Técnicas de evasão do firewall

Diego Macêdo
19 de junho de 2017
1 comentário

Vimos o que um firewall é capaz de fazer e os diferentes tipos que existem. Então, como um invasor pode evadir desses dispositivos? Existem algumas técnicas disponíveis para isto.

Spoofing de endereço IP

Uma maneira eficaz como um invasor pode evadir um firewall deve parecer como algo mais, como um host confiável. Usando o spoofing para modificar informações de endereço, o atacante pode fazer com que a fonte de um ataque pareça vir de algum lugar que não seja uma parte mal-intencionada.

Embora este ataque pode ser eficaz, existem algumas limitações que podem frustrar este processo. O mais óbvio é o fato de que firewalls mais do que provavelmente irão dar drop no tráfego. Especificamente, um host confiável pode ser algo dentro da própria rede. Qualquer tipo de pacote especialmente criado a partir de um intervalo de endereços IP na rede local, mas vindo de fora da rede, será descartado como inválido. (mais…)

Técnicas de evasão de IDS

Diego Macêdo
16 de junho de 2017
1 comentário

Uma vez que você, como um pentester, está tentando testar a segurança de um sistema, você deve ser capaz de contornar esses dispositivos de proteção, se possível ou pelo menos saber como tentar fazê-lo. Veremos os vários mecanismos disponíveis, como eles funcionam e com quais dispositivos eles são projetados para lidar. (mais…)

Honeypots

Diego Macêdo
15 de junho de 2017
3 Comments

Um dos sistemas mais interessantes que você vai encontrar é um honeypot. Na verdade é um dispositivo ou sistema usado para atrair e capturar atacantes que estão tentando obter acesso a um sistema. No entanto, honeypots estão longe de ser apenas uma armadilha. Eles também têm sido usados como ferramentas de pesquisa, armadilhas, e apenas para obter informações. Eles não são projetados para resolver qualquer problema de segurança específico.

Honeypots não se encaixam em qualquer classificação ou categoria. Honeypots pode cumprir uma série de finalidades diferentes ou funções para uma organização, mas a maioria concorda que um honeypot fornece valor de ser utilizado por partes não autorizadas ou através do uso ilícito. Honeypots são projetados para ser mal utilizado e abusado e nesse papel eles estão sozinhos. Na prática, o sistema pode aparecer como qualquer um dos seguintes:

  • Um servidor dedicado
  • Um sistema simulado de algum tipo
  • Um serviço em um host projetado para parecer legítimo
  • Um servidor virtual
  • Um único arquivo

(mais…)

Identificando o firewall

Diego Macêdo
14 de junho de 2017
Nenhum comentário

Para determinar um tipo de firewall e até mesmo o fabricante, você pode usar sua experiência com scanner de portas e ferramentas para criar informações sobre o firewall que seu alvo está executando. Ao identificar determinadas portas, você pode vincular os resultados a um firewall específico e, a partir desse ponto, determinar o tipo de ataque ou processo a ser executado para comprometer ou ignorar o dispositivo.

Alguns firewalls como o Check Point FireWall-1 e o Microsoft Proxy Server usam as portas TCP 256-259 e TCP 1080 e 1745.

Felizmente, você pode realizar o banner grabbing com Telnet para identificar o serviço em execução em uma porta. Se você encontrar um firewall com portas específicas em execução, isso pode ajudar na identificação. É possível pegar o banner e ver o que é respondido de volta. (mais…)

Firewalls

Diego Macêdo
13 de junho de 2017
Nenhum comentário

Os firewalls são outro dispositivo protetores para redes que estarão no caminho de um pentester ou atacante. Os firewalls representam uma barreira ou delineamento lógico entre duas zonas ou áreas de confiança. Em sua forma mais simples, a implementação de um firewall representa a barreira entre uma rede privada e uma rede pública, mas as coisas podem ficar muito mais complicadas a partir daí.

Para a maior parte, nós nos referimos a firewalls como um conceito abstrato, mas na vida real um firewall pode ser um software ou um dispositivo de hardware.

Ao discutir firewalls, é importante entender como eles funcionam e sua colocação em uma rede. Um firewall é um conjunto de programas e serviços localizados no ponto de bloqueio, conhecido por choke point (o local onde o tráfego entra e sai da rede). Ele foi projetado para filtrar todo o tráfego fluindo para dentro e para fora e determinar se esse tráfego deve ser autorizado a continuar. Em muitos casos, o firewall é colocado a uma distância de recursos importantes para que, no caso de comprometer recursos-chave não são afetados negativamente. Se você tomar cuidado o suficiente e fazer o planejamento adequado, juntamente com uma dose saudável de testes, apenas o tráfego que é explicitamente permitido passar será capaz de fazê-lo, com todos os outros tráfego será negado no firewall. (mais…)

O papel dos Intrusion Detection Systems (IDS)

Diego Macêdo
12 de junho de 2017
Nenhum comentário

Um sistema de detecção de intrusão (IDS) é um aplicativo ou dispositivo usado para coletar e analisar informações que passam por uma rede ou host. Um IDS é projetado para analisar, identificar e relatar qualquer violação ou uso indevido de uma rede ou host.

Vamos dar uma olhada como funciona um IDS. Um IDS é usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

Aqui estão algumas coisas para se manter em mente à medida que avançamos. Um IDS:

  • Foi concebido para detectar comportamentos maliciosos ou não-padrão;
  • Reúne informações de uma rede para detectar violações da política de segurança;
  • Relata violações e desvios a um administrador ou proprietário de sistema;

Um IDS de rede (NIDS) é um sniffer de pacotes. A diferença entre um sniffer de pacotes e um NIDS é que um NIDS inclui um mecanismo de regras, que compara o tráfego contra um conjunto de regras que determinam a diferença entre tráfego e atividades legítimas e maliciosas. (mais…)

Teste de invasão com dispositivos móveis

Diego Macêdo
8 de junho de 2017
1 comentário

De muitas maneiras o processo é semelhante ao de um ambiente tradicional, mas com algumas pequenas diferenças ao longo do caminho.

Lembre-se que em matéria de segurança, os dispositivos móveis são tão diversos que são de uma quantidade desconhecida. Você também precisa ter em mente como os usuários desses dispositivos funcionam. Eles podem ser extremamente móveis e isso significa que os dados e comunicações podem estar fluindo em todas as direções e maneiras diferentes, ao contrário das configurações de escritório tradicional.

Então, como é o processo de teste quando os dispositivos móveis? Aqui está uma visão geral de como avaliar esses dispositivos. (mais…)

Problemas comuns com dispositivos móveis

Diego Macêdo
7 de junho de 2017
Nenhum comentário

Os dispositivos móveis são comuns. No entanto, um monte de problemas comuns também ocorrem que poderiam ser maneiras fáceis para um atacante causar danos:

  • Um dos problemas mais comuns com dispositivos móveis é que muitas vezes eles não têm senhas definidas, ou as senhas são incrivelmente fracas. Enquanto alguns dispositivos oferecem sistemas biométricos simples de usar e eficazes para autenticação em vez de senhas, eles estão longe de ser um padrão. Embora a maioria dos dispositivos suporte senhas, códigos PIN e autenticação baseada em gestos, muitas pessoas não usam esses mecanismos, o que significa que se o dispositivo for perdido ou roubado, seus dados podem ser facilmente acessados.
  • Conexões sem fio desprotegidas também são um problema conhecido em muitos dispositivos e parecem ser piores em dispositivos móveis. Isso é mais do que provável, devido aos proprietários desses dispositivos estarem fora e em busca de  um ponto de acesso aberto e conectar sem levar em conta se ele está protegido ou não.
  • Problemas de malware parecem ser mais um problema com dispositivos móveis do que com outros dispositivos. Isto é devido aos proprietários que transferem apps do Internet com pouca preocupação que podem conter o malware e não ter um scanner antimalware no dispositivo.
  • Os usuários negligenciam a instalação de software de segurança em dispositivos móveis, mesmo que esse software esteja prontamente disponível nos principais fornecedores sem restrições e seja gratuito. Muitos proprietários desses dispositivos podem até acreditar que o malware não existe para dispositivos móveis ou que eles são imunes.
  • Softwares descontinuados e desatualizados do sistema operacional é um grande problema. Da mesma forma que os sistemas de desktop, patches e correções para software de SO móvel também são liberados de vez em quando. Esses patches podem não ser aplicados por uma série de razões. Quando isso acontece, os patches e atualizações que o Google lança podem não funcionar nas versões alteradas pelas operadoras. Nesse caso, você precisaria aguardar que sua operadora faça alguma atualização para seu dispositivo antes de poder aplicar o patch. Este processo pode levar meses ou mesmo um ano e em alguns casos nunca.
  • Muito parecido com o sistema operacional, pode haver software no dispositivo que não está corrigido e está desatualizado.
  • Conexões com a Internet podem estar ligadas e inseguras, o que pode levar alguém a entrar no sistema da mesma maneira que uma invasão outra sistema.
  • Os dispositivos móveis podem estar enraizados ou jailbroken, o que significa que se esse dispositivo estiver conectado à sua rede, pode ser uma maneira fácil de introduzir malware em seu ambiente.
  • A fragmentação é comum em dispositivos Android. Especificamente, isso se refere ao fato de que, ao contrário do iOS, há um grande número de versões do sistema operacional Android com diferentes recursos, interfaces e muito mais. Isso pode levar a problemas de suporte para a empresa devido à quantidade de variação e inconsistência.

(mais…)

Modelos de segurança mobile

Diego Macêdo
6 de junho de 2017
Nenhum comentário

Então, como os arquitetos mobiles construíram seus sistemas com um olho voltado para resolver problemas de segurança? Várias medidas foram tomadas, mas no geral tem havido uma tentativa de abordar o problema da segurança através de cinco áreas-chave, cada uma abordando um problema específico ou necessidade:

  • O controle de acesso é usado para proteger dispositivos, que inclui senhas, biometria e tecnologias de menor privilégio, por exemplo;
  • A assinatura digital tornou-se parte do modelo de aplicação da maioria, se não de todos os S.O. móveis. Esse recurso permite que os aplicativos sejam assinados para que eles possam ser verificados de que eles são originários de um autor específico e não podem ser manipulados sem que tais atividades sejam detectadas. Embora a assinatura digital não seja necessária, o Android não permitirá a instalação de aplicativos de fontes desconhecidas por padrão. No iOS, aplicativos de fontes desconhecidas não podem ser instalados, a menos que o proprietário modifique ou use “jailbreaks” para que o telefone permita isso;
  • A criptografia é outro componente vital do modelo de segurança de um sistema operacional móvel. A criptografia é empregada em dispositivos para garantir que os dados sejam mantidos seguros no caso de um dispositivo ser perdido, roubado ou comprometido. Embora não consistentemente implementado em muitos dispositivos móveis no passado, isso mudou, com o Android 6.0 (codinome Marshmallow), mesmo exigindo criptografia de armazenamento por padrão;
  • Isolamento, que visa limitar o acesso de um aplicativo tem, é uma questão importante abordada em dispositivos móveis. Essencialmente, esta é uma forma de privilégio mínimo para aplicativos, onde se você não precisa acessar dados sensíveis ou processos, você não o fará.
  • O controle de acesso baseado em permissões funciona de forma semelhante aos sistemas operacionais de servidor e desktop. Esse recurso limita o escopo de acesso de um aplicativo bloqueando as ações que o usuário pode tentar, mas não foi concedido acesso a ele.

(mais…)

Modelos, arquiteturas e objetivos de segurança em sistemas operacionais móveis

Diego Macêdo
5 de junho de 2017
Nenhum comentário

A rápida adoção do dispositivo móvel no local de trabalho teve duas consequências óbvias: aumento da produtividade e capacidade, bem como aumento correspondente dos riscos à segurança. Os arquitetos de dispositivos móveis sempre fizeram um tradeoff entre segurança e os recursos, inclinando-se quase sempre para novos recursos, deixando a segurança como opção tardia. Embora novos recursos de segurança ajudaram a reduzir um pouco os problemas presentes, muitos dos dispositivos ainda têm problemas a serem resolvidos.

Uma grande parte de problemas nos ambientes empresariais é que os dispositivos pertencentes a indivíduos transitam dentro e fora do ecossistema empresarial. Os dispositivos que são usados tanto para fins pessoais quanto empresariais acabam misturando as necessidades de segurança e os tipos de dados de ambas as áreas de uma maneira potencialmente insegura. Os gerentes de segurança de muitas organizações tiveram de lidar com dispositivos de propriedade pessoal acessando serviços corporativos, exibindo dados corporativos e conduzindo operações comerciais. O problema é que esses dispositivos pessoais não são gerenciados pela organização, o que significa que qualquer coisa armazenada neles não é gerenciada. (mais…)

Anterior
Seguinte