– root@injetionsec:~#

Anonimato em pagamentos ?!

11.05.2016 (1:33 pm) – Filed under: Segurança da Informação ::

Galera é importante preservar não só sua identidade pessoal mas suas finanças também, por vários motivos uma visão bem difundida é : “Se alguém esconde alguma coisa, provavelmente significa que esta pessoa é um criminoso; esta financiando armas nucleares, terroristas e etc”, é fato de que á maioria das pessoas e empresas têm o desejo de preservar o anonimato de suas finanças, e não são movidos por más intenções, mas pelo desejo de se assegurar de que esse dados podem vir a cair em mão de pessoas maliciosos ou criminosos, é os modos de tornar esse anonimato em pagamentos se tornou bem limitado(quase impossível á meu ver), vamos falar uma pouco mais precisamente sobre as criptomoedas:

—–] Criptomoeda

O aparecimento da primeiro criptomoeda (Bitcoin) foi em 2009 e trouxe às pessoas uma esperança de forma anônima e rápida mas temos alguns pro e contras que vamos ao longo retratar sobre essas criptomoeda, ao longo dos últimos anos nada foi feito no sentido da implementação de mecanismos de anonimato, que está em conflito com as expectativas dos usuários, mas está a ser pressionados pelos atuais desenvolvedores do Bitcoin:

  • Criptomoedas é melhor do que uma conta bancária em termos de independência, ninguém será capaz de bloquear seus recursos ou confiscá-los esta é a importante vantagem dessas criptomoedas descentralizadas.
  • Criptomoedas no que tange o anonimato dos pagamentos as transações realizadas de todos os usuários são registrados em um formulário aberto em um banco de dados acessível ao público (blockchain) e são armazenadas por lá para sempre o que permite então seu rastreamento e análise direta ou através de um software de acesso público. No momento do pagamento, os saldos residuais, e todas as operações anteriores e posteriores dos participantes tornam-se acessíveis a qualquer pessoa interessada.
  • Aqueles que procuram maior anonimato pode usar um serviços de terceiros onde oferecem a mistura dos Bitcoins (os chamados “Misturadores”), mas ao passar seus Bitcoins e confiar a prestação desses serviços a terceiros para o seu anonimato percebam os riscos que está associado. Muitas funções importantes dessas criptomoedas em se tratar de transações em anonimato são executadas não pela própria criptomoedas(ex.: bitcoin,litcoin e etc), mas através do uso de terceiros (normalmente, centralizado), o que aumenta a incerteza e os riscos para a arquitetura geral do projeto dessas criptomoedas.

Os endereços das criptomoedas não são ligadas a uma pessoa ou entidade, muitas vezes chamado  de pseudônimo ou pseudo-anônimo, é possível determinar as transações dessa pessoa rastreando ao longo da história os blockchain, nesse link[1] podemos ver outras maneiras de rastrear criptomoedas.

  • Use um novo endereço para cada transação: Basta gerar um novo endereço e usá-lo para receber um pagamento isso ajuda a esconder o saldo total de sua carteira com criptomoedas. Se cada pagamento que você recebe vai para um endereço diferente que você possui, então essas criptomoedas estarão espalhadas entre vários endereços, em vez de ser armazenado em uma grande quantia em um único endereço. Isso torna muito mais difícil para alguém para saber por exemplo quantos bitcoins você possui porque a maioria dos clientes bitcoin não revela publicamente que trata-se de um pagamento, no entanto, esses endereços podem ser publicamente associado com o outro quando você enviar um pagamento.

Se você já tem algumas operações vinculadas ao seu nome, pode ser melhor começar uma nova carteira que é dedicado a usar criptomoedas anonimamente, e transferir esses bitcoins,litcoin e etc para a nova carteira e assim executá-los através de um misturador(mas tem algum empecilhos como vimos acima).

  • As transações em criptomoedas sempre gastam o montante completo armazenado em um endereço. Isso significa que se você está enviando um bitcoin por exemplo de um endereço que contém 2 bitcoins, o extra de um bitcoin será mandado de volta para um de seus próprios endereços e isso se torna uma grande desvantagem que vai ser claramente visível visto que o endereço pertence à parte que recebe. Por essa razão, a maioria das carteiras dessas criptomoedas criam automaticamente novos endereços para receber as sobras de suas transações. Esses endereços podem te ajudar a máscara que o destinatário da transação realmente era.
  • Um exemplo do bitcoin e usar um cliente completo como Bitcoin-Qt[2] ou Armory[3], e armazenar toda a blockchain localmente.
  • Quando você está iniciando uma transação em seu computador o cliente de criptomoedas envia os dados necessários para outros clientes, efetivamente transmitindo a transferência dessas moedas à rede. O Bitcoin não criptografar seu tráfego, o que significa que o seu provedor de serviços de internet (ISP) ou qualquer um que estiver sniffando a rede pode olhar para suas transações e determinar seu saldo do bitcoin.
  • Sua melhor forma de comprar bitcoins de forma anónima é alguém que esteja disposto a vender bitcoins por dinheiro físico. Há uma série de sites onde você pode encontrar pessoas para negociar[4], o site mais popular é LocalBitcoins, algumas medidas para permanecer anônimo:

– Não forneça quaisquer informações que possam ser usadas para identificar você.
– Utilize um número de telefone descartável.
– Negocie em lugares públicos, de preferencia compareça ao local sem carro(evitar de ser rastreado pela placa..kkk)

Transferências de dinheiro anônimas também podem ser feitas através do envio de dinheiro físico no correio ou certos provedores de pagamento como MoneyPak[5]. Neste caso, o vendedor irá fornecer um endereço postal e você vai embalar e enviar o pagamento para eles. Dependendo dos termos do acordo, o vendedor pode exigir que você envie o pagamento em primeiro lugar, ou eles podem concordar em colocar a criptomoeda em juízo. Nessa hora é bom você adotar algumas medidas de segurança adicionais: enviar o pacote com AR, grave vídeos fotografias para comprovar que o conteúdo do pacote é aquilo que está presente mesmo, para caso haja perda ou roubo do mesmo, também não use endereço de retorno que não existe caso o pacote volte para você e o destino não for encontrado real o dinheiro físico vai se perder galera.

 

Inté

 

 

Referências:

[1] https://bitcoinhelp.net/know/more/top-seven-ways-your-identity-can-be-linked-to-your-bitcoin-address
[2] https://bitcoin.org/en/download
[3] https://bitcoinarmory.com/
[4] https://bitcoinhelp.net/get/buy-bitcoins/from-a-person
[5] https://www.moneypak.com/

Número de Celulares em Redes Sociais

14.04.2016 (8:55 pm) – Filed under: Segurança da Informação ::

Galera um ponto a se considerar é o fato de que devemos evitar ao máximo expor nossos dados, uma coisa que me chama a atenção são os números de celulares que são postado no facebook e linkedin basta uma simples pessoa dizendo que esta montando um grupo no whatsapp seja para divulgação de emprego,comercio,noticias, vendas e etc que ‘chovem’ contatos de varias pessoas querendo participar do grupo em si, essas informações que podem ser usadas para mais diversos fins seja malicioso ou informativo. Vamos usar alguns simples comandos do linux awk, cat, sed, redirecionadores, joins para esse teste de coleta de número; veja abaixo abaixo os posts:

Coleta De Números De Celular | Facebook

Coleta De Números De Celular | Linkedin

Foi usado esses recursos por não dominar tanto a programação, nesse caso tive é deu certo pelo menos para mim. =)

Coleta de Números de Celular | Linkedin

14.04.2016 (8:42 pm) – Filed under: Segurança da Informação ::

Nesse outro post galera vamos mostrar como pegar todos os números de cel. de um post em um grupo no linkedin, segue:

Parte de Nomes (extraindo):

1º – Muitas pessoas divulgam post para empregos no linkedin, da mesma forma vamos selecionar e copiar todos os números/nomes do post veja o procedimento.
linkedin001

2º – copie/salve em arquivo com um nome qualquer

linkedin002

3º – usamos o seguinte filtro para retirar-mos as colunas de nome e sobre nome
r00t@debian:~$ awk ‘{y=x;x=w;w=$1}(y==x||y==w){next}{print y}END{print x!=w?x RS w:w }’ num_linkedin | awk ‘NF==1’ > name1
r00t@debian:~$ awk ‘{y=x;x=w;w=$2}(y==x||y==w){next}{print y}END{print x!=w?x RS w:w }’ num_linkedin | awk ‘NF==1’ > name2

veja a saída da coluna de nome :

linkedin003

4º – Caso tenha algum número em algumas das linhas use o seguinte comando:

r00t@debian:~$ cat name2 | sed s/[0-9]*//g

Parte de Números (extraindo):

1º – vamos usar o awk para filtra somente algumas colunas que temos da seguinte forma :

r00t@debian:~$ awk ‘{print $3,$4,$5,$6,$7,$8}’ num_linkedin > num_linkedinovo

linkedin004

2º – feito esse procedimento acima iremos ter no arquivo ‘num_linkedinovo’ o nome com os dd+número da pessoa tudo desorganizado, iremos agora extrair somente os números com o seguinte comando:

r00t@debian:~$ cat num_linkedinovo | sed ‘s/[^0-9]*//g’ > numl

linkedin005

Melhorando mais nossos arquivos de nome e sobrenome seguido do celular , feito todas as etapas acima temos que  junta-los com join para isso vamos numerar as de ambos os arquivos, esse processo pode ser feito das seguintes formas:

r00t@debian:~$ cat -n name1 > nam1
r00t@debian:~$ cat -n name2 > nam2
ou
r00t@debian:~$ nl name1 > nam1
r00t@debian:~$ nl name2 > nam2
ou
r00t@debian:~$ awk ‘{ print FNR ” ” $0 }’ name1 > nam1
r00t@debian:~$ awk ‘{ print FNR ” ” $0 }’ name2 > nam2

linkedin006

Usaremos o perl para numerar a lista de celulares que temos da seguinte forma:

r00t@debian:~$ perl -pe ‘$_ = “$. $_”‘ numl > numl1

linkedin009

Agora sim vamos usar o join no nome e sobre nome

r00t@debian:~$ join nam1 nam2 > nam_jun

linkedin007

 

Vamos pegar então os nomes ‘nam_jun’ a lista de celulares ‘numl1’ e juntarmos com o join da seguinte forma:

r00t@debian:~$ join nam_jun numl1

linkedin008

Inté galera =)

 

Referências:
http://www.unix.com/shell-programming-and-scripting/179471-remove-very-first-pair-duplicate-words.html

Coleta de Números de Celular | Facebook

14.04.2016 (7:30 pm) – Filed under: Segurança da Informação ::

Galera vamos usar alguns filtros do linux para coletar números de cel de post do facebook, segue :

1º – Entre em um grupo no facebook público de vendas,compras e etc e pesquise por algo no grupo relacionado á “grupo whatsapp ” , “watsap grupo” coisas do gênero

2º – Vamos selecionar e copiar todos os números/nomes no grupo que postou os contatos de celulares veja o procedimento.

cel001

3º – copie/salve em arquivo com nome qualquer

cel002

4º – perceba acima que temos em tarja preta o nome da pessoa e em tarja vermelha o numero de celular, mas também temos muita coisa que não precisamos. Vamos melhor isso usando os filtros do linux :

awk ‘! ($1 in a){a[$1]++; next} $1 in a’ num_face > num_face_novo

cel003

cel004

Perceba que melhoramos bastante o arquivo, mas ainda vamos remover algumas coisas para visualizarmos melhor os nomes/números das pessoas com o seguinte comando:

sed –in-place ‘/Curtir/d’ num_face_novo

cel005

cel005

Agora sim temos um lista de nomes/números mais organizados, então galera partimos da premissa que quanto menos informação o inimigo deter de você menos chance ele terá para ataca-lo podemos adotar isso para o meio virtual.

=)

Verificar – leaked accounts

27.11.2015 (12:45 pm) – Filed under: Segurança da Informação ::

Vemos a todos momento vazamento de contas na internet, notícia é que não falta sobre, com isso temos vários serviços onde se pode achar se você foi exposto, e com isso trouxe também para usuários maliciosos um banquete “verdadeiro pote de ouro” onde se pode encontrar contas de todo tipo com user/pass válidos. Desde a um simples e-mail até contas de serviços pagos, abaixo irei listar algum destes serviços(não use erroneamente para seu bem próprio ) :

pastebin.com | @PastebinLeaks | @PastebinDorks: o mais conhecido, envolvendo vazamento de dados onde são postados no mesmo, veja esse post[1]

https://haveibeenpwned.com/ : agrega dados de grandes violações

https://twitter.com/dumpmon : é um bot que monitora vários sites e posta os dumps, mais info do projeto[2]

http://pastie.org/pastes | http://slexy.org/ | https://pastee.org/ | http://paste2.org/
similarsitesearch | http://awk.freeshell.org/

https://www.pastemonitor.com/ : PasteMonitor foi criado com a finalidade de encontrar qualquer coisa que você poderia estar interessado que aparece no Pastebin.

Esse projeto também achei interessante[3]

Referências/fontes
[1]http://thenextweb.com/socialmedia/2011/06/05/pastebin-how-a-popular-code-sharing-site-became-the-ultimate-hacker-hangout/
[2]http://raidersec.blogspot.com.br/2013/03/introducing-dumpmon-twitter-bot-that.html
[3]https://blog.rootshell.be/2012/01/17/monitoring-pastebin-com-within-your-siem/
https://isc.sans.edu/forums/diary/Quick+Tip+Pastebin+Monitoring+Recon/12091/

Dumpster Diving

13.07.2015 (1:47 pm) – Filed under: Segurança da Informação ::

9781581603699

Quem assistiu o filme(listaWho Am I percebeu uma técnica  usada dentre muitas no filme o dumpster diving  refere-se ao uso de vários métodos para obter informações sobre o usuário. Em geral envolve pesquisar através do lixo algo útil, isso geralmente é feito para descobrir informações úteis que podem ajudar um indivíduo a ganhar acesso a alguma empresa, organização etc .

Essa técnica foi realmente muito popular na década de 1980, devido a uma menor segurança do que existe hoje , essa coleta de informação e útil  para atacantes maliciosos e/ou curiosos que podem encontrar manuais, arquivos de senhas, disquetes, CD/DVDs.documentos sensíveis, números de cartões de crédito, recibos ou relatórios que foram jogados fora.Estes dados podem ser utilizados para realizar outros tipos de ataques em sistemas, podendo basear-se em em engenharia social.Como sabemos a coleta de informações, ou reconhecimento, ocorre antes de um ataque, de modo que o atacante tem uma base de dados sobre um alvo para poder traçar um melhor perfil de seu alvo, estas informação pública disponível gratuitamente pode vir de motores de busca, ferramentas, engenharia social, dumpster diving  e etc.

Empresas investem milhões em tecnologias para se manter seguras e  treinamentos para aprender a usar essas novas tecnologias, porém nem todas se preocupam em fornecer o devido treinamento aos funcionários quando o assunto é o descarte adequado de documentos ou qualquer outro tipo de material que contenha informações sensíveis ao funcionamento da organização, e onde entra o perigo.

O problema não e somente o lixo e sim o que você ira coloca-lo nele, muitas empresas descartam arquivos sigilosos  e muitos aparecem pela rua que pode utilizar essas informações, uma outra questão seria a economia, muitas organizações reaproveitando folhas que já foram utilizadas para imprimir outras informações que podem ter dados que parecem ser irrelevantes como telefone, email, endereço etc,  isso na mão de criminosos pode ser uma vantagem para conseguir acesso a algum sistema ,um grande engenheiro social que já usou essa técnica e relata em um dos seus livros[1] é o Kevin Mitnick.

Nós mesmos podemos tomar cuidados simples, como evitar imprimir informações confidenciais sem necessidade ou ainda imprimi-las e deixá-las esquecidas na impressora, encomendas de correio muitas pessoas acabam deixando quando jogam as caixa fora nela temos informações do remetente e destinatário como (cod. postagem,rg,cpf,endereço,telefone,cidade,estado,pais) uma boa prática é rasgar em vários pedaços qualquer dessas informações colocando em lixos separados, uma medida que faço sempre. [meus pais me chamam de louco e paranóico..hehhe]

Descarte correto

Para papeis o método mais utilizado é o triturador que é uma forma barata e de fácil acesso, em algumas  empresas é utilizado o incineração de documentos, um método mais caro porem efetivo.Se você quiser mais informações sobre esse assunto, recomendo fazer a leitura do item 10.7.2 e 10.7.3 da norma ISO IEC/NBR 27002:2005.

 

Referências
[1]http://www.livrariasaraiva.com.br/produto/182835/a-arte-de-invadir
Guidelines for Media Sanitization – National Institute of Standards and Technology (NIST)
DoD 5220.22-M
Lixo Eletrônico, Descarte e Vazamento de Informações
Gerenciamento de Documentos

OPSEC (operation security)

11.06.2015 (9:19 pm) – Filed under: Segurança da Informação ::

OPSEC-for-Preppers

OPSEC(operation security – Operações de Segurança): é um termo originado pelos militares dos EUA é um processo que identifica as informações críticas para determinar se as informações obtidas pelos adversários poderiam ser interpretados úteis a eles, e em seguida, executa medidas para eliminar ou reduzir a exploração do adversário que detem de informações críticas

No uso mais moderno, o termo passou a ter um significado semelhante, incluindo a proteção de informações de olhos hostis, incluindo espionagem industrial, hackers,engenharia social, vigilância em massa e etc.

> O processo de OPSEC pode ser descrito abaixo:

1) Identificar Informação crítica – Identificar informação necessária que sejam vitais, ao invés de tentar proteger toda a informação classificada ou não classificada

2) Análise de Ameaças – A ameaça principal é que os outros vão querer suas informações, e eles provavelmente não vão estar interessado em uma troca justa, possivelmente isso trará serios riscos.

3) Análise de Vulnerabilidades – O que poderia revelar informações críticas? Como alguém poderia descobrir o que você postando, fazendo, compartilhando.

4) Avaliação de Risco – Qual é a probabilidade de que alguém encontra e leva suas fontes?

5) Aplicar as medidas adequadas de segurança operacional – Reduzir ou eliminar o risco através de um planejamento cuidadoso ao abordar vulnerabilidades conhecidas

asdasds

Olhe para as suas acções de preparação atuais; você está chamando a atenção para si mesmo divulgando dados em redes sociais ou outra fonte? O que você pode fazer para reduzir ou eliminar?

> Sobrevivência em um ambiente extremamo adversário

Em 2013 um grupo de pornografia infantil foi preso(ainda bem) uma tarefa ardua para a policia que contou com 15 mêses de investigação[1], mas o mais intrigante nesse história e que os membros desse grupo adotavam medidas de OPSEC e OSINT. Este post vai examinar essas regras, as razões para o seu sucesso, e os problemas enfrentados no grupo que implicaram a descoberta e a extrapolação das regras.
O grupo de pornografia infantil eram bastante cautelosos e tinha regras de segurança rigidas, os membros que foram capturados foram aqueles que violaram as regras de segurança:

– Acessando um servidor de grupo de noticias sem o uso de Tor (por exemplo, VPN, ou diretamente)
– Revelando detalhes pessoais sobre si mesmos
– Entrando em contato com o outro fora do canal seguro do grupo

> Atividade Operacional: Distribuição

– O grupo teve o cuidado de assegurar que a localização dos arquivos criptografados que continham iformações de abuso infantil.

– O grupo usou uma única chave PGP compartilhada por todos os membros. Por um lado, isso seria negar completamente a segurança fornecendo a chave PGP, se a chave cai nas mãos erradas, mas por outro lado o uso de uma chave compartilhada torna o gerenciamento de chaves significativamente mais fácil, que é uma preocupação séria.

Além disso, usando apenas uma chave você ira reduz a capacidade do adversário de determinar o tamanho do grupo através de exame de pacotes de PGP, veja mais detalhe sobre esse ataques[2]

> Atividade Operacional: Recrutamento

Para permitir que novos membros entrem na comunidade, havia orientações claras, procedimentos e regras como, verificação de antecedentes para assegurar que esses novos membros não são um potencial.Em seguida, um membro existente tem de convida-lo para o grupo. Finalmente, para demonstrar seu profundo envolvimento na atividade e para provar que eles não são da policia, eles passam por um teste escrito cronometrado minucioso.

> Regras de segurança que funcionam nesse cenário

– Nunca revele a verdadeira identidade para outro membro do grupo
– Nunca comunicar com outro membro do grupo fora do canal seguro
– Participação em grupo permanece estritamente dentro dos limites da Internet
– Os membros não podem revelar informações de identificação pessoal
– O servidor de notícias de comunicações primário era migrado regularmente
___ * Se um membro viola-se uma regra de segurança, por exemplo, deixar de criptografar uma mensagem
___ * Reduzir chances de descoberta
– Em cada migração newsgroup
___ * Criar novo par de chaves PGP, desvinculando a partir de mensagens anteriores
___ * Cada membro cria um novo apelido

> O grupo se manteve de pé por muito tempo pelo simples fato :

Eles tinham um entendimento bom do OPSEC e seguiram de forma consistente, não revelando informações uns com os outros dentre outras medidas que citamos acima.
Os policiais foram capazes de obter logs de todo o tráfego de comunicações, além de registros de seus endereços IP que eles usavam para postagem. Todo mundo que usou Tor (de acordo com a recomendação do Yardbird ) era anônimo na camada IP. Este os protegeu de revelar sua identidade. Contanto que não havia nenhuma informação adicional que eles tinham revelado sobre si mesmos em suas mensagens, eles estavam seguros, a utilização do PGP era essencialmente.

Referêcia :
[1]http://dee.su/uploads/baal.html
[2]https://ritter.vg/blog-deanonymizing_amm.html
http://www.wikihow.com/Conduct-an-Operations-Security-%28Opsec%29-Assessment
http://www.dtic.mil/whs/directives/corres/pdf/520502m.pdf
http://en.wikipedia.org/wiki/Operations_security
RFC 3871: Requisitos de segurança operacionais para grande provedor de Internet Service Provider (ISP) http://www.ietf.org/rfc/rfc3871.txt

Kill Chain (cadeia de destruição)

10.06.2015 (7:31 pm) – Filed under: Segurança da Informação ::

adpads

Um assunto que achei interessante lendo livro, e posts na internet; vocês já ouviram falar em kill chain (cadeia de destruição) !!!

Essa é uma prática que esta sendo adotada no meio cibernético e o kill chain, segundo o departamento de defesa do EUA  o kill chain é um processo sistemático para localizar o alvo para criar os efeitos desejados sua doutrina é a seguinte:  fixar, seguir, mirar, engajar e avaliar (find, fix, track, target, engage and assess) intitulado conhecido também com a seguinte sigla:

F2T2EA ~> encontrar os adversários apropriados para engajamento, fixar sua localização, seguir e observar, mirar o alvo com armar ou ativos apropriados para criar os efeitos desejados, engajar o adversário e então avaliar os efeitos:

  1. Reconnaissance : conhecido por muitos auditores de segurança da informação como coleta de informação, onde e feito todo o processo de levantamento de informações sobre o alvo
  2. Weaponization : criação do payload (carga maliciosa) que ataca/infecta o alvo de forma automatizada com a mínima intervenção do usuário
  3. Delivery : entrega do payload ao ambiente-alvo, os meios de entra mais utilizado que conhecemos são, e-mail, discos removíveis.
  4. Exploration : após a entrega da ciber arma, vem a execução do código malicioso, onde é dada pela exploração de uma falha de algum sistema.
  5. Installation : manutenção do acesso ou do software malicioso persistente dentro de um ambiente alvo
  6. Command & Control : comunicação entre o alvo com seu mestre(atacante) onde e enviado os dados.
  7. Actions or objectives : depois de passar por todos esses seis pontos o atacante pode planejar futuramente para atingir diretamente seu objetivo final caso seja possível, veja a figura 1.1 que retrata esse ciclo.
adpadsiuhds
figura 1.1, retirada de [1]

Com estas informação, podemos mapear as contramedidas mais eficazes contra cada uma das sete fases. Cada fase pode ser tomado como uma camada de defesa ao fazer isso tomamos á parte as contra medidas que são mais eficazes contra as ações empreendidas pelo atacante com isso temos então uma estratégia defensiva.

O malware entra na parte de weaponization, ao atacar o sistema industrial uma arma especifica deve ser criada para o ataque visto que cada infraestrutura tem um determinada configuração especifica, essa arma tem também um proposito definido como roubar informações, parar comunicação  e sabotar os ativos. Para que um malware ganhe o nome de arma cibernética ele deve possuir:

  • Alvos definidos e claro.
  • Objetivos definidos e claros
  • Ter proteção para não infectar outros sistemas
  • Grande nível de complexidade em atacar os pontos certos

Uma arma cibernética demanda de muitos recursos e dinheiro para sua concepção normalmente essas armas são patrocinadas pelo governo,agências de defesa ou grandes grupos de terroristas como mencionado acima.

Desenvolvimento de Arma Cibernética 

Alguns fatores são levados para criação dessas armas cibernéticas:

  • Inteligência interna sobre os sistemas rodando e suas configurações.
  • Equipamento idênticos para simulação e testes desses
  • Equipe de profissionais especializados na criação de malware.
  • Equipe de profissionais especializados em protocolos e sistema de controle utilizados no alvo.
  • Terceirização de empresas.

Deve-se notar que a alto propagação não é um requisito de uma arma cibernética, o projeto de uma arma cibernética e similar com de um míssil, onde e composto por 3 elementos básicos : um veiculo de entrega, um sistema de navegação e a carga explosiva.

  • Os meios de entrega de uma arma cibernética dependendo de um objetivo são por mídias removíveis, e-mail, plugins , downloads e alguns softwares que são vulneráveis a alguma quesito.
  • O sistema de navegação (exploit) permite que a carga explosiva(payload) chegue a um ponto especifico dentro de um computado ou sistema entrando por meio de um vulnerabilidade, a exploração dessa vulnerabilidade pode ser por acesso remoto não autorizado ou execução de código remoto nos ativos.
  • A carga é denominada payload e pode ser que qualquer tipo de programa, os mais comum são: copiam informações para fora da do computador para uma fonte externa, alteram arquivos, criam novas contas, transforma a rede em “botnet”, abrem backdoor na maquina ou retornam um shell no atacante.

Tratar o ciberespaço como um campo de batalha é um quesito que está ganhando força no meio de vários profissionais de segurança da informação,varias organizações adaptam as estratégias em estilo militar para se defender, por isso o termo kill chain.

Desenvolver metodologias de ciber-defesa usado por militares é fato, qualquer profissional da área de segurança da informação já deve ter ouvido que ” o atacante só precisa de uma fraqueza, enquanto que os defensores devem se proteger de todos os meios”.Usar meios para descrever as fases de intrusões do adversário mapeando os indicadores para assim defendemos e tomarmos uma ação, identificar padrões que apontam intrusões individuais em cenário e compreender a natureza iterativa do sistema é importante.

Recolher mais informações sobre a sua rede, servidores,sistemas,banco de dados dentre outros você terá uma melhor chance de descobrir o que aconteceu e assim tomar medidas para que não não volte a acontecer, é assim que você pode encurtar o seu ciclo de resposta á desastres, uma abordagem completa de monitoramento e o line base de rede e dos sistemas é crucial para frear o tempo gasto para lidar com incidentes; assim você tera registro,logs, falso positivos/negativos em determinados cenários para entender melhor e te ajudar a detectar e rastrear surtos iniciais à medida que ocorrem.

Parte desse problema se torna difícil quando á necessidade de pesquisar, um exemplo quando você detectar algo que está errado agora, você precisa ser capaz de voltar e ver como aquele incidente aconteceu é em seguida descobrir o que mais aconteceu entre outros.

Referências:
[1]http://myarick.blogspot.com.br/2014/02/f2t2ea.html
http://seclists.org/dataloss/2014/q2/66
Ayres Branquinho, Marcelo; Cardoso De Moraes, Leonardo; Jan Seidl. Segurança de Automação Industrial e Scada. 1 ed : Elsevier,2014

 

Intelligence Preparation of the Battlefield (IPB)

10.06.2015 (7:24 pm) – Filed under: Segurança da Informação ::

ap0fkfsdpf

A de aplicar Intelligence Preparation of the Battlefield (IPB) no exécito dos EUA surgiu essa doutrina, adaptando para o espaço cibernético, o IPB e definido como o processo sistemático contínuo de analisar a ameaça e meio ambiente em uma determinada área específica, consistindo em definir o ambiente de batalha,os efeitos do campo de batalha, avaliando a ameaça (inimigo) e assim o cursos da ameaça, como iremos aplicar esta doutrina ao espaço cibernético será relatado abaixo:

Intelligence Preparation of the Battlefield (IPB): é definido como o processo sistemático e contínuo de análise das ameaças e do ambiente em um área geográfica específica, é composto de 4 etapas

1 – Define o campo de batalha do ambiente
2 – Definir os efeitos do campo de batalha
3 – Avaliação da ameaça (inimigo)
4 – Determinar cursos ameaça de ação (COA)

Podemos trazer para o ambiente cyber security

> Definição do processo no ambiente:

• Identificar características significativas do ambiente, o tipo de ambiente ira influenciar (interno,externo).
• Identificar os limites que o cenário tem.
• Identificar dentro do tempo disponível os diferentes detalhes para realizar um processo contínuo.
• Avaliar os dados existentes e identificar as lacunas/vulnerabilidades do cenário, conduzindo planos para coleta de dados e informações necessárias.

> Avaliar o (inimigo) se coloque no lugar dele:

• Disposição (Localização)
• Composição (Organização e equipamentos)
• Força ( O que tenho para combater nessa missão)
• Peculiaridades e pontos fracos que tenha-nos
• Capacidades provável que o inimigo COA detém, quais os perigos eminentes
• Conclusões (efeitos que essas falhas/vulnerabilidades inimigas iram trazer)

Estes passos provem um formato padrão para o combater e ter uma compreensão rápida do nosso inimigo,definindo-o podemos traçar metas para mitigar e minimizar ou ate para o inimigo.As ameaças vêm de uma variedade de fontes de indivíduos (acesso não autorizado usuários ou insiders,serviços de inteligência, governos, concorrentes e etc).

Limitar esses grupos muitas vezes é difícil pois as origens dos incidentes podem vir de qualquer lugar. Por exemplo, ações que parecem ser trabalho de hackers podem ser realmente um trabalho de um serviço de inteligência (espionagem). Essas fontes podem ser usuários não autorizados, insiders, terroristas, grupos não-estatais, serviços de inteligência estrangeiros e adversários.

> Determinar as atuais ameaça:

• Identifique as ameaça e os objetivos prováveis. ​
• Identificar por completo as ameaças disponíveis.
• Desenvolver uma análise com base na percepção do inimigo.
• Avaliar e priorizar cada processo de ameaça que o inimigo impoem.
• Continuar a refinar e analisar as novas informações.

Major General Wang Pufeng da China diz em 1995 “Num futuro próximo, a guerra de informação controlará a forma e o futuro da  guerra. Nós reconhecemos esta tendência do desenvolvimento da guerra de informação e vê-lo como uma força motriz na modernização da prontidão de combate e militar da China. Esta tendência será altamente crítica para alcançar a vitória nas guerras futuras.” [1]

> Cyber ​​espaço definição do processo de batalha do ambiente

• Identificar características significativas do ambiente.
____– Classificação da rede
____– Não classificados ou Protocolos não seguros
____– Secreto ou Não secreto como : redes,WANs, LANs, serviços, base de dados, aplicações (e-mail), OS (Windows, Unix, Linux)
____– Deter de informações informação reais a todo momento, com base line na rede.
• Identificar os limites da rede e estabelecer os limites das redes conectados ou não conectas.
• Avaliar as bases de dados existentes e identificar as vulneralidades caso exista.

iohfsdfd

O dia em que seria chamado a electronic Pearl Harbor[3][4] onde teve muitos eventos. O presidente tinha acabado de anunciar que iria enviar forças para Taiwan. A FBCB2 controle de comando da Coréia foi roubada e o The Global Command and Control System’s (GCCS) e o Time-Phased Force Deployment Data(TPFDD) foi comprometida e modificados. Originou-se um ataque através de sete países ganhando acesso a registros de transações New York Stock Exchange, mudando 75% dos registros, um worm dirigido contra centro de gerenciamento de emergência foi liberado. Duas usinas nucleares na Califórnia tinha bombas lógicas na sua base de dados unidade central que causou colapsos. Vários satélites militares foram invadidos com danos inestimaveis.

O edifício que tinha os servidores de DNS foram atacados também ocasionando uma cada de sistema por três dias, a China anunciou na época que descobriu que era um 0-day em roteadores ACL e então estavam lançando o patch para a correção. E foi anunciado que essa onde de ataque originou-se de Taiwan.

Adotar estes passos são os mesmos em uma guerra convencional ou guerra virtual, a diferença é que o campo de batalha aqui é no mundo virtual.

Referências
[1]Major General Wang Pufeng. “The Challenge of Information Warfare” China Military Science,Beijing, Spring 1995.  http://www.fas.org/irp/world/china/docs/iw_mg_wang.htm
[2]https://cyber-defense.sans.org/resources/papers/gsec/cyber-ipb-103147
[3]http://www.cato.org/publications/commentary/electronic-pearl-harbor-more-hype-threat
[4]http://www.bibliotecapleyades.net/ciencia/secret_projects2/project397.htm

Limitações do Penetration Testing

22.07.2014 (2:08 pm) – Filed under: Segurança da Informação ::

Bem galera irei falar um pouquinho de algumas limitações que os pentesters tem durante alguns projetos ou ate mesmo na equipe,realização do próprio teste e afim,

Os testes de penetração são práticas úteis que podem ajudar a tornar a segurança de uma organização muito melhor,mas esses testes de penetração têm suas limitações tais como:

– Base do projeto
– As próprias habilidades dos profissionais.
– Limitações dos Teste de Invasão
– Limitações dos Testes de Penetração

Os testes de penetração não são possível encontrar todas as vulnerabilidades em um ambiente de destino,podemos ter algumas limitações com base nos recursos e restrições desses testes:

– Limitações de escopo
– Limitações de tempo
– Limitações de acesso dos profissionais que vão realizar o teste
– Limitações relativas quanto aos métodos que os profissionais iram realizar
– Limitações de habilidades dos profissionais como já falamos
– Limitações como exploits que ainda não são conhecidos

Varias dessas limitações estão associadas com a natureza do projeto em si, com recursos finitos e um âmbito específico. Primeiro, os testes feitos nos projetos, por sua própria natureza, têm um alcance limitado. A maioria das organizações não faz e não pode testar tudo, por causa de limitações de recursos.

Os profissionais testam os elementos da infra-estrutura do cliente que são considerados mais vital. Mas, um atacante do mundo real pode encontrar falhas em outras áreas que simplesmente não faziam parte do escopo do projeto de teste de penetração,outra limitação relacionada é tempo,os profissionais  atribuí uma certa quantidade de tempo no projeto para um teste,em consequencia os atacantes costumam ter muito mais tempo para trabalhar em seu ataque, planejá-lo ao longo de meses ou anos, quando a maioria dos processos de teste de penetração apenas duram alguns dias, semanas ou, no máximo, alguns meses.

Alem disso os pentesters , muitas vezes têm acessos restrito aos ambientes de destino, mas não todos, os bandidos em contra-partida tem, por causa da possibilidade de deixar de funcionar um sistema de destino durante um teste de penetração, alguns métodos de ataque em particular será provavelmente fora do ambiente em si para não causar prejuízo nos ativos

Também  às limitações dos testes com foco no projeto,  os testadores de penetração têm limitações associadas com a própria equipe,conjunto finito de habilidades.Além disso, a realização do teste tem algumas  limitações pela imaginação dos próprios profissionais. A maioria dos profissionais não escrevem suas próprias façanhas, mas sim contam com exploits escritos por outras pessoas.

Essas limitações podem ser superadas com um conjunto altamente qualificada de profissionais de segurança