Protegendo a área física

Ao olhar para a posição geral de segurança de uma organização, você também deve considerar a infraestrutura física em si. Alguém rompendo a segurança e entrando no edifício pode facilmente roubar equipamentos ou dados e possivelmente até mesmo executar uma sabotagem. No mundo físico, o primeiro tipo de controles que alguém que deseja causar dano é provável encontrar aqueles que definem o perímetro de uma organização. Ao realizar uma avaliação de sua organização, preste atenção às estruturas e controles que se estendem dentro e em torno dos ativos ou instalações da sua organização. Cada controle ou estrutura que você observar deve fornecer proteção na forma de retardar ou dissuadir um ataque, ambos com o objetivo final de parar o acesso não autorizado. Os controles também devem complementar um ao outro. Embora seja possível que um atacante ultrapasse com êxito as contramedidas na primeira camada, camadas adicionais que trabalham com e que suportam as defesas do perímetro devem fornecer funções de detecção e dissuasão.

Também é importante notar que durante a construção de novas instalações, o profissional de segurança deve se envolver cedo para aconselhar sobre as medidas que podem ser implementadas durante esta fase. No entanto, é mais realista supor que o profissional de segurança vai chegar em cena muito tempo após a construção das instalações for concluída. Nesses casos, o profissional de segurança terá de realizar um levantamento completo do local com o objetivo de avaliar a proteção atual oferecida. Se você é encarregado de realizar um levantamento do ambiente, não esqueça o fato de que recursos geográficos naturais podem fornecer proteção, bem como o potencial para esconder indivíduos com intenção maliciosa de detecção. Considere itens como limites naturais no local e cercas ou paredes ao redor do local. Os controles comuns da área física colocados no perímetro da instalação podem incluir muitos tipos de barreiras que impedirão fisicamente e psicologicamente os intrusos, inclusive: (mais…)

Segurança no armazenamento de dados

Uma das áreas problemáticas que surgiram ao longo dos últimos anos são os discos rígidos fisicamente pequenos, mas de grande capacidade de armazenamento. Especificamente, os que estamos preocupados aqui são os discos rígidos externos que usam USB ou FireWire para interagir com um sistema. A proliferação desses dispositivos é resultado de sua capacidade de mover grandes quantidades de dados em um formato fácil de transportar. Este é também o problema com os dispositivos: Eles carregam uma enorme quantidade de informações e podem ser facilmente transportados. A unidade de mídia externa normalmente não é maior do que um baralho ou uma carteira. Dispositivos USB na forma de unidades flash apresentam um problema ainda mais interessante e alarmante com seu pequeno fator de forma e capacidade de transportar grandes volumes de informações. Este formato permite o upload fácil de informações, como malware, que tem sido usado em muitos cybercrimes. (mais…)

Introdução à Segurança Física

Falar de segurança física, em muitos casos, são a fronteira protetora primária para ativos pessoais no mundo real. Segurança física envolve a proteção de tais ativos como pessoal, hardware, aplicativos, dados e instalações contra incêndio, desastres naturais, furto, roubo e de insider.

O problema com a segurança física é que ele pode ser facilmente ignorado por questões técnicas mais divulgadas. No entanto, as empresas o fazem por sua própria conta e risco, uma vez que os ataques não técnicos podem ser realizados com pouco ou nenhum conhecimento técnico.

Controles simples

Vários controles podem ser usados para proteger e preservar a segurança física de uma organização. Em muitos casos, apenas a presença visível de controles é suficiente para parar um ataque.

Um dos controles mais básicos que podem proteger a interação física com um dispositivo, sistema ou instalação é o uso de senhas. As senhas podem proteger um sistema de ser fisicamente acessado ou de ser usado para acessar uma rede. (mais…)

Técnicas de evasão do firewall

Vimos o que um firewall é capaz de fazer e os diferentes tipos que existem. Então, como um invasor pode evadir desses dispositivos? Existem algumas técnicas disponíveis para isto.

Spoofing de endereço IP

Uma maneira eficaz como um invasor pode evadir um firewall deve parecer como algo mais, como um host confiável. Usando o spoofing para modificar informações de endereço, o atacante pode fazer com que a fonte de um ataque pareça vir de algum lugar que não seja uma parte mal-intencionada.

Embora este ataque pode ser eficaz, existem algumas limitações que podem frustrar este processo. O mais óbvio é o fato de que firewalls mais do que provavelmente irão dar drop no tráfego. Especificamente, um host confiável pode ser algo dentro da própria rede. Qualquer tipo de pacote especialmente criado a partir de um intervalo de endereços IP na rede local, mas vindo de fora da rede, será descartado como inválido. (mais…)

Técnicas de evasão de IDS

Uma vez que você, como um pentester, está tentando testar a segurança de um sistema, você deve ser capaz de contornar esses dispositivos de proteção, se possível ou pelo menos saber como tentar fazê-lo. Veremos os vários mecanismos disponíveis, como eles funcionam e com quais dispositivos eles são projetados para lidar. (mais…)

Honeypots

Um dos sistemas mais interessantes que você vai encontrar é um honeypot. Na verdade é um dispositivo ou sistema usado para atrair e capturar atacantes que estão tentando obter acesso a um sistema. No entanto, honeypots estão longe de ser apenas uma armadilha. Eles também têm sido usados como ferramentas de pesquisa, armadilhas, e apenas para obter informações. Eles não são projetados para resolver qualquer problema de segurança específico.

Honeypots não se encaixam em qualquer classificação ou categoria. Honeypots pode cumprir uma série de finalidades diferentes ou funções para uma organização, mas a maioria concorda que um honeypot fornece valor de ser utilizado por partes não autorizadas ou através do uso ilícito. Honeypots são projetados para ser mal utilizado e abusado e nesse papel eles estão sozinhos. Na prática, o sistema pode aparecer como qualquer um dos seguintes:

  • Um servidor dedicado
  • Um sistema simulado de algum tipo
  • Um serviço em um host projetado para parecer legítimo
  • Um servidor virtual
  • Um único arquivo

(mais…)

Identificando o firewall

Para determinar um tipo de firewall e até mesmo o fabricante, você pode usar sua experiência com scanner de portas e ferramentas para criar informações sobre o firewall que seu alvo está executando. Ao identificar determinadas portas, você pode vincular os resultados a um firewall específico e, a partir desse ponto, determinar o tipo de ataque ou processo a ser executado para comprometer ou ignorar o dispositivo.

Alguns firewalls como o Check Point FireWall-1 e o Microsoft Proxy Server usam as portas TCP 256-259 e TCP 1080 e 1745.

Felizmente, você pode realizar o banner grabbing com Telnet para identificar o serviço em execução em uma porta. Se você encontrar um firewall com portas específicas em execução, isso pode ajudar na identificação. É possível pegar o banner e ver o que é respondido de volta. (mais…)

Firewalls

Os firewalls são outro dispositivo protetores para redes que estarão no caminho de um pentester ou atacante. Os firewalls representam uma barreira ou delineamento lógico entre duas zonas ou áreas de confiança. Em sua forma mais simples, a implementação de um firewall representa a barreira entre uma rede privada e uma rede pública, mas as coisas podem ficar muito mais complicadas a partir daí.

Para a maior parte, nós nos referimos a firewalls como um conceito abstrato, mas na vida real um firewall pode ser um software ou um dispositivo de hardware.

Ao discutir firewalls, é importante entender como eles funcionam e sua colocação em uma rede. Um firewall é um conjunto de programas e serviços localizados no ponto de bloqueio, conhecido por choke point (o local onde o tráfego entra e sai da rede). Ele foi projetado para filtrar todo o tráfego fluindo para dentro e para fora e determinar se esse tráfego deve ser autorizado a continuar. Em muitos casos, o firewall é colocado a uma distância de recursos importantes para que, no caso de comprometer recursos-chave não são afetados negativamente. Se você tomar cuidado o suficiente e fazer o planejamento adequado, juntamente com uma dose saudável de testes, apenas o tráfego que é explicitamente permitido passar será capaz de fazê-lo, com todos os outros tráfego será negado no firewall. (mais…)

O papel dos Intrusion Detection Systems (IDS)

Um sistema de detecção de intrusão (IDS) é um aplicativo ou dispositivo usado para coletar e analisar informações que passam por uma rede ou host. Um IDS é projetado para analisar, identificar e relatar qualquer violação ou uso indevido de uma rede ou host.

Vamos dar uma olhada como funciona um IDS. Um IDS é usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

Aqui estão algumas coisas para se manter em mente à medida que avançamos. Um IDS:

  • Foi concebido para detectar comportamentos maliciosos ou não-padrão;
  • Reúne informações de uma rede para detectar violações da política de segurança;
  • Relata violações e desvios a um administrador ou proprietário de sistema;

Um IDS de rede (NIDS) é um sniffer de pacotes. A diferença entre um sniffer de pacotes e um NIDS é que um NIDS inclui um mecanismo de regras, que compara o tráfego contra um conjunto de regras que determinam a diferença entre tráfego e atividades legítimas e maliciosas. (mais…)

Teste de invasão com dispositivos móveis

De muitas maneiras o processo é semelhante ao de um ambiente tradicional, mas com algumas pequenas diferenças ao longo do caminho.

Lembre-se que em matéria de segurança, os dispositivos móveis são tão diversos que são de uma quantidade desconhecida. Você também precisa ter em mente como os usuários desses dispositivos funcionam. Eles podem ser extremamente móveis e isso significa que os dados e comunicações podem estar fluindo em todas as direções e maneiras diferentes, ao contrário das configurações de escritório tradicional.

Então, como é o processo de teste quando os dispositivos móveis? Aqui está uma visão geral de como avaliar esses dispositivos. (mais…)