicativos serão executados neste momento é uma decisão do invasor, mas podem ser aplicativos personalizados ou comerciais. Em alguns casos, uma vez que um atacante obteve acesso a um sistema e está executando aplicativos nele, dizem que o sistema está owned. Um invasor executa diferentes aplicativos em um sistema com objetivos específicos em mente: Backdoors Aplicações deste tipo são projetadas para

44 comprometer o sistema de tal forma que permita o acesso posterior. Um atacante pode usar essas portas para atacar o sistema. Backdoors podem vir na forma de rootkits, trojans e semelhantes. Eles podem até incluir software na forma de Trojans de acesso remoto (RATs). Crackers Qualquer software que se encaixa nesta categoria é caracterizado pela capacidade de quebrar um código ou obter senhas. Keyloggers Keyloggers são dispositivos de hardware ou software usados??para obter informações inseridos através do teclado. Malware Este é qualquer tipo de software projetado para capturar informações, alterar ou comprometer o sistema. Plantando um backdoor Há muitas maneiras de plantar um backdoor em um sistema, mas vamos olhar para um fornecido através da suíte PsTools. Esta suíte inclui um conjunto misto de utilitários concebidos para facilitar a administração do sistema. Entre essas ferramentas está o PsExec, que é projetado para executar comandos de forma interativa ou não interativa em um sistema remoto. Inicialmente, a ferramenta pode parecer semelhante ao Telnet ou Remote Desktop, mas não requer instalação no sistema local ou remoto para funcionar. Para trabalhar, o PsExec só precisa ser copiado para uma pasta no sistema local e executado com as opções apropriadas. Vejamos alguns dos comandos que você pode usar com o PsExec: O comando a seguir lança um prompt de comando interativo em um sistema chamado \\zelda:psexec \\zelda cmd Este comando executa ipconfig no sistema remoto com a opção /all e exibe a saída resultante localmente: psexec \\zelda ipconfig /all Este comando copia o programa rootkit.exe para o sistema

45 remoto e executa-o interativamente: psexec \\zelda -c rootkit.exe Este comando copia o programa rootkit.exe para o sistema remoto e executa-o de forma interativa usando a conta de administrador no sistema remoto: psexec \\zelda -u administrator -c rootkit.exe Como esses comandos ilustram, é possível para um invasor executar um aplicativo em um sistema remoto com bastante facilidade. O próximo passo é para o atacante decidir o que fazer ou o que executar no sistema remoto. Algumas das opções comuns são trojans, rootkits e backdoors. Outros utilitários que podem ser úteis para se conectar a um sistema remotamente são os seguintes: PDQ Deploy Este utilitário foi projetado para auxiliar na implantação de software em um único sistema ou em vários sistemas em uma rede. O utilitário foi projetado para integrar com o Active Directory (AD), bem como outros pacotes de software. RemoteExec Este utilitário foi projetado para funcionar como o PsExec, mas também facilita a reinicialização, reinicialização e manipulação de pastas no sistema. DameWare Este é um conjunto de utilitários usados??para administrar e controlar remotamente um sistema. Bem como os outros utilitários nesta lista, ele está prontamente disponível e pode não ser detectado por antivírus. DameWare também tem a vantagem de trabalhar em plataformas como Windows, OS X e Linux. Netcat Este utilitário é uma aplicação simples e eficaz que pode ser usada abrir backdoors em um sistema quando plantado eficazmente em um sistema. Sugestões de livros:

46 Hackear o telefone de uma celebridade na década de 1930 era bem parecido com hoje em dia Myrna Loy foi uma grande estrela do cinema nas décadas de 1930 e Estrelou em filmes clássicos como A Ceia dos Acusados (1934), Vencido Pela Lei (1934) e Os Melhores Anos de Nossas Vidas (1946). Ed Sullivan coroou-a como A Rainha dos Filmes. Mas celebridades sempre têm um lado obscuro. Loy foi alvo de atenção indesejada de fãs muito ansiosos e esquisitos, assim como tantas outras celebridades de todas as eras. Tanto que o FBI chegou a se envolver. E documentos recentemente enviados pelo FBI ao Gizmodo revelam que invadir a privacidade de Myrna Loy não era tão diferente de hackear o celular de uma celebridade hoje em dia. Os telefones na década de 1930 não eram nada como os smartphones de hoje, é claro. Mas as pessoas que queriam informações de contato pessoal da Myrna Loy para assediá-la usaram muitas das mesmas táticas usadas por hackers no século 21. Quando falamos sobre hackear a conta de rede social, o computador ou o telefone de alguém, o cidadão médio automaticamente presume que isso se consegue por meio de softwares sofisticados e habilidades de programação e algumas vezes é isso mesmo. Mas o segredo aberto sobre hackear é que a informação conseguida por meio de conversas com outras pessoas é, frequentemente, a ferramenta mais importante da

47 caixa de ferramentas de qualquer hacker. Se você conseguir que uma empresa de telefonia, um parente ou um amigo te deem informações valiosas que possam levar a uma senha de reset ou a uma autenticação de dois fatores de um número de telefone, isso é 100 vezes mais inestimável do que tentar invadir à força, pela porta da frente, a casa do famoso. E é exatamente isso que os hackers de Myrna Loy fizeram nos anos Em 1938, a atriz começou a receber chamadas, em casa e no estúdio em que trabalhava, do que parecia ser uma mulher. Inicialmente, eram apenas trotes inofensivos, mas rapidamente se tornaram perturbadoras, de acordo com Loy. A equipe de segurança privada da Paramount Studios então entrou em contato com seus amigos do escritório de Los Angeles do FBI para avisá-los sobre o que estava acontecendo, e o FBI enviou alguns agentes para a investigação. Suspeitos desconhecidos começaram a ligar para homens aleatórios na área de Los Angeles, fingindo ser Loy e entregando o endereço verdadeiro da atriz, convidando-os para se divertir. Não ficou claro se essas eram as mesmas pessoas que estavam fazendo os trotes para Loy em sua casa e no estúdio. Loy logo trocou seu número de telefone, o que fez parar as ligações para sua casa, e a Paramount Studios e a MGM começaram a filtrar melhor as ligações. Mas quando o FBI enfim rastreou uma das pessoas que estavam fazendo as chamadas ameaçadoras, descobriram a fraqueza no sistema: o infrator conseguiu blefar e arranjar o número do telefone da casa de Myrna Loy ligando para o estúdio e fingindo ser amigo da atriz.

48 Excerto do arquivo do FBI sobre Myrna Loy, de página datada em 10 de agosto de 1938 É exatamente esse tipo de engenharia social que torna a melhor criptografia moderna e os conhecimentos técnicos esforços relativamente fúteis, quando se considera o número de pontos fracos sobre os quais você não tem controle algum. Trotes, telefones hackeados e fingir ser outra pessoa sempre serão coisas vulneráveis aos caprichos de pessoas que sabem manipular outras. E acontece que sempre foi assim. Eu subi o arquivo inteiro do FBI aqui (em inglês). Há, nele, acusações de que a atriz tinha ligações comunistas, mas esse era o perfil de muitos esquerdistas de alto perfil que eram politicamente ativos nos anos Pelos relatos, a Loy era uma democrata bem padrão. Boa leitura. Imagem do topo: Getty Images / Fonte: Bombas de insulina da J&J estão vulneráveis a ataques remotos Brechas encontradas por pesquisador expõe a necessidade de reforçar a segurança de dispositivos médicos.

49 A fabricante de dispositivos médicos Animas, subsidiária da Johnson & Johnson, está alertando pacientes diabéticos que usam a bomba de insulina OneTouch sobre questões de segurança que poderiam permitir hackers entregar doses de insulina não autorizadas. As vulnerabilidades foram descobertas pelo analista de segurança da Rapid7, Jay Radcliffe, que é diabético Tipo 1 e usa o aparelho em questão. As brechas resultam principalmente de uma falha de criptografia na comunicação entre duas partes do dispositivo: a própria bomba de insulina e o medidor que monitora os níveis de açúcar no sangue e que remotamente diz a bomba o quanto de insulina deve ser administrada. A bomba e o medidor usam um protocolo de gerenciamento sem fio através de comunicações de rádio frequência que não são criptografadas. Isso expõe o sistema a uma série de ataques. Primeiramente, invasores poderiam bisbilhotar o tráfego e ler os resultados da glicose no sangue e dados de dosagem da insulina. Depois, eles poderiam simplesmente falsificar o medidor da bomba porque a chave utilizada para emparelhar os dois dispositivos é transmitida em texto simples. Essa vulnerabilidade poderia ser usada para entregar remotamente uma dose de insulina e potencialmente causar uma reação hipoglicêmica ao paciente, alertaram pesquisadores da Rapid7. Uma terceira questão é a falta de proteção da bomba contra os chamados ataques de retransmissão, onde um comando legítimo é interceptado e depois é rodado pelo invasor eventualmente. Isso permitiria que hackers operassem doses de insulina sem nenhum conhecimento, disseram pesquisadores. Enquanto o medidor remoto atua a 10 centímetros de distância, é tecnicamente possível lançar ataques a uma distância muito maior com uma transmissão de rádio mais poderosa que é usada por radioamadores.

50 A empresa Animas publicou uma nota de segurança em seu site com recomendações e irá enviar cartas a seus consumidores. A companhia vê a probabilidade de um acesso não autorizado ao sistema do One Touch Ping como muito baixa, dizendo que ataques exigiriam expertise de um especialista, equipamento técnico e proximidade ao aparelho. Usuários preocupados podem desligar o recurso de radiofrequência da bomba de insulina, mas dessa forma pacientes terão de informar as leituras das taxas de glicose manualmente por que o medidor não será mais capaz de transmiti-los. Os riscos que oscilações nos níveis de glicose proporcionam para um paciente diabético são muito mais sérios que aqueles que vulnerabilidades ao sistema de segurança oferece, diz Radcliffe. Remover a bomba de insulina devido a tais questões seria comparar ao fato de nunca viajar de avião por que ele pode, por ventura, cair, acrescenta. Entretanto, a medida que esses dispositivos avançam e eventualmente se conectam a Internet (diretamente ou indiretamente) o nível do risco aumenta dramaticamente, alertou o pesquisador. Essa pesquisa ressalta por que é tão importante esperar para fabricantes, reguladores e pesquisadores trabalharem integralmente nesses dispositivos altamente complexos. Antes de ir a público, Radcliffe trabalhou com a Animas e com a Johnson & Johnson para ajudá-los a entender as falhas e desenvolver reparos. A segurança de dispositivos médicos tem sido um assunto visado na comunidade de pesquisadores de segurança. Alguns fabricantes atentos a isso lançaram programas dedicados a encontrar vulnerabilidades, um tipo de ação encorajada pela Food and Drug Administration.

51 Fonte: -johnson-jonson-estao-vulneraveis-a-ataques-remotos/ Hacker Ético?!? Hacker é um dos termos mais incompreendidos na indústria da segurança. Todos, desde o noticiário aos filmes de Hollywood e o resto da da mídia usam o termo frequentemente. Graças ao uso excessivo do termo e do fato de que é quase constantemente ligado às atividades que são obscuras ou mesmo de natureza criminosa, o público em geral olha para qualquer um com o rótulo de hacker como alguém que não é boa pessoa. Hackers são vistos como aqueles que operam nas sombras, anti-social e anti-autoridades, em muitos casos. Outros membros públicos chegam a dizer que os hackers são como os novos ativistas sociais políticos, governamentais, de grandes corporações, e outros tipos de ativistas. Hackers também começaram a perceber que é possível usar suas habilidades para gerar dinheiro de muitas maneiras interessantes. Por exemplo, os atacantes usaram técnicas para redirecionar navegadores da Web para páginas específicas que geram receitas para si próprios. Outro exemplo é um spammer enviar milhares e milhares de mensagens de correio eletrônico que anunciam um produto ou serviço. Como o envio de em massa custa pouco, isto leva apenas um pequeno número de compradores para conseguir fazer um bom lucro. A área de TI, em especial a de Segurança, muda rapidamente. Nesta área, os atacantes e defensores estão em uma luta constante para ganhar o domínio. Pois os invasores tornaram-se altamente flexíveis e adaptáveis, então, como um hacker ético,

52 você também deve ser. Sua capacidade de pensar fora da caixa irá te ajudar bem como você imaginar novas estratégias e possíveis ataques antes que eles sejam usados contra você. Mas o que é um hacker ético? Hackers éticos são profissionais, quer através de contratos ou emprego direto testam a segurança de uma organização. Eles usam as mesmas habilidades e táticas como um hacker, mas com a permissão do proprietário do sistema para realizar o seu ataque contra o sistema. Além disso, hackers éticos não revelam as fraquezas de um sistema avaliada para alguém que não seja o proprietário do sistema. Finalmente, hackers éticos trabalhar sob contrato para uma empresa ou cliente e seus contratos de especificar o que é fora dos limites e o que eles devem fazer. O seu papel depende das necessidades específicas de uma determinada organização. De fato, algumas organizações mantêm uma equipes especificamente para participar em atividades de hacking ético. Tipos de hackers Script Kiddies Estes hackers tem pouco ou nenhum treinamento e sabe apenas usar técnicas e ferramentas básicas. Mesmo sem saber exatamente o que eles estão fazendo. White-Hat Hackers Estes hackers pensam como um atacante, mas trabalham para os caras bons. Eles são tipicamente profissionais que seguem um código de ética que diz basicamente que eles não causarão danos. Este grupo também é conhecido como hackers éticos (ethical hackers) ou pentesters. Gray-Hat Hackers Estes hackers estão no limite entre o bom e mau, e decidiu se reformar e ir para o lado bom. Uma vez que são reformados, eles não são totalmente confiáveis.

53 Black-Hat Hackers Estes hackers são os que atuam do lado oposto da lei. Eles podem ou não ter objetivos fixos. Na maioria dos casos, efetuam atividades criminosas. Eles não possuem autorização para efetuar os pentests. Suicide Hackers Estes hackers tentam derrubar seus alvos para provar que são bons, sem se preocupar em cobrir seus rastros e serem pegos ou passar um tempo na prisão. Código de conduta Como um hacker ético, você precisa ter certeza que você está aderente a um código de conduta ou de ética para que você se permaneça confiável e empregável. Um código de conduta aborda alguns pontos, como: Manter a confidencialidade das informações obtidas durante os testes, não podendo vender ou repassar sem a permissão por escrito do cliente; Proteger a propriedade intelectual dos outros; Divulgar às pessoas apropriadas ou autoridades os perigos de qualquer cliente de e-commerce, da comunidade da internet ou de qualquer pessoa relacionada a uma transação eletrônica via software ou hardware; Prover um serviço com qualidade dentro da sua área de conhecimento e sendo honesto quanto a sua capacidade técnica; Nunca usar um software obtido de forma ilegal ou antiética; Não se envolver em práticas financeiras fraudulentas como suborno, dupla cobrança ou práticas financeiras inadequadas; Usar as informações do cliente ou empregador de forma consciente e somente o que foi autorizado; Ter uma conduta de forma ética e competente o tempo

54 inteiro; Não ter envolvimento com hackers ou atividades maliciosas; Não comprometer de forma proposital os sistemas dos clientes durante sua atividade profissional; Garantir que todos os pentests sejam autorizados e dentro da legalidade; Não violar nenhuma lei; Ethical hacking e pentests Como um futuro hacker, você deve ter certeza absoluta que tem permissão para realizar os pentests de forma benigna. É importante saber alguns termos: Hack Value Descreve um alvo que possa chamar atenção de um atacante. Como o alvo é atraente para o atacante, ele tem mais valor com o que tem dentro dele; Target of Evaluation (TOE) É um sistema ou recurso que está sendo analisado em busca de vulnerabilidades. O TOE deve ser especificado no contrato com o cliente; Attack É o ato de definir seu alvo e começar o TOE; Exploit É uma forma de quebrar a segurança de um sistema; Zero Day Descreve uma ameaça ou vulnerabilidade que é desconhecida pelo desenvolvedor e não foi endereçado para correção. É considerado um problema sério de várias formas; Security É um estado de bem-estar em um ambiente onde somente ações que são permitidas são executadas; Threat É considerado ser uma violação potencial de segurança; Vulnerability É uma fraqueza em um sistema que pode ser atacado e usado como um ponto de entrada para um ambiente; Daisy Chaining É o ato de realizar diversos ataques

55 hacking em sequência, baseado no resultado do ataque anterior. Quando um penteste é realizado, ele é de algum dos 3 tipos: whit box, gray box ou black box. Black Box Um tipo de teste onde o pentester tem um pouco ou nenhum conhecimento de seu alvo. A situação é semelhante a que um atacante real encontraria, pela falta de conhecimento do alvo; Gray Box Uma forma de teste onde o conhecimento dado é limitado. Neste tipo de teste, o pentester obtêm informações como endereço IP, sistema operacional e a topologia da rede, mas a informação é limitada. Este tipo de teste simula o conhecimento que alguém de dentro da companhia possa ter; White Box Uma forma de teste onde a informação é completamente repassada ao pentester. É o teste realizado pela equipe interna ou de auditoria de sistemas. Um hacker ético deve preservar a tríade CIA: Confidentiality Refere-se a salvaguarda da informação, mantendo longe de pessoas não autorizadas. Exemplo: controle de acesso e criptografia; Integrity Refere-se a originalidade da informação, garantindo que ela esteja correta e de acordo com o seu formato original. Significa que os dados que o receptor acesse sejam os dados que o criador tenha enviado; Availability Manter as informações e recursos disponíveis para aqueles que precisem usa-las. Além da tríade CIA, temos dois termos importantes que complementam: Non-repudiation é o conceito de que uma vez que uma ação é realizada por uma parte, não pode ser negada por essa parte. Por exemplo, usando técnicas tais como

56 assinaturas digitais, é possível dizer definitivamente que uma mensagem foi enviada sem alteração e sem qualquer possibilidade de negação de que eles eram da origem da mensagem. Authenticity é a capacidade de afirmar que um objeto, como um pedaço de dados ou mensagem veio de uma fonte legítima e identificável. Esta é uma propriedade importante para um item porque ele afirma que a fonte de uma ação é válida e conhecida. Como o remetente assinou digitalmente com a sua chave privada, a posterior verificação da assinatura usando sua chave pública comprova a identidade do remetente e, assim, autentica o remetente e a origem da mensagem. Por outro lado, precisamos saber o que pode ferir a tríade CIA. Veja os itens abaixo: Disclosure é uma revelação de forma inadvertida, acidental ou maliciosa de informações ou recursos para uma parte externa. Se você não está autorizado a ter acesso a um objeto, você nunca deve ter acesso a ele, muito menos divulgá-lo; Alteration é o contador de integridade; trata da modificação não autorizada de informações. Esta modificação pode ser causada pela corrupção, um acesso acidental que leva a modificação ou modificações que são maliciosas por natureza; Disruption (ou loss) significa que o acesso autorizado a informações ou recursos foi perdida. A informação é inútil se ele não estiver lá quando ela é necessária. Embora informações ou outros recursos nunca possam ser 100 por cento disponíveis, algumas organizações gastam o tempo e dinheiro para garantir 99,999 por cento de uptime dos sistemas críticos, que atinge cerca de seis minutos de tempo de inatividade por ano. Referência: Certified Ethical Hacker version 9: Study Guide. Sybex

57 Mapa mental sobre Ethical Hacking Mapa Mental Ethical Hacker