O hacking ético envolve o uso de muitos tipos diferentes de ferramentas para testar a rede e os dispositivos finais. Para validar a segurança de uma rede e seus sistemas, muitas ferramentas de teste de penetração de rede foram desenvolvidas. No entanto, muitas dessas ferramentas também podem ser usadas por atores ameaçadores para exploração.
Atores de ameaças também criaram várias ferramentas de hacking. Essas ferramentas são escritas explicitamente por motivos nefastos. O pessoal de segurança cibernética também deve saber como usar essas ferramentas ao realizar testes de penetração na rede.
Explore as categorias de ferramentas comuns de teste de penetração de rede. Observe como algumas ferramentas são usadas pelos white hats e black hats. Lembre-se de que a lista não é exaustiva, pois novas ferramentas são continuamente desenvolvidas.
Nota: Muitas dessas ferramentas são baseadas em UNIX ou Linux; portanto, um profissional de segurança deve ter uma sólida experiência em UNIX e Linux.
- crackers da senha: As senhas são a ameaça de segurança mais vulnerável. As ferramentas de quebra de senha são freqüentemente chamadas de ferramentas de recuperação de senha e podem ser usadas para quebrar ou recuperar a senha. Isso é feito removendo a senha original, depois de ignorar a criptografia de dados, ou pela descoberta direta da senha. Os crackers de senhas repetidamente fazem suposições para decifrar a senha e acessar o sistema. Exemplos de ferramentas de quebra de senha incluem John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack e Medusa.
- ferramentas de hacking sem fio: As redes sem fio são mais suscetíveis a ameaças à segurança da rede. As ferramentas de hackers sem fio são usadas para invadir intencionalmente uma rede sem fio para detectar vulnerabilidades de segurança. Exemplos de ferramentas de hacking sem fio incluem Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep e NetStumbler.
- digitalização de rede e ferramentas de hacking: As ferramentas de verificação de rede são usadas para investigar dispositivos, servidores e hosts de rede em busca de portas TCP ou UDP abertas. Exemplos de ferramentas de digitalização incluem Nmap, SuperScan, Angry IP Scanner e NetScanTools.
- ferramentas de elaboração de pacotes: Ferramentas de criação de pacotes são usadas para sondar e testar a robustez de um firewall usando pacotes forjados especialmente criados. Exemplos de tais ferramentas incluem Hping, Scapy, Socat, Yersinia, Netcat, Nping e Nemesis.
- sniffer de pacotes: As ferramentas de farejadores de pacotes são usadas para capturar e analisar pacotes em LANs Ethernet ou WLANs tradicionais. As ferramentas incluem Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy e SSLstrip.
- detectores de rootkit: Um detector de rootkit é um verificador de integridade de diretório e arquivo usado por white hats para detectar root kits instalados. Exemplos de ferramentas incluem AIDE, Netfilter e PF: OpenBSD Packet Filter.
- fuzzers para pesquisar vulnerabilidades: Fuzzers são ferramentas usadas por agentes de ameaças ao tentar descobrir vulnerabilidades de segurança de um sistema de computador. Exemplos de difusores incluem Skipfish, Wapiti e W3af.
- ferramentas forenses: Hackers White hat usam ferramentas forenses para farejar qualquer vestígio de evidência existente em um sistema de computador específico. Exemplos de ferramentas incluem Sleuth Kit, Helix, Maltego e Encase.
- depuradores: Ferramentas de depuração são usadas por Black Hats para fazer engenharia reversa de arquivos binários ao escrever exploits. Eles também são usados por white hats ao analisar malware. As ferramentas de depuração incluem GDB, WinDbg, IDA Pro, and Immunity Debugger.
- hackeando sistemas operacionais: Os sistemas operacionais de hacking são sistemas operacionais especialmente projetados, pré-carregados com ferramentas e tecnologias otimizadas para hackers. Exemplos de sistemas operacionais de hacking especialmente projetados incluem Kali Linux, SELinux, Knoppix, Parrot OS e BackBox Linux.
- ferramentas de criptografia: Essas ferramentas salvaguardam o conteúdo dos dados de uma organização quando são armazenados ou transmitidos. As ferramentas de criptografia usam esquemas de algoritmo para codificar os dados e evitar o acesso não autorizado aos dados. Exemplos dessas ferramentas incluem VeraCrypt, CipherShed, Open SSH, OpenSSL, OpenVPN e Stunnel.
- ferramentas de exploração de vulnerabilidade: Essas ferramentas identificam se um host remoto é vulnerável a um ataque de segurança. Exemplos de ferramentas de exploração de vulnerabilidade incluem Metasploit, Core Impact, Sqlmap, Social Engineer Tool Kit e Netsparker.
- scanner de vulnerabilidades: Essas ferramentas examinam uma rede ou sistema para identificar portas abertas. Eles também podem ser usados para verificar vulnerabilidades conhecidas e verificar VMs, dispositivos BYOD e bancos de dados do cliente Exemplos dessas ferramentas incluem Nipper, Securia PSI, Core Impact, Nessus, SAINT e Open VAS.
Os atores da ameaça podem usar as ferramentas mencionadas anteriormente ou uma combinação de ferramentas para criar vários ataques. A tabela exibe tipos comuns de ataques. No entanto, a lista de ataques não é exaustiva, pois novas maneiras de atacar redes são continuamente descobertas.
É importante entender que os atores de ameaças usam uma variedade de ferramentas de segurança para realizar esses ataques.
- Ataque de escuta: Um ataque de espionagem ocorre quando um agente de ameaça captura e escuta o tráfego da rede. Esse ataque também é chamado de sniffing ou snooping.
- Ataque de modificação de dados: Ataques de modificação de dados ocorrem quando um agente de ameaça capturou o tráfego da empresa e alterou os dados nos pacotes sem o conhecimento do remetente ou receptor.
- Ataque de Falsificação de Endereços IP: Um ataque de falsificação de endereço IP ocorre quando um ator de ameaça constrói um pacote IP que parece se originar de um endereço válido dentro da intranet corporativa.
- Ataques baseados em senha: Ataques baseados em senha ocorrem quando um ator de ameaça obtém as credenciais de uma conta de usuário válida. Em seguida, os atores de ameaças usam essa conta para obter listas de outros usuários e informações de rede. Eles também podem alterar as configurações de servidor e rede e modificar, redirecionar ou excluir dados.
- Ataque de negação de serviço (DoS): Um ataque de DoS impede o uso normal de um computador ou rede por usuários válidos. Depois de obter acesso a uma rede, um ataque DoS pode travar aplicativos ou serviços de rede. Um ataque de DoS pode inundar um computador ou toda a rede com tráfego até que um desligamento ocorra devido à sobrecarga. Um ataque de DoS também pode bloquear o tráfego, o que resulta na perda de acesso aos recursos da rede por usuários autorizados.
- Ataque man-in-the-middle (MiTM): Um ataque MiTM ocorre quando os agentes da ameaça se posicionam entre a origem e o destino. Agora eles podem monitorar, capturar e controlar ativamente a comunicação de forma transparente.
- Ataque de chave comprometida: Um ataque de chave comprometida ocorre quando um ator de ameaça obtém uma chave secreta. Isto é referido como uma chave comprometida. Uma chave comprometida pode ser usada para obter acesso a uma comunicação segura sem que o remetente ou o destinatário esteja ciente do ataque.
- Ataque Sniffer: Um sniffer é um aplicativo ou dispositivo que pode ler, monitorar e capturar trocas de dados de rede e ler pacotes de rede. Se os pacotes não estiverem criptografados, um sniffer fornece uma visão completa dos dados dentro do pacote. Até mesmo pacotes encapsulados podem ser quebrados abertos e lidos, a menos que sejam criptografados e que o ator de ameaça não tenha acesso à chave.
- Executar uma consulta de informações de um alvo: O agente de ameaça está procurando informações iniciais sobre um alvo. Várias ferramentas podem ser usadas, incluindo a pesquisa no Google, o site das organizações, whois e muito mais.
- Iniciar uma varredura de ping da rede de destino: A consulta de informações geralmente revela o endereço de rede de destino. O agente de ameaça agora pode iniciar uma varredura de ping para determinar quais endereços IP estão ativos.
- Iniciar uma verificação de porta nos endereços IP ativos: Isso é usado para determinar quais portas ou serviços estão disponíveis. Exemplos de scanners de portas incluem Nmap, SuperScan, Angry IP Scanner e NetScanTools.
- Executar o scanner de vulnerabilidades: Isso é para consultar as portas identificadas para determinar o tipo e a versão do aplicativo e do sistema operacional que está sendo executado no host. Exemplos de ferramentas incluem Nipper, Secuna PSI, Core Impact, Nessus v6, SAINT e Open VAS.
- Executar ferramentas de exploração: O agente de ameaças agora tenta descobrir serviços vulneráveis que podem ser explorados. Existe uma variedade de ferramentas de exploração de vulnerabilidades, incluindo Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit e Netsparker.
Ataques de Acesso: Os ataques de acesso exploram vulnerabilidades conhecidas em serviços de autenticação, serviços de FTP e serviços da Web. O objetivo desse tipo de ataque é obter acesso a contas da web, bancos de dados confidenciais e outras informações confidenciais. Os atores de ameaças usam ataques de acesso a dispositivos de rede e computadores para recuperar dados, obter acesso ou escalar privilégios de acesso ao status de administrador.
- Ataques de senha: Em um ataque de senha, o agente de ameaça tenta descobrir senhas críticas do sistema usando vários métodos. Os ataques de senha são muito comuns e podem ser iniciados usando uma variedade de ferramentas de quebra de senha.
- Ataques de falsificação (spoofing): Nos ataques de falsificação, o dispositivo do agente de ameaças tenta se passar por outro dispositivo falsificando os dados. Ataques comuns incluem falsificação IP (IP spoofing), falsificação MAC (MAC spoofing), e falsificação DHCP (DHCP spoofing). Esses ataques de falsificação serão discutidos em mais detalhes posteriormente neste módulo
Outros ataques de acesso incluem:
- Exploração de confiança: Em um ataque de exploração de confiança, um agente de ameaça usa privilégios não autorizados para obter acesso a um sistema, possivelmente comprometendo o alvo. Clique em Reproduzir na figura para visualizar um exemplo de exploração de confiança.
- Redirecionamento de porta: Em um ataque de redirecionamento de porta, um agente de ameaça usa um sistema comprometido como base para ataques contra outros alvos. O exemplo na figura mostra um agente de ameaça usando SSH (porta 22) para conectar-se a um host A comprometido. O host A é confiável pelo host B e, portanto, o agente de ameaça pode usar o Telnet (porta 23) para acessá-lo.
- Ataque man in the middle: Em um ataque man-in-the-middle, o agente de ameaça é posicionado entre duas entidades legítimas para ler ou modificar os dados que passam entre as duas partes. A figura mostra um exemplo de ataque do tipo man-in-the-middle.
- Ataque de saturação do buffer: Em um ataque de estouro de buffer, o agente de ameaça explora a memória do buffer e a sobrecarrega com valores inesperados. Isso geralmente torna o sistema inoperante, criando um ataque de DoS. A figura mostra que o agente de ameaça está enviando muitos pacotes para a vítima na tentativa de sobrecarregar o buffer da vítima.
Ataques de engenharia social: Engenharia social é um ataque de acesso que tenta manipular indivíduos para realizar ações ou divulgar informações confidenciais. Algumas técnicas de engenharia social são realizadas pessoalmente, enquanto outras podem usar o telefone ou a Internet. Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda. Eles também atacam as fraquezas das pessoas. Por exemplo, um agente de ameaças pode chamar um funcionário autorizado com um problema urgente, que requer acesso imediato à rede. O agente de ameaças pode recorrer à vaidade do funcionário, valer-se de autoridade usando técnicas que citam nomes ou apelar para a ganância do funcionário. Informações sobre técnicas de engenharia social são mostradas abaixo:
- Pretexting: Um ator de ameaça finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário.
- Phishing: Um agente de ameaças envia e-mails fraudulentos, disfarçados de fontes legítimas e confiáveis, para induzir o destinatário a instalar malware em seu dispositivo ou compartilhar informações pessoais ou financeiras.
- Spear phishing: Um agente de ameaça cria um ataque de phishing direcionado, personalizado para um indivíduo ou organização específico.
- Spam: Também conhecido como lixo eletrônico, este é um e-mail não solicitado que geralmente contém links prejudiciais, malware ou conteúdo enganoso.
- Algo por Algo: Às vezes chamado de Algo por algo, é quando um ator da ameaça solicita informações pessoais de uma parte em troca de algo como um presente.
- Iscas: Um agente de ameaça deixa uma unidade flash infectada por malware em um local público. Uma vítima encontra a unidade e a insere inconscientemente em seu laptop, instalando involuntariamente malware.
- Representação: Nesse tipo de ataque, um ator de ameaça finge ser outra pessoa para ganhar a confiança da vítima.
- Tailgating: É aqui que um agente de ameaças segue rapidamente uma pessoa autorizada para um local seguro para obter acesso a uma área segura.
- Navegação bisbilhoteira: É aqui que o agente de ameaça olha discretamente por cima do ombro de alguém para roubar suas senhas ou outras informações.
- Busca de informações na lixeira: É aqui que um ator de ameaças vasculha latas de lixo para descobrir documentos confidenciais.
O Social Engineer Toolkit (SET) foi projetado para ajudar hackers whitehat e outros profissionais de segurança de rede a criar ataques de engenharia social para testar suas próprias redes. É um conjunto de ferramentas baseadas em menu que ajudam a lançar ataques de engenharia social. O SET é apenas para fins educacionais. Está disponível gratuitamente na Internet.
Plataformas de segurança de dados
As plataformas de segurança de dados (DSP) são uma solução de segurança integrada que combina ferramentas tradicionalmente independentes em um conjunto de ferramentas que são feitas para trabalhar juntas. As ferramentas de segurança que protegem e monitoram redes geralmente são feitas por diferentes fornecedores. Pode ser difícil integrar essas ferramentas de tal forma que uma visão única da segurança da rede possa ser alcançada. Recursos significativos podem ser necessários para ter diferentes dispositivos e softwares sob uma única solução de controle. Além disso, a integração de dados de tais ferramentas diversas em uma visão abrangente de monitoramento da rede pode ser muito difícil de criar e manter.
Um desses DSP é a plataforma Helix da FireEye. FireEye Helix é uma plataforma de operações de segurança baseada em nuvem que permite às organizações integrar muitas funcionalidades de segurança em uma única plataforma. O Helix fornece gerenciamento de eventos, análise de comportamento de rede, detecção avançada de ameaças e orquestração, automação e resposta de segurança de incidentes (SOAR) para resposta a ameaças à medida que são detectadas. Helix também se baseia em inteligência contra ameaças FireEye Mandiant, resposta a incidentes e experiência em segurança.
Outro DSP integrado é Cisco SecureX. SecureX vai um passo mais longe com sua forte integração com o portfólio Cisco Secure. O portfólio Cisco Secure consiste em um amplo conjunto de tecnologias que funcionam como uma equipe - fornecendo interoperabilidade com a infraestrutura de segurança, incluindo tecnologias de terceiros. Isso resulta em visibilidade unificada, automação e defesas mais fortes. A plataforma Cisco SecureX trabalha com diversos produtos que se combinam para proteger sua rede, usuários e endpoints, borda da nuvem e aplicativos. A funcionalidade SecureX é incorporada em um portfólio grande e diversificado de produtos de segurança da Cisco, incluindo firewalls de próxima geração, VPN, análise de rede, mecanismo de serviço de identidade, proteção avançada contra malware (AMP) e muitos outros sistemas que trabalham para proteger todos os aspectos de uma rede. O SecureX também integra uma variedade de ferramentas de segurança de terceiros.
Nenhum comentário:
Postar um comentário