DEV Community: Leh 🚘

Introdução ao conceito de autenticação

Leh 🚘 — Wed, 23 Jun 2021 03:04:00 +0000

Qualquer pessoa que utilize algum serviço da internet hoje,
independente da função, pode esbarrar com a autenticação.

Autenticação faz parte de um processo de segurança. No caso de uma aplicação, o famoso "login" é uma forma de autenticação.

Existem inúmeras maneiras de um usuário realizar o login em alguma aplicação, mas aqui o foco é introduzir como funciona a autenticação de maneira bem breve e entender alguns conceitos de segurança da informação.

Entendendo o IAAA

Entrando mais no quesito fundamental de segurança, a sigla IAAA vem de identification, authentication, authorization e accounting, que em português significa identificação, autenticação, autorização e auditoria.

Ter em mente esses 4 conceitos é bem importante para entender o processo de autenticação.

Identificação - Algo que mostre quem você é
Autenticação - Algo que prova quem você é
Autorização - Algo que permite o que você pode acessar
Auditoria - Registro de todo esse processo

No ciclo de autenticação, você precisa mostrar quem você é, enquanto a autenticação vai provar que você é você mesmo. Com isso você vai ter a autorização de tudo que é permitido que você tenha acesso e a auditoria vai deixar registrado que você executou todo esse processo.

Com esse conceito em mente fica mais fácil entender que a autenticação permite que uma entidade prove a sua identidade utilizando credenciais conhecidas por outra entidade. E claro, que seja dada a devida autorização para acessar tal conteúdo.

Isso significa que para alguém realizar uma autenticação, ela precisa primeiro saber quem você é. Por isso que sempre que vamos criar uma conta em um site novo por exemplo, são solicitadas informações básicas que nos identifique, e nesse caso, um meio de autenticação, que faça com que a aplicação saiba que somos nós mesmos que estamos acessando aquele site. Nesse caso, o uso de senhas e usernames são uma das maneiras mais comuns de prover autenticação, porém não são as únicas.

Esse conceito acontece até no mundo fora da internet, por exemplo, quando você precisa entrar em um prédio que possui controle de acesso pela primeira vez. Geralmente você precisa se identificar, mostrar quem você é (com um RG por exemplo), alguém irá conferir se é você mesmo no RG (ou pelo menos deveria hehe) , e então será dada a devida permissão para você acessar o prédio.

Portanto, se a autenticação não provar que você é você, a autorização para acessar o que deseja não será concedida. Isso significa também que, por mais que você tenha acesso ao banco de dados da aplicação por exemplo, se você só tiver permissão de consulta, o processo de autenticação vai garantir que você consiga consultar o banco de dados, mas se não for permitida alteração no banco, a autenticação não irá conceder a autorização de edição.

A autenticação vai sempre ocorrer através da comunicação de duas entidades, isto é, você vai contar quem você é para uma entidade e essa entidade vai confirmar que você é você. Essa entidade pode ser o serviço de autenticação da aplicação por exemplo.

Esses serviços de autenticação podem ser Kerberos, LDAP, SSO, OAuth, Federation ID e etc.

A autenticação pode acontecer de inúmeras formas, e todas elas variam de acordo com a sensibilidade da informação que necessita da devida autorização para ser acessada, isto é, em locais muito restritos, a autenticação pode acontecer através de múltiplos fatores para reduzir a chance de fraudes e acessos indevidos.

O fator de autenticação

O fator de autenticação é a maneira que uma entidade utiliza para garantir que a autorização de acesso a tal conteúdo seja dada para a pessoa que é legitimamente autorizada à acessá-la.

Voltando ao exemplo do banco, se sua credencial possui permissões de administrador, isso significa que você possui uma grande quantidade de permissões ao banco de dados da aplicação, que se não for utilizada de maneira prudente, pode causar diversos danos.

Isso significa que uma credencial de administrador deve ser protegida e possuir acesso restrito, logo, utilizar somente um fator de autenticação (como usuário e senha) pode apresentar grandes riscos à aplicação.

Para isso, existem 5 fatores de autenticação:

Algo que você sabe - Se refere a algum tipo de segredo compartilhado. Ex. Senhas, pins
Algo que você tem - se refere a algo que você fisicamente possui. Ex. Smartcards, tokens
Algo que você é - se refere a utilização de biometria. Ex. Digitais, voz
Onde você esta - se refere à autenticação através da localização Ex. Gps, máquina específica
Algo que você faz - se refere a alguma ação utilizada para completar a autenticação. Ex. Assinatura

Não vou me aprofundar no conceito de fator de autenticação, mas caso queiram entender mais a fundo segue uma sugestão de leitura: https://dojowithrenan.medium.com/the-5-factors-of-authentication-bcb79d354c13

O conceito de multi fator de autenticação significa que você utiliza dois ou mais fatores exemplificados acima como formas de autenticar, isto é, você precisa provar, no mínimo, duas vezes que você é de fato você e não algum tipo de fraude.

A utilização em múltiplos fatores é interessante também em casos que ocorram alguma falha no primeiro fator, pois o segundo fator consegue bloquear uma autenticação fraudulenta.

Isso significa que se o primeiro fator seja uma senha (algo que você sabe) e o segundo fator seja um token (algo que você tem), e alguém descubra sua senha mas não tenha o token, esse alguém não vai conseguir autenticar e ter acesso as devidas autorizações que aquela credencial permite.

Um outro exemplo é quando existe um controle físico que utiliza cartão de acesso (algo que você tem) mais biometria (algo que você é). Caso a pessoa X perca o cartão e a pessoa Y ache e tente utilizar esse cartão para acessar essa área restrita, a pessoa Y não vai conseguir dar continuidade no processo de autenticação pois ela não possui a biometria da pessoa X.

Além disso, existem alguns problemas muito comuns em autenticação, como senhas fracas, perda de senhas, erros de biometria e por ai vai, portanto, utilizar dois ou mais fatores de autenticação é mais uma barreira de proteção em casos de roubos de credencial, força bruta ou vulnerabilidade em algum dispositivo de autenticação.

Por conta desses fatores é de extrema importância habilitar multifator de autenticação em qualquer tipo de processo de autenticação, principalmente em artefatos que possui um grande poder de impacto caso caia em mãos erradas (como utilizar somente usuário e senha para credenciais de administrador/domain controller por exemplo), pois caso ocorra alguma falha no primeiro fator, o segundo fator pode bloquear que pessoas não autorizadas consigam acesso a alguma credencial que não é devida.

E a auditoria?

A auditoria, no fim das contas, são os registros. O registro de que aquela autenticação ocorreu por aquele usuário em X hora e X data. Em cybersecurança costumamos utilizar logs como forma de registro, mas se tratando de proteção de algum artefato físico, os registros podem ser câmeras de segurança por exemplo.

Isso significa que quando uma aplicação possui logs de auditoria habilitados para autenticação dos usuários de uma aplicação, a gente consegue ter o registro de todas as autenticações realizadas e investigar se houve um possível acesso não autorizado, ou até mesmo tentativa de roubo de credencial (em caso de ataques de força bruta por exemplo).

Por conta desse registro, é possível identificar incidentes de segurança e realizar o monitoramento efetivo de um artefato, além de ajudar em análises pós incidente.

Como começar em segurança da informação?

Leh 🚘 — Fri, 21 May 2021 15:32:51 +0000

Acho que de toda minha vida, essa foi a pergunta que mais me fizeram. Bem, pra quem chegou aqui de paraquedas, eu sou a Leticia Pereira, atualmente trabalho com segurança da informação em uma consultoria de segurança.
Ja fui community leader na faculdade de um grupo de hacking que na época, fez muito sucesso e abriu portas para muita gente. Praticamente, 90% dos membros do grupo da época hoje estao empregados em alguma area de cybersecurity.
Claro que meu trajeto ainda esta em andamento, mas com o que acumulei ate aqui, ja posso dar algumas dicas e falar um pouco sobre e responder algumas perguntas que me fazem diariamente no twitter e linkedin.

Como começar em cybersecurity?

A primeira coisa que voce precisa perguntar é: Por que cybersecurity?
Realmente é muito legal voce entender o que os "hackers" fazem, assistir MR Robot e querer ser um Elliot da vida. Mas a realidade de um profissional de cybersecurity esta beeeem longe disso.

Falando por mim, voce basicamente vai olhar logs, procurar entender como um ataque acontece através de logs, pensar em todos os possíveis de cenários de segurança e brechas de segurança para voce conseguir defender todos os ativos da empresa, fazer inúmeros relatórios para clientes procurando falhas de segurança, acompanhar atualização de softwares, gastar dias e horas procurando falhas em sistemas, fazer mais relatórios, ler diversos textos postados por pesquisadores e por ai vai.

O trabalho de segurança eh vendido publicamente de maneira bem gourmet, mas a realidade esta muito longe de ser gourmet.

Então de maneira generalizada, para trabalhar em segurança voce tem que curtir um trabalho invisível (afinal vc vai estar por trás da segurança de grandes projetos e n vai poder abrir a boca muitas das vezes), voce precisa de fato se importar em manter ambientes e sistemas seguros simplesmente porque voce se importa com isso. E desenvolver um sistema bem, garantir uma boa infra e atender todos os requisitos dá muito trabalho, fazer isso e manter com segurança o da mais trabalho ainda, portanto, voce de fato precisa gostar e se importar e nao simplesmente esperar que voce vai ser o novo MR Robot.

Uma vez entendido que voce gosta de segurança, vamos ao que voce precisa saber:

Redes: seu conhecimento precisa ser muito bom em redes para vc entender como as coisas funcionam, afinal, estamos falando da internet. Sem um bom conhecimento de redes voce vai ter um gap técnico bem grande, fazendo com que seu conhecimento seja bem superficial.
Programação: Sim, voce precisa saber programar. Precisa saber desde entender uma sintaxe de uma linguagem pra aprender a fazer uma analise estática ou até mesmo para executar/criar scripts. E a linguagem que voce precisa saber varia muito da area que voce quer seguir, mas basicamente pra todas elas o Python é bastante utilizado. Entender de shell script também é muito importante. Entao como sugestão inicial, python e shell.
Sistemas operacionais: voce nao precisa ser um sabedor master de kali linux, mas sim,é importante entender como funcionam alguns sistemas operacionais, principalmente linux e windows. Mexer em terminal, entender como um sistema operacional funciona, entender como um funciona um windows/ubuntu server e por ai vai.
Ingles: Eu julgo ingles como primordial principalmente para voce entender e nao se limitar na hora de buscar fontes de informaçao. Isso porque muitos profissionais de segurança sao de diversos lugares do mundo, principalmente India e China, e o ingles acaba sendo muito utilizado na hora de compartilhar conteúdo e aprender coisas novas. Infelizmente nao temos muitas referencias técnicas gratuitas em português, entao entender ingles acaba pesando muito aqui.

Um fator extremamente importante que precisa ser considerado é que infelizmente segurança não é uma área muito amigável para iniciantes. Isso significa que é muito difícil voce conseguir uma vaga sem ter experiência profissional anterior ou pelo menos um portfolio de projetos feitos. O motivo disso é que justamente a area de segurança pede conhecimento previo de temas relevantes e é praticamente impossível voce proteger algo que voce nao conhece ou nao sabe como funciona.

Mas se pra entrar precisa de experiência, como conseguir a primeira experiência?
Bem, uma maneira de burlar isso é: adquira experiência em outras areas de tecnologia. Muitos profissionais de segurança nao começaram simplesmente em segurança. Muitos deles começaram como desenvolvedores, analista de infraestrutura, suporte técnico, banco de dados, analista de dados e por ai vai e, a partir desse trabalho, eles foram para a area de segurança.

Eu mesma, antes de entrar em segurança, trabalhei como analista de dados por 2 anos.
Meu conhecimento em analise de dados, criação de dashboards, entender e traduzir os dados permitiram unir minha habilidade de analisar dados com o conhecimento em segurança e trabalhar com SIEM e analise de logs.
Alem disso, meu conhecimento e interesse por desenvolvimento e engenharia de software, unindo com a segurança da informação, permite me especializar em segurança de aplicações web.

Exceto em casos de estagiários e pessoas que tentam hackear sistemas desde os 10 anos de idade, ninguém que eu conheço simplesmente entrou em segurança começando por segurança. Ate hoje, nao falei com 1 pessoa que nao tenha trabalhado em alguma outra area de TI antes de entrar em segurança. Então nao desanime ou se assuste. Gostar e trabalhar com segurança é um processo e se voce realmente curte isso, voce nao precisa necessariamente ser um analista de segurança para aplicar segurança no seu cotidiano.

Comece se perguntando: onde posso aplicar segurança no meu trabalho? E use o google ao seu favor.

Além disso, muitas vagas de segurança sao concedidas através de networking, entao, se exponha! Vá em eventos, converse com palestrantes, faça pesquisas, escreva blogs, de palestras, crie conteúdo, faça parte de comunidades. Networking em segurança da informação é muito importante.

E claro, se voce tiver dinheiro, invista em certificação. Sim, em SI certificação tem um peso muito grande e te abre muitas portas. Duas certificações extremamente relevantes para área é ISF da Exin e a Comptia Security+.

Agora, onde aprender isso tudo?
Bem, aqui tem um Notion onde eu compartilho alguns conteúdos de onde aprender, entao fiquem a vontade =3
https://www.notion.so/Intro-security-d2dc5519a501469cabaf81951c2e891f

Entendendo a web - Parte 1: O que é a internet?

Leh 🚘 — Tue, 26 Jan 2021 05:02:57 +0000

DISCLAIMER: Este post tem como objetivo ser uma introdução BREVE para
todos os tipos de usuários conhecerem sobre o tema. Este post não tem qualquer objetivo em aprofundar nos tópicos abordados, mas sim despertar a curiosidade dos mais interessados e esclarecer alguns pontos para quem não conhece nada.

A internet nada mais é que vários e vários computadores se comunicando entre si. Essa comunicação é possível através de cabos que cruzam continentes e oceanos ao redor do mundo, para que cheguem ao nosso modem e roteador, possibilitando nosso acesso à internet através de nossos dispositivos.

Essa comunicação é formada por dados sendo transportados de um ponto a outro. E para tudo na internet existem protocolos. Mas como a informação que eu envio vai para o lugar que eu realmente quero que chegue? Como eu sei que eu estou me comunicando com quem eu deveria me comunicar?

Para isso existe o Internet Protocol, que são os IPs. Os endereços de IPs são como uma espécie de CPF da rede, isto é, são IDs únicos que te identificam na internet. Através do IP que os dados sao transportados pela rede e garantidos que cheguem a quem nós queremos que receba esse conteúdo.

Esse conteúdo é encapsulado em pacotes de dados que são enviados de um dispositivo até outro. Esses pacotes podem ser TCP ou UDP. E dentro desses pacotes possui o conteúdo dessa comunicação, que são os dados, as informações das aplicações e tudo que usamos e conseguimos acessar e fazer na internet.

Para tentar deixar tudo mais claro, vamos imaginar um serviço de entrega de pizza. O entregador sai da pizzaria, que vamos chamar de ponto A, e vai até sua residência, que vamos chamar de ponto B.
No conceito de internet, o ponto A (pizzaria) quer entregar um pacote (pizza) pra você (ponto B) e vai utilizar um entregador pra isso acontecer.

Quando o entregador sai da pizzaria, ele precisa pegar uma estrada para chegar ate o ponto B. Essa estrada, no conceito de internet, são os cabos que permitem que uma informação seja entregue de um ponto a outro.

O entregador é o IP, na qual voce so vai abrir a porta e atender, se conseguir se certificar de que o entregador é o que você está esperando. Os pacotes (tcp ou udp) é a caixa de pizza. Os dados e a informação que contém dentro de cada pacote, podemos dizer que é o sabor da pizza.

Depois dessa visão beeem generalizada, vamos entender um pouco mais tecnicamente o que quer dizer isso.

IP (Internet Protocol)

Apesar de seu nome ser utilizado como número de identificação de um dispositivo na internet, o IP também é um protocolo de comunicação nos modelos OSI e TCP/IP. Por isso é importante lembrar que o IP faz duas coisas: encapsula os dados TCP para que ele seja entregue ao seu destino, e por conta do endereço de IP, é possível identificar de onde vem esses dados e para onde eles vão.

Através do IP é possível identificar a geolocalização do dispositivo que está acessando a internet, com quem ele quer acessar, para onde ele quer enviar os dados e etc.

Os endereços de IP podem ser IPv4 e IPv6. A diferença do IPv4 para o IPv6 é que enquanto o IPv4 possui uma quantidade de números de 32bits (por exemplo "203.0.113.42"), o IPv6 consiste em uma combinação de caracteres de 128bits (por exemplo “2001:0002:14:5:1:2:bf35:2610”).

Devido a grande expansão da internet, com mais e mais dispositivos sendo conectados, a quantidade de IPv4 disponível se esgotaria rapidamente, pois cada IP precisa ser único. Com o IPv6 essa necessidade consegue ser suprida.

Além disso, existem os IPs internos e os IP públicos. Basicamente, quando seu dispositivo se conecta a internet, um IP é atribuído a ele, normalmente esse é o IP interno, que não funciona nas camadas públicas da web. Os IPs internos são utilizados por exemplo, para redes locais.

Já o IP publico é o que te identifica por toda a web na qual você quer trocar informações globalmente. É o seu IP publico que aparece nos servidores web quando você faz uma requisição.

Os IPs também podem ser fixos ou dinâmicos. Isso significa que caso seu IP seja dinâmico, quando você reiniciar a internet por exemplo, o seu IP mudará. Já o IP fixo não muda, até que alguém vá lá e mude ele.

Normalmente, os IPs de servidores são fixos, pois são computadores que precisam ser acessados varias vezes.

Servidor nada mais é que um computador utilizado para "servir", isto é, um computador que você armazena coisas conectadas à internet e que você gostaria de acessar varias vezes

Porque servidores possuem IP fixo? Imagina que você vai trabalhar e uma vez que você sai do trabalho, quando você vai voltar no dia seguinte, a empresa mudou de endereço? E o pior, você não faz ideia para onde ela se mudou. E ai depois de procurar muito voce acha e começa a trabalhar, e quando voce vai pra casa e volta no dia seguinte, ela mudou de endereço de novo e você mais uma vez não faz ideia de onde ela está.

A mesma lógica acontece com o servidor. E como a gente precisa de um IP para acessar o servidor, imagina se esse IP mudasse toda vez? Já os IPs dinâmicos normalmente sao configurados para uso domestico, ou cliente side.

Como o IP permite a comunicação entre dispositivos, uma vez que alguém descobre seu IP, essa pessoa consegue se comunicar diretamente com você, descobrir sua localização e, caso a pessoa seja maldosa, ela pode derrubar sua internet. Por isso é sempre importante não sair por ai mostrando seu IP.

Quem faz isso tudo acontecer é o DHCP (dynamic host configuration protocol). O DHCP também um protocolo de serviço do TCP/IP na qual é possível configurar IPs, DNS, máscara de sub-rede, gateway e por ai vai.

DNS

Imagina que loucura se cada ser humano registrado no mundo não tivesse nome e sim números de identificação? Já pensou que louco seria vc falar seu CPF toda vez que fosse se apresentar, além disso, decorar o CPF de todo mundo que vc precisa se comunicar? É muito mais fácil chamar pelo nome da pessoa, certo?

DNS significa Domain Name System. O dns permite que a gente registre um dominio a um IP. Isso é muito utilizado quando queremos colocar alguma aplicação na web. Afinal, é muito mais fácil decorar google.com.br do que decorar 172.217.29.99.

Isto é, todo site que você acessa por um domínio, como o google.com.br, é por conta do DNS. Se não fosse pelo DNS, toda vez que fôssemos acessar um site, teríamos que digitar o seu endereço de IP e não o seu domínio.

Quando você acessa um site, como o google por exemplo, você está enviando dados da sua máquina (cliente) para o IP do servidor do google.

Quando você digita google.com.br, a sua requisição bate em um servidor de DNS, que vai localizar o IP correspondente ao domínio acessado e retornar ao seu navegador.

Tudo isso é possível por conta de mais protocolos, como o TCP/IP, UDP, ICMP que será explicado na parte 2 da série Entendendo a web.

Conceitos básicos sobre malwares

Leh 🚘 — Wed, 06 Jan 2021 04:19:28 +0000

DISCLAIMER: Este post tem como objetivo ser uma introdução para todos os tipos de usuários conhecerem sobre o tema. Este post não tem qualquer objetivo em aprofundar nos tópicos abordados, mas sim despertar a curiosidade dos mais interessados e esclarecer alguns pontos para quem não conhece nada.

Primeiramente, o que são malwares?

Popularmente e incorretamente conhecidos como vírus, os malwares vem do inglês Malicious Software, que em português significa software malicioso. Exceto se você for um analista de malware, você provavelmente nunca vai baixar um malware intencionalmente. Isso significa que malwares são softwares que são instalados em seus dispositivos sem o seu consentimento e possuem um comportamento arbitrário.

Os malwares podem ser de diferentes tipos, possuir diferentes comportamentos e diferentes formas de "aquisição" também. Uma vez que seu dispositivo esteja com algum tipo de malware instalado, diversos problemas podem aparecer para o usuário, como lentidão, inicialização de processos indesejados, criptografia de arquivos, ações sem autorização do usuário e muitos outros.

Formas de infecção

Se as pessoas não baixam intencionalmente um malware, como que eles se instalam nos dispositivos? Ora, ora…
Existem inúmeras maneiras de ter um malware instalado em seu dispositivo, algumas delas através de:

Download de arquivos de fontes desconhecidas (sabe aquele torrent que você não sabe a origem ou aquele livro de um site russo? psé)
Download de arquivos crackeados (aquele software pago que você pegou de graça rysos rysos)
Táticas de engenharia social (abertura de um arquivo anexado a um e-mail falso)
Pendrives (sim bebês, o coleguinha pode encher teu pc de “vírus” passando arquivo via pendrive caso o mesmo esteja contaminado)
Entrando em sites de fontes desconhecidas, baixando extensões para navegadores e por aí vai, depende da criatividade do atacante e da ingenuidade do usuário.

Existem malwares para diferentes tipos de sistemas operacionais, porém, devido a sua simplicidade e maior adoção de uso, a quantidade de malwares para Windows é extremamente maior, portanto, se você é usuário Windows, seus cuidados para não ser infectado por um malware devem ser redobrados.

Os tipos diferentes de malwares

Agora que já sabemos o que são malwares e como eles são “adquiridos”, vamos entender quais os tipos de malwares existentes e seus comportamentos.
Porque é incorreto chamar um malware de vírus? Porque nem todo malware é um vírus. Vírus é somente um tipo de infecção, enquanto o malware pode ser de vários tipos. Portanto, todo vírus é um tipo de malware, mas nem todo malware é um vírus.
Os malwares podem ser vírus, worms, rootkits, adware, spyware, ransonware, keylogger entre outros, onde cada um possui uma característica diferente, uma ação de execução diferente e formas de contaminação.

Malware polimórfico e armored vírus
A detecção de um malware por softwares anti-malware (os famosos antivírus) é feita principalmente por meio do uso de uma assinatura. Os anti-malwares verificam os arquivos em busca de seções de código no executável que atuam como marcadores e padrões exclusivos de código que permitem a detecção.
Entendendo como um antivírus funciona, existem alguns tipos de malwares que tem como objetivo dificultar a vida dos analistas de malwares e dos softwares anti-malwares. Nessa categoria temos os Armored Vírus e os polymorphic virus.
Armored virus são malwares desenhados com características específicas que dificultam a vida dos antivírus, não permitindo seu debugging, análise reversa ou possui uma característica diferente.
Já os malwares polimórficos possuem a característica de mudar seu código regularmente sem alterar suas funcionalidades, mas buscando maneiras de maquiar sua detecção. Logo, o malware polimórfico pode alterar seu código a cada uso, enquanto o armored virus é “fixo”.

Vírus
Vírus é um tipo de código malicioso no qual sua principal característica é necessitar de algum hospedeiro e que exerçam uma ação para ele ser executado e se replicar.
Esse hospedeiro pode ser um macro em um arquivo de Excel que, quando o usuário executar a macro por exemplo ou até mesmo abrir o arquivo, o vírus seja executado também e comece a infecção do dispositivo. Outra maneira também é um pendrive infectado por um vírus que ao conectar a porta USB, o vírus seja executado e inicialize a infecção.
O vírus pode ser desenvolvido com diferentes objetivos e produzir reações adversas, inclusive a maneira de infecção. Geralmente vírus causam algum tipo de dano, como deletar arquivos, reiniciar o dispositivo, dar abertura para que atacantes acessem o dispositivo remotamente e por aí vai.
Portanto, ao baixar um arquivo com um vírus, se você não executá-lo, seu dispositivo não vai ser infectado, pois o vírus vai sempre aguardar uma ação do usuário. Logo, deletar o arquivo é uma boa forma de remediação.

Worms
Os worms também são malwares, porém, diferentemente dos vírus, um worm não necessita de um arquivo hospedeiro e nem de interação do usuário. Basta ser executado uma única vez em um dispositivo vulnerável para ele se auto replicar e se espalhar pela rede em que o dispositivo está conectado, infectando outros dispositivos vulneráveis.
Os worms atacam vulnerabilidades de sistemas e podem ser executados por conta própria em outros sistemas que estejam conectados à mesma rede infectada e que possuam a mesma vulnerabilidade que o worm explora. Um worm por si só possui maneiras de auto replicação sem necessitar de interação do usuário.
Uma vez que o worm seja executado, ele se replica e se espalha por toda a rede. Justamente por necessitar de uma vulnerabilidade específica para explorar, é possível você possuir o worm em seu dispositivo e ele não se manifestar, caso você não esteja vulnerável a ele.

Trojan Horse e Remote Access Trojan (RAT)
Famoso cavalo de tróia, presente em diversos arquivos de dispositivos de download de músicas utilizados por muitos adolescentes na década de 2000.
A característica principal do Trojan segue a história do cavalo de tróia onde os gregos enviaram um cavalo como um presente dos deuses para Troia, mas na verdade o cavalo possuía soldados que abriram os portões de Troia para os gregos invadirem a cidade.
O trojan é um malware que se passa por um arquivo legítimo, mas na verdade sua ação é arbitrária. É basicamente você achar que está baixando um novo jogo, por exemplo, mas na verdade você está baixando um software que permite que o atacante tenha acesso ao seu dispositivo.
Os trojans possuem a característica de ser uma ponte entre a máquina afetada e o atacante, podendo permitir que o atacante utilize a máquina da maneira que desejar ou que o usuário tenha ação conforme o software malicioso instalado determine.
Os RAT, por exemplo, são trojans que permitem o acesso remoto aos dispositivos sem que o usuário saiba, dando total controle ao atacante. Com isso, credenciais podem ser roubadas, arquivos podem ser acessados e a máquina pode ser utilizada para botnets. Não só dispositivos, os trojans também podem afetar sites e aplicações web.

Ransonware ou crypto-malware

Não tenho nenhuma estatística para provar, mas no meu ponto de vista, esse tipo de malware acaba sendo muito mais perigoso para organizações, nem tanto para o usuário final.
Ransonware têm como característica criptografar arquivos e dispositivos e somente uma chave é capaz de descriptografá-los. Por conta disso, ocorre o sequestro dos arquivos na qual o atacante, mediante pagamento, pode informar essa chave para o usuário.
Claro que se você tiver um backup é uma forma de não ser vítima ou se sentir chantageado, mas o grande problema é que muitas pessoas não realizam backups regularmente e acabam perdendo seus arquivos para sempre, pois nem sempre realizar o pagamento para o criminoso é sinônimo de ter seus arquivos de volta.
Também pode ocorrer casos do ransonware bloquear o acesso aos dispositivos, mas a maneira mais comum é criptografar arquivos mesmo. Além disso, alguns ransonwares conseguem se multiplicar e se espalhar pela rede, assim como os worms.
A grande questão é que existem diversos tipos de sequestros utilizando a mesma técnica, alguns podem chantagear a empresa que, caso não realizem o pagamento, os arquivos serão divulgados na internet (doxing) ou até mesmo causar algum dano a mais caso o pagamento não seja realizado.

Rootkits

Rootkits também são malwares extremamente perigosos, pois eles possuem a capacidade de executar ações com permissões privilegiadas de usuário, no caso, como administrador do sistema e até mesmo afetar o núcleo do sistema operacional.
Pelo fato dele muitas vezes se camuflar no próprio sistema operacional, dificilmente ele é identificado por anti-malwares. Alguns rootkits podem infectar processos de inicialização de sistema e até mesmo afetar o registro do sistema.
Esse tipo de malware é utilizado muitas vezes para causar danos além de permitir que o atacante tenha acesso privilegiado ao dispositivo afetado, podendo realizar escalonamento de privilégios, acompanhar comportamento do sistema, realizar comunicações sem que o usuário perceba e etc.
Justamente pelo rootkit afetar partes críticas e sensíveis do sistema operacional, até a sua remoção deve ser feita com cuidado, pois pode causar danos. Alguns rootkits inclusive conseguem ser executados antes do próprio sistema operacional, como uma espécie de "máquina virtual” que o usuário não faz ideia de que está acessando.

Keylogger
Quem já jogou Tibia conhece esse como ninguém.
Keylogger é um tipo de malware que tem como característica captar tudo que o usuário digita no teclado e colocar isso em um arquivo e enviar ao atacante. Esse envio pode ser feito de maneira automática ou o próprio atacante pode conseguir o acesso remotamente.
Por conta disso, o atacante consegue ter acesso a tudo digitado pelo usuário e conseguir credenciais de acesso, dados de cartões de crédito e diversas informações sensíveis.

Spyware
Sua característica é semelhante ao Keylogger, porém sua função é ser um espião na máquina da vítima. Normalmente ele monitora todas as ações da vítima e reporta ao atacante. Alguns spywares conseguem acesso a alguns arquivos da vítima e tem algumas ações de deixar o dispositivo mais lento e até mesmo alterar a página inicial do navegador do usuário.

Bots e botnets
Bots é um tipo de malware que se comporta como um zumbi, uma vez que se instala no dispositivo do usuário e permite que o atacante tenha controle sobre o software de maneira remota e utilize para um determinado objetivo.
O coletivo de bots é botnets, isto é, quando vários bots de vários dispositivos contaminados se unem, uma botnet é formada. Um dos objetivos mais comuns que se utilizam as botnets é para ataques de negação de serviço em grande escala (DDoS), que nada mais é que derrubar um servidor pela quantidade gigante de requisições, por exemplo. Há também quem utilize bots e botnets para mineração de criptomoedas, envio de spam e claro, fazer download de algum outro malware e etc.

E como se prevenir disso tudo?

Bem, agora que você sabe como alguns malwares funcionam (sim, alguns, pois existem mais tipos e não listei todos os tipos aqui, só os mais populares), entende como eles se comportam e seus meios de infecção, podemos falar de prevenção.
A melhor maneira de se prevenir de um malware é ter bom senso, saber os sites que acessa, onde faz download, pois como podemos ver, alguns malwares não são detectados por anti-malwares, portanto:

Não faça download de arquivos e softwares desconhecidos e piratas
Não autorize downloads de qualquer site
Não execute ou abra qualquer arquivo que seja enviado através de e-mail
Não acesse qualquer site e não acredite em qualquer alerta que esse site possa te induzir ao erro, como mensagens de que seu computador está infectado ou que você é o usuário número 1000 e você ganhou um prêmio.
Não saia instalando qualquer extensão de navegador
Não conecte qualquer dispositivo em entradas USB
Não conecte seu dispositivo em qualquer entrada USB
Procure sempre baixar softwares diretamente do site do fornecedor ou somente de fontes de confiança Procure a reputação dos sites que acessa para saber se é confiável.
Bateu dúvida? Não baixa. Baixou? Faça scan antes de executar, o site VirusTotal é ótimo para isso
Mantenha sempre seus softwares atualizados.

Vale a pena ter antivírus?
Apesar do antivírus não ser capaz de detectar todos os tipos de malwares, é muito importante tê-lo instalado em seu dispositivo, principalmente se for usuário de Windows.
É importante frisar que não existe ambiente 100% seguro e livre de qualquer ameaça, por isso que quanto mais barreiras e mais dificuldade você colocar no caminho de qualquer atacante, menores são as chances de você ser contaminado com algum malware.
Na hora de escolher seu antivírus, busque por marcas conceituadas no mercado, e se puder, utilize um antivírus pago, pois muitas vezes eles podem fornecer uma cobertura maior de assinaturas e realizar scans mais complexos e específicos.
Porém, bom senso é sempre o melhor antivirus.

6 controles básicos de segurança do CIS para adotar na sua vida

Leh 🚘 — Thu, 31 Dec 2020 01:12:39 +0000

Apesar de estarmos bem avançados no tempo, a segurança da informação ainda é muito negligenciada pelas pessoas, tanto na sua vida pessoal quanto no mundo corporativo. No Brasil pelo menos, a maioria das empresas que procuram alguma consultoria em segurança já sofreram algum tipo de ataque cibernético.

Para auxiliar as pessoas tanto no seu âmbito pessoal quanto no corporativo, existem inúmeros frameworks, boas práticas, políticas, legislações que possui como propósito auxiliar as empresas e até mesmo pessoas físicas, a se manterem o mais segura possível.

Um desses controles que irei abordar hoje são os do CIS. CIS para quem não conhece, é o Center of Internet Security, que nada mais é que uma organização sem fins lucrativos que tá sempre pesquisando conteúdos para manter a internet mais segura.

O CIS possui 20 controles totais, divididos por categorias que se aplicam de acordo com o ambiente de cada organização. Dos 20 controles, irei referenciar os 6 controles básicos.

Esses 6 controles são medidas aconselhadas independente no nível da empresa, tamanho e podem ate mesmo ser aplicados na vida pessoal, justamente por serem os mais básicos e essenciais controles de segurança que devemos ter.

1- Inventário e controle de dispositivos
Saber quais são todos os dispositivos que você possui é importante para que seja possível proteger todos esses dispositivos. Algum dispositivo não detectado entrando em contato com a rede pode comprometer a segurança pois, além de ser algo desconhecido e inesperado, não da pra proteger aquilo que nem sabemos que existe.
Um conceito básico que é necessário ter em mente, é que para um ataque basta 1 brecha enquanto para a defesa, e necessário conhecer a maior quantidade possível, e um bom começo é mapeando os dispositivos que você possui.

2- Inventário e controle de software
O mesmo principio e filosofia do controle de hardware, saber quais softwares você possui instalado na sua rede torna mais fácil controlar ameaças e instalar novos patches de atualização. Além disso, um controle maior de software permite que você gerencie quais softwares estão sendo instalados. Um exemplo clássico seria uma vulnerabilidade conhecida na Steam ser explorada por um criminoso e, por conta da Steam instalada e nem utilizada, o software ficou desatualizado, permanecendo com a versão vulnerável que foi facilmente explorada. Além do fato de que, dependendo do ambiente de trabalho, ter um software como Steam instalado em um dispositivo corporativo pode ser um problema grave.
procurar case de invasão
procurar ferramentas

3- Gestão contínua de vulnerabilidade
Saber quais são as vulnerabilidades existentes ajuda a reconhecer quando ocorreu algum patch de atualização e, caso não tenha, quais ações deverão ser tomadas em torno da vulnerabilidade. Obviamente existem as vulnerabilidades zero Day, porém, de acordo com o próprio CIS, grande parte das invasões ocorrem em vulnerabilidades já conhecidas e ate mesmo com soluções prontas. Portanto, realizar varreduras recorrentes em seus softwares e hardwares mapeados diminui a chance de ser pego de surpresa.

4- Controle de usuários privilegiados
Contas de usuários possuem acessos e privilégios de acordo com o que lhe é configurado e devido. Dar usuário com altos privilégios para qualquer pessoa, pode comprometer a segurança de toda uma rede se forem utilizados de maneira indevida. Controlar exatamente quem é de responsabilidade ter esses acessos é uma forma de saber quem esta acessando o que, e principalmente que o acesso é rastreável e o que exatamente esta sendo feito ali. Elevação de privilégios é um ataque bem comum realizado por criminosos para conseguir ter o controle de um sistema.
case de invasão

5- Configuração segura de sistemas, workstations e dispositivos
Isso significa que deverá ser feito instalação e configuração de tudo que é utilizado e permanece conectado a internet. Como por exemplo, configurar multifator de autenticação, certificar a origem do software, quais as permissões que o software pode ter, locais de armazenamento dos dispositivos, criptografia de banco de dados e qualquer barreira que dificulte a vida de quem gostaria de estar atacando uma companhia.

6- Manutenção, monitoramento e análise dos logs de segurança
Entender os logs gerados e realizar análises neles ajudam a detectar ameaças, localizar invasores, se proteger e ate mesmo se recuperar de um ataque. Audite logs de cada dispositivo e software sempre que possível. Através dos logs é possível identificar se sua empresa esta tendo recorrente tentativas de ataques, o que pode identificar alguma APT.

O que precisa ficar claro que, por mais que todos os cuidados sejam tomados, não existe um ambiente 100% seguro. O que podemos fazer para mantermos seguro nesse ambiente hostil que é a internet é inserir barreiras para dificultar ataques criminosos.

Quanto mais você conhecer seu ambiente, mais controle você tem.